【文章內(nèi)容簡介】 ，則認為該包是無狀態(tài)的，一個狀態(tài)包檢查 防火墻 跟蹤的包中必須包含所需的信息。 一個狀態(tài) /動態(tài)檢測 防火墻 可截斷所有傳入的通信，而允許所有傳出的通信。只有按要求傳入的數(shù)據(jù)被允許通過，直到 連接 被關(guān)閉為止。而未被請求的傳入通信被截斷。 狀態(tài) /動態(tài)檢測 防火墻 可提供的額外服務(wù)有： l 將某些類型的 連接 重定向到審核服務(wù)中去。例如，到專用 Web服務(wù)器的連接，在 Web服務(wù)器連接被允許之前，可能被發(fā)到 SecutID服務(wù)器（用一次性口令來使用）。 l 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含 ActiveX程序的 Web頁面。 跟蹤 連接 狀態(tài)的方式取決于包通過 防火墻 的類型： l TCP包：當建立起一個 TCP連接 時，通過的第一個包被標有包的 SYN標志。通常情況下， 防火墻 丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理。 l UDP包： UDP包比 TCP包簡單，因為它們不包含任何 連接 或序列信息。它們只包含源地址、目的地址、校驗碼和攜帶的數(shù)據(jù)。這種信息的缺乏使得 防火墻 確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。對傳入的包，若它所使用的地址和 UDP包攜帶的協(xié)議與傳出的連接請求匹配，該包就被允許通過。防火墻能跟蹤傳出的請求，并詳細記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。 /動態(tài)檢測 防火墻 的優(yōu)缺點 (1)優(yōu)點 l 具有檢查 IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。 l 具有識別帶有欺騙性源 IP地址包的能力。 l 包過濾 防火墻 是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。 l 基于應用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的 FTP連接 ，允許返回的 FTP包通過。 l 基于應用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的 連接 繼續(xù)與被授予的服務(wù)通信。 l 記錄有關(guān)通過的每個包的詳細信息的能力?；旧?， 防火墻 用來確定包狀態(tài)的所有信息都可以被記錄，包括應用程序?qū)Π恼埱螅?連接 的持續(xù)時間，內(nèi)部和外部 系統(tǒng) 所做的連接請求等。 (2)缺點： 狀態(tài) /動態(tài)檢測 防火墻 唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò) 連接 的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。特別是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。 網(wǎng)絡(luò)地址翻譯 NAT 網(wǎng)絡(luò)地址翻譯 NAT(Netware Address Translation)協(xié)議是將內(nèi)部網(wǎng)絡(luò)的多個 IP地址轉(zhuǎn)換到一個公共 IP地址與 Inter連接 。 當內(nèi)部用戶與一個公共主機通信時 ， NAT能追蹤是哪一個用戶所發(fā)出的請求 ， 修改傳出的包 ， 這樣包就像是來自單一的公共 IP地址 ， 然后再打開 連接 。 一旦建立了連接 ， 在內(nèi)部計算機和 Web站點之間來回流動的通信就都是透明的 。 當從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的 連接 時， NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則， NAT可丟棄所有未經(jīng)請求的傳入連接，就像包過濾 防火墻 所做的那樣。 (1)靜態(tài)翻譯 一個指定的內(nèi)部主機有一個固定不變的地址翻譯表 ， 通過這張表 ， 可將內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址 。 (2)動態(tài)翻譯 為了隱藏內(nèi)部主機的身份或擴展內(nèi)部網(wǎng)絡(luò)的地址空間 ， 一個大的 Inter客戶群共享一組較小的 Inter IP地址 。 (3)負載平衡翻譯 一個 IP地址和端口被翻譯為同等配置的多個服務(wù)器 ， 當請求到達時 ， 防火墻將按照一個算法來平衡所有聯(lián)接到內(nèi)部的服務(wù)器 ， 這樣向一個合法 IP地址請求 ，實際上是有多臺服務(wù)器在提供服務(wù) 。 (4)網(wǎng)絡(luò)冗余翻譯 多個 Inter聯(lián)接被附加在一個 NAT防火墻上，而這個防火墻根據(jù)負載和可用性對這些聯(lián)接進行選擇和使用。 3． NAT的優(yōu)缺點 (1)優(yōu)點 所有內(nèi)部的 IP地址對外面的人來說是隱蔽的 。 因為這個原因 ， 網(wǎng)絡(luò)之外沒有人可以通過指定 IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊 。 如果因為某種原因公共 IP地址資源比較短缺的話 ， NAT可以使整個內(nèi)部網(wǎng)絡(luò)共享一個 IP地址 。 可以啟用基本的包過濾防火墻安全機制 ， 因為所有傳入的包如果沒有專門指定配置到 NAT， 那么就會被丟棄 。 內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò) 。 (2)缺點 NAT的缺點和包過濾防火墻的缺點是一樣的。雖然可以保障內(nèi)部網(wǎng)絡(luò)的 安全 ，但它也有一定的局限性。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳較廣的木馬程序，可以通過 NAT做外部連接，就像穿過包過濾防火墻一樣的容易。 個人防火墻 個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件 ， 它可以直接在用戶的計算機上運行 ， 使用與狀態(tài) /動態(tài)檢測防火墻相同的方式來保護計算機免受攻擊 。 個人防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上 ， 用以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信 。 一旦安裝上個人防火墻 ， 就可以把它設(shè)置成 “ 學習模式 ” ， 這樣的話 ， 對遇到的每一種新的網(wǎng)絡(luò)通信 ， 個人防火墻都會提示用戶一次 ， 詢問如何處理這種通信 。 然后個人防火墻便記住響應方式 ，并應用于以后遇到的相同網(wǎng)絡(luò)通信 。 例如，如果用戶已經(jīng)安裝了一臺個人 Web服務(wù)器，個人防火墻可能將第一個傳入的 Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的 Web連接、來自某些特定 IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應用于所有傳入的 Web連接。 (1)優(yōu)點 增加了保護級別 ， 不需要額外的硬件資源 。 個人防火墻除了可以抵擋外來攻擊的同時 ， 還可以抵擋內(nèi)部的攻擊 。 (2)缺點 個人 防火墻 主要的缺點就是對公共網(wǎng)絡(luò)只有一個物理接口。真正的防火墻應當監(jiān)視并控制兩個或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來，個人 防火墻 本身容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則進行。 智能防火墻 智能防火墻從技術(shù)特征上 ， 是利用統(tǒng)計 、 記憶 、 概率和決策的智能方法來對數(shù)據(jù)進行識別 ， 并達到訪問控制的目的 。 一個典型的例子可以說明智能防火墻對網(wǎng)絡(luò)安全是很重要的。傳統(tǒng)的防火墻對包的檢查，就像對人的相貌的識別，采用圖像識別一樣。把一個人的相貌轉(zhuǎn)換為圖像，對圖像的每一個像素進行記憶，然后進行匹配檢查。通過檢查上千萬個像素之后，告訴你，這是誰。這就是智能識別。智能防火墻無須海量計算就可以輕松找到網(wǎng)絡(luò)行為的特征值來識別網(wǎng)絡(luò)行為，從而輕松的執(zhí)行訪問控制。 (1)防攻擊技術(shù) 智能防火墻能智能識別惡意數(shù)據(jù)流量 ， 并有效地阻斷惡意數(shù)據(jù)攻擊 。智能防火墻可以有效地解決 SYN Flooding， Land Attack， UDP Flooding，F(xiàn)raggle Attack， Ping Flooding， Smurf， Ping of Death， Unreachable Host等攻擊 。 防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊 。 (2)防掃描技術(shù) 智能防火墻能智能識別黑客的惡意掃描 ， 并有效地阻斷或欺騙惡意掃描者 。 對目前已知的掃描工具如 ISS， SSS， NMAP等掃描工具 ， 智能防火墻可以防止被掃描 。 防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊 。 (3)防欺騙技術(shù) 智能防火墻提供基于 MAC的訪問控制機制，可以防止 MAC欺騙和 IP欺騙，支持 MAC過濾，支持 IP過濾。