【正文】 為它非常方便 。 反向查詢可以檢查用戶是否真正地來自它所報告的源位置 。一般的防火墻模型如圖 81所示。 防火墻的發(fā)展 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn) ， 采用了包過濾（ Packet filter） 技術(shù) 。 包過濾 防火墻 是兩個網(wǎng)絡(luò)之間訪問的唯一來源 。 它只接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信 ， 然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接 。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器（ ProxyServer），代理服務(wù)器是在其上運行一個叫做 “ 地址轉(zhuǎn)移 ” 的進(jìn)程，將所有內(nèi)部 IP地址映射到一個外部 IP地址，這個地址是由防火墻使用的。只有按要求傳入的數(shù)據(jù)被允許通過，直到 連接 被關(guān)閉為止。 l 基于應(yīng)用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的 FTP連接 ，允許返回的 FTP包通過。 因為這個原因 ， 網(wǎng)絡(luò)之外沒有人可以通過指定 IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機(jī)發(fā)起攻擊 。真正的防火墻應(yīng)當(dāng)監(jiān)視并控制兩個或更多的網(wǎng)絡(luò)接口之間的通信。將防火墻的訪問控制擴(kuò)展到 OSI的第二層。并支持條件查詢。 防火墻的設(shè)計與實現(xiàn) 本節(jié)內(nèi)容 防火墻的設(shè)計技術(shù) 防火墻的實現(xiàn)技術(shù) 防火墻的設(shè)計技術(shù) 為了網(wǎng)絡(luò)的安全可靠 ， 防火墻必須滿足以下要求： l 防火墻應(yīng)由多個構(gòu)件組成 ， 形成一個有一定冗余度的安全系統(tǒng) ， 避免成為網(wǎng)絡(luò)的單失效點 。 (4)防火墻維護(hù)和管理方案的制定 防火墻的日常維護(hù)是對訪問記錄進(jìn)行審計 ， 發(fā)現(xiàn)入侵和非法訪問 ， 據(jù)此對防火墻的安全性進(jìn)行評價 ， 需要時進(jìn)行適當(dāng)改進(jìn) 。 一個用戶使用 Ping命令 ， 可用作網(wǎng)絡(luò)診斷 ，也可用作網(wǎng)絡(luò)攻擊 ， 從流量上是沒有差異的 。 例如 ， 在一個被保護(hù)的網(wǎng)絡(luò)上沒有限制的撥號登錄 ， 內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過 SLIP或 PPP聯(lián)接進(jìn)入Inter。 防火墻內(nèi)部的一個合法用戶主動泄密 ， 防火墻是無能為力的 。 信任域 被信任域 雙向信任：雙向信任是兩個域?qū)Φ鹊幕ハ嘈湃危鐖D 83所示，遠(yuǎn)程用戶可以使用雙方授權(quán)的資源。現(xiàn)代密鑰體系也應(yīng)采用層次結(jié)構(gòu)，以分為主密鑰、密鑰加密密鑰和會話密鑰三個層次為宜。 l 必須用防火墻支持的語法重寫表達(dá)式 。 電路級網(wǎng)關(guān)只依賴于 TCP聯(lián)接 ， 并不進(jìn)行任何附加的包處理或過濾 。 天網(wǎng)防火墻個人版由三個可執(zhí)行文件組成： l sky ：防火墻安裝程序 。 (2)防火墻的配置 ① 系統(tǒng)設(shè)置 單擊 “ 系統(tǒng)設(shè)置 ” 按鈕 ， 如圖 812標(biāo)注處 。 狀態(tài)包過濾技術(shù)則是在動態(tài)包過濾技術(shù)的基礎(chǔ)上發(fā)展起來的 ， 是對動態(tài)包過濾技術(shù)的擴(kuò)展和增強(qiáng) 。 例 84：設(shè)內(nèi)部網(wǎng)絡(luò) IP地址及其端口號為 ， 防火墻內(nèi)部網(wǎng)卡 eth1的地址為， 防火墻的外部網(wǎng)卡地址為 ， DNS地址為 ， 其配置規(guī)則為： l 允許內(nèi)部網(wǎng)絡(luò)的所有主機(jī)都能訪問外網(wǎng)的 WWW（ 端口號為 80） 、 FTP（ 端口號為 21） 服務(wù)； l 外部網(wǎng)絡(luò)的所有主機(jī)不能訪問內(nèi)部網(wǎng)絡(luò) 。如圖 89所示。 在這里 ， 介紹應(yīng)用較為廣泛的 “ 天網(wǎng)個人防火墻 ” 。 第三 ， 對于 WWW服務(wù) ， 允許內(nèi)部網(wǎng)用戶訪問 Inter上任何網(wǎng)絡(luò)和站點 ， 但只允許一個公司的網(wǎng)絡(luò)訪問內(nèi)部 WWW服務(wù)器 ， 內(nèi)部 WWW服務(wù)器的 IP地址為， 因為是合作伙伴關(guān)系 ， 并設(shè)合作伙伴網(wǎng)絡(luò)為。根據(jù)不同的防火墻類型，包過濾可能在進(jìn)入或輸出防火墻時進(jìn)行。首先，通信雙方之間的通信可能會通過多個網(wǎng)絡(luò)，這些網(wǎng)絡(luò)通常具有不同的安全機(jī)制，有的甚至根本不提供安全機(jī)制，這就使通信雙方之間建立密鑰的過程更加容易受到攻擊。 信任域可允許被信任域中的用戶在其中使用 。 黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊 ， 防火墻不能防止 。 防火墻為了提高被保護(hù)網(wǎng)絡(luò)的安全性 ， 限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù) 。 防火墻本身就是基于 TCP/IP等協(xié)議來實現(xiàn)的 ，無法解決 TCP/IP本身具有的漏洞 。 (2)制定安全策略 在實現(xiàn)過程中 ， 沒有被允許的服務(wù)是被禁止的 ， 沒有被禁止的服務(wù)都是允許的 。 智能防火墻的入侵防護(hù)功能 ， 深層的應(yīng)用數(shù)據(jù)檢測可以有效的發(fā)現(xiàn)對應(yīng)用的惡意攻擊 ， 并加以制止 。 支持監(jiān)控防火墻的性能如 CPU、 內(nèi)存 、網(wǎng)絡(luò)和硬盤的使用率等信息 。 (2)防掃描技術(shù) 智能防火墻能智能識別黑客的惡意掃描 ， 并有效地阻斷或欺騙惡意掃描者 。用戶可能允許所有的 Web連接、來自某些特定 IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的 Web連接。 (2)動態(tài)翻譯 為了隱藏內(nèi)部主機(jī)的身份或擴(kuò)展內(nèi)部網(wǎng)絡(luò)的地址空間 ， 一個大的 Inter客戶群共享一組較小的 Inter IP地址 。 /動態(tài)檢測 防火墻 的優(yōu)缺點 (1)優(yōu)點 l 具有檢查 IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。這一目標(biāo)是在使用了基本 包過濾防火墻 的通信上應(yīng)用一些技術(shù)實現(xiàn)的。 一些應(yīng)用程序不支持代理 連接 。 代理服務(wù)器 1． 代理服務(wù)器防火墻的基本功能 代理服務(wù)器防火墻 （ Proxy Service Firewall） 通過在主機(jī)上運行代理服務(wù)程序 ， 直接對特定的應(yīng)用層進(jìn)行服務(wù) ， 因此也稱為應(yīng)用層防火墻 。 防火墻 的優(yōu)缺點 (1)優(yōu)點 防火墻 對每條傳入和傳出網(wǎng)絡(luò)的包實行控制 。 通過將動態(tài)的 、 應(yīng)用層的過濾能力和認(rèn)證相結(jié)合 ， 可實現(xiàn) WWW瀏覽器 、 HTTP服務(wù)器 、 FTP等； l 私有數(shù)據(jù)的加密支持 。一些防火墻允許你預(yù)先配置對不期望的活動做出響應(yīng)。 只有那些可接受的數(shù)據(jù)包才能進(jìn)出整個網(wǎng)絡(luò) 。互聯(lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò) ID時都會自動丟棄。 (11)隧道路由器 （ Tunneling Router） 它是一種特殊的路由器 ， 可以對數(shù)據(jù)包進(jìn)行加密 ， 讓數(shù)據(jù)能通過非信任網(wǎng) ， 如 Inter， 然后在另一端用同樣的路由器進(jìn)行解密 。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做一些復(fù)雜的訪問控制。 通過在防火墻上實現(xiàn)日志服務(wù) ， 安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問 。 防火墻是在兩個網(wǎng)絡(luò)間實現(xiàn)訪問控制的一個或一組軟硬件系統(tǒng) 。 (1)實現(xiàn)一個公司的安全策略 防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略 。當(dāng)遠(yuǎn)程結(jié)點試圖偵測你的網(wǎng)絡(luò)時，他們僅僅能看到防火墻。 (5)雙宿主機(jī) （ Dual Homed Host） 現(xiàn)代的防火墻系統(tǒng)大多是雙宿主機(jī) ， 即有兩個網(wǎng)絡(luò)接口的計算機(jī)系統(tǒng) ， 其中一個接口連接內(nèi)部網(wǎng) ， 另一個接口連接外部網(wǎng) 。 一旦發(fā)現(xiàn)各種錯誤類型就將其返回原主機(jī) ， 最常見的 ping命令就是基于 ICMP的 。 這種實施的缺點在于存在于 DMZ區(qū)域的任何服務(wù)都不會得到防火墻的安全保護(hù) 。 這種技術(shù)有效地反擊 IP欺騙的攻擊 。 應(yīng)用層表示層物理層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層OSI/RM網(wǎng)關(guān)級中繼器級電路級路由器級網(wǎng)橋級防火墻防 火 墻 系 統(tǒng) 非 安 全 區(qū) 域內(nèi)部網(wǎng) 外部網(wǎng)安 全 區(qū) 域 防火墻是一種非常有效的網(wǎng)絡(luò)安全模型 ， 通過它可以隔離內(nèi)外網(wǎng)絡(luò) ，以達(dá)到網(wǎng)絡(luò)中安全區(qū)域的連接 ， 同時不妨礙人們對風(fēng)險區(qū)域的訪問 。 1989年 ， 貝爾實驗室的 Dave Presotto和Howard Trickey推出了第二代防火墻 ， 即電路層防火墻 ， 同時提出了第三代防火墻 —— 應(yīng)用層防火墻 （ 代理防火墻 ） 的初步結(jié)構(gòu) 。 因為所有的通信必須通過防火墻 ， 繞過是困難的 。 網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信 ， 所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分 。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，就無法檢查應(yīng)用層級的數(shù)據(jù)包。而未被請求的傳入通信被截斷。 l 基于應(yīng)用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認(rèn)證過的 連接 繼續(xù)與被授予的服務(wù)通信。 如果因為某種原因公共 IP地址資源比較短缺的話 ， NAT可以使整個內(nèi)部網(wǎng)絡(luò)共享一個 IP地址 。這樣一來，個人 防火墻 本身容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則進(jìn)行。 (4)入侵防御技術(shù) 智能防火墻為了解決準(zhǔn)許放行包的安全性 ， 對準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測 ， 并提供入侵防御保護(hù) 。 除傳統(tǒng)防火墻的應(yīng)用外 ， 智能防火墻還有以下特殊應(yīng)用場合 。 l 防火墻應(yīng)能抵抗網(wǎng)絡(luò)黑客的攻擊 ， 并可對網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和審計 。 管理工作要根據(jù)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化 ，對防火墻進(jìn)行硬件與軟件的修改和升級 。 l 防火墻的安全性與多功能成反比 。 l Inter防火墻不能完全防止傳送已感染病毒的軟件或文件 。 l 防火墻不能防止本身的安全漏洞的威脅 。雙向聯(lián)接的信任關(guān)系只不過是兩個單向信任關(guān)系，每個域都信任另外一個。在密鑰體制采用上，將采用對稱密鑰密碼體制和公開密鑰密碼體制相結(jié)合的方法，以提高密鑰分配的效率。 (3)按地址過濾規(guī)則實例 例 81：該實例是一個最簡單的數(shù)據(jù)包過濾方式，它按照源地址進(jìn)行過濾。 這種代理的優(yōu)點是它可以對各種不同的協(xié)議提供服務(wù)，但這種代理需要改進(jìn)客戶程序。 l 使用說明 .txt：防火墻安裝使用說明文件 。 系統(tǒng)設(shè)置按鈕 選擇 “ 開機(jī)自動啟動防火墻 ” ，即在該項選項前面打上一個“ √ ” ，以后，每次啟動計算機(jī)時就會自動啟動天網(wǎng)防火墻。 主要體現(xiàn)如下： 狀態(tài)包過濾技術(shù)采用了一個被稱之為 “ 監(jiān)測模塊 ” 的 “ 軟件引擎 ” （ 軟件引擎的網(wǎng)絡(luò)安全策略是在網(wǎng)關(guān)上執(zhí)行的 ） ， 該監(jiān)模塊工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間 ， 它可對網(wǎng)絡(luò)通信中各層實施監(jiān)測分析 ， 提取相關(guān)的通信和狀態(tài)信息 ， 并在動態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲和更新 ， 這些動態(tài)連接表會被為斷地修改和更新 ， 為下一個通信檢查積累數(shù)據(jù) 。 靜態(tài)包過濾防火墻的具體過濾內(nèi)容如下： l 數(shù)據(jù)包協(xié)議類型：如 TCP、 UDP、 ICMP、 IGMP等； l 源 IP地址； l 目的 IP地址； l 源端口： FTP、 HTTP、 DNS、 Email等； l 目的端口： FTP、 HTTP、 DNS、 Email等； l TCP信號選項： SYN、 ACK、 FIN、 RST等； l 數(shù)據(jù)包流向： in或 out； l 數(shù)據(jù)包流經(jīng)的網(wǎng)絡(luò)接口： eth0、 eth1； l其他協(xié)議選項： ICMP ECHO、 ICMP ECHO REPLY等。 在 “ 天網(wǎng)防火墻 ” 文件夾下選擇 “ 天網(wǎng)防火墻個人版 [正式版 ] ” ，單擊 “ 打開 ” 按鈕，進(jìn)入 “ 運行程序 ” 窗口。 當(dāng)前 ， 軟件防火墻有天網(wǎng) 、 瑞星 、 金山 、 諾頓 、 費爾等產(chǎn)品 。 第二 ， 為了收發(fā)電子郵件 ， 允許 SMTP出站入站服務(wù) ， 郵件服務(wù)器是 IP地址為 。 包過濾在本地端接收數(shù)據(jù)包時，一般不保留上下文，只根據(jù)目前數(shù)據(jù)包的內(nèi)容做決定。 6． 密鑰管理策略 Inter的加密算法有兩個困難。 信任關(guān)系是兩個域中 ， 一個域信任另外的域 ， 它包括兩個方面：信任域和被信任域 。 l 防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊 。 l 限制有用的網(wǎng)絡(luò)服務(wù) 。 l 防火墻無法解決 TCP/IP等協(xié)議的漏洞 。 防火墻的實現(xiàn)技術(shù) (1)決定防火墻的類型與拓?fù)浣Y(jié)構(gòu) 針對防火墻所保護(hù)的系統(tǒng)安全級別作出定性和定量評估 ， 從系統(tǒng)的成本 、 安全保護(hù)實現(xiàn)的難易程度以及升級 、 改造和維護(hù)的難易程度 ， 決定該防火墻的類型和拓?fù)浣Y(jié)構(gòu) 。 保護(hù)必需的應(yīng)用安全 。 智能防火墻提供網(wǎng)絡(luò)實時監(jiān)控功能 。 防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊 。 例如，如果用戶已經(jīng)安裝了一臺個人 Web服務(wù)器，個人防火墻可能將第一個傳入的 Web連接作上標(biāo)志，并詢問用戶是否允許它通過。 (1)靜態(tài)翻譯 一個指定的內(nèi)部主機(jī)有一個固定不變的地址翻譯表 ， 通過這張表 ， 可將內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址 。防火墻能跟蹤傳出的請求，并詳細(xì)記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。 狀態(tài) /動態(tài)檢測 防火墻 1．狀態(tài) /動態(tài)檢測 防火墻 的基本功能 狀態(tài) /動