將防火墻的訪問控制擴展到 OSI的第二層。 (4)入侵防御技術(shù) 智能防火墻為了解決準許放行包的安全性 ， 對準許放行的數(shù)據(jù)進行入侵檢測 ， 并提供入侵防御保護 。 入侵防御技術(shù)采用了多種檢測技術(shù) ， 特征檢測可以準確檢測已知的攻擊 ， 特征庫涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測基于對監(jiān)控網(wǎng)絡(luò)的自學習能力 ， 可以有效地檢測新出現(xiàn)的攻擊；檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測 。 智能防火墻完成了深層數(shù)據(jù)包監(jiān)控 ， 并能阻斷應用層攻擊 。 (5)包擦洗和協(xié)議正?；夹g(shù) 智能防火墻支持包擦洗技術(shù)，對 IP， TCP， UDP， ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正常化，消除潛在的協(xié)議風險和攻擊。這些方法對消除 TCP/IP協(xié)議的缺陷和應用協(xié)議的漏洞所帶來的威脅，效果顯著。 智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊的問題 、 病毒傳播的問題和高級應用入侵的行為 ， 代表著防火墻的主流發(fā)展方向 。 新一代的智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高 ， 在特權(quán)最小化 、 系統(tǒng)最小化 、 內(nèi)核安全 、 系統(tǒng)加固 、 系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面 ， 與傳統(tǒng)防火墻相比 ， 有質(zhì)的飛躍 。 智能防火墻執(zhí)行全訪問的訪問控制策略 ， 而不是簡單的過濾 。 基于對行為的識別 ， 可以根據(jù)什么人 、 什么時間 、 什么地點 、 什么行為來執(zhí)行訪問控制 ， 大大增強了防火墻的安全性 ， 更聰明更智能 。 智能防火墻具備集中網(wǎng)絡(luò)管理平臺 ， 具備配置管理 、 性能管理 、 故障管理 、 安全管理 、 審計管理五大管理域 。 智能防火墻提供網(wǎng)絡(luò)實時監(jiān)控功能 。 支持監(jiān)控防火墻的性能如 CPU、 內(nèi)存 、網(wǎng)絡(luò)和硬盤的使用率等信息 。 支持監(jiān)控防火墻的狀態(tài) ， 并實時報警 。 支持實時監(jiān)控 ， 包括性能監(jiān)控 、 接口流量監(jiān)控等 。 智能防火墻提供對日志的監(jiān)控，自動處理，人工或自動導出，數(shù)據(jù)庫導入，查看，查詢，顯示，報警等功能。并支持條件查詢。 除傳統(tǒng)防火墻的應用外 ， 智能防火墻還有以下特殊應用場合 。 保護網(wǎng)絡(luò)和站點免受黑客的攻擊 。 由于目前眾多的防火墻無法抵御 DDoS的攻擊 ， 使得網(wǎng)站和網(wǎng)絡(luò)頻繁遭受黑客的攻擊 。 采用智能防火墻 ， 可以有效解決 DDoS攻擊 。 阻斷病毒的惡意傳播 。 智能防火墻可以智能識別病毒的惡意掃描和流量攻擊 ，有效切斷惡意病毒的傳播途徑 。 由于智能防火墻是從流量異常來判斷病毒的傳播 ，避免了每一次新病毒的爆發(fā)所帶來的災難 。 有效監(jiān)控和管理內(nèi)部局域網(wǎng) 。 傳統(tǒng)的防火墻只防外不防內(nèi) ， 導致內(nèi)部局域網(wǎng)速度慢 ， 惡意病毒和木馬盛行 。 智能防火墻的防欺騙功能和 MAC控制功能 ， 能有效發(fā)現(xiàn)內(nèi)部惡意流量 ， 幫助安全管理員來找到攻擊源 。 保護必需的應用安全 。 智能防火墻的入侵防護功能 ， 深層的應用數(shù)據(jù)檢測可以有效的發(fā)現(xiàn)對應用的惡意攻擊 ， 并加以制止 。 提供強大的身份認證授權(quán)和審計管理。對優(yōu)化進行身份鑒別授權(quán)和審計，是網(wǎng)絡(luò)安全的要素之一，基于人而不是 IP進行管理，更能有效的進行網(wǎng)絡(luò)安全管理。也為網(wǎng)絡(luò)取證提供防抵賴的功能。 防火墻的設(shè)計與實現(xiàn) 本節(jié)內(nèi)容 防火墻的設(shè)計技術(shù) 防火墻的實現(xiàn)技術(shù) 防火墻的設(shè)計技術(shù) 為了網(wǎng)絡(luò)的安全可靠 ， 防火墻必須滿足以下要求： l 防火墻應由多個構(gòu)件組成 ， 形成一個有一定冗余度的安全系統(tǒng) ， 避免成為網(wǎng)絡(luò)的單失效點 。 l 防火墻應能抵抗網(wǎng)絡(luò)黑客的攻擊 ， 并可對網(wǎng)絡(luò)通信進行監(jiān)控和審計 。 這樣的網(wǎng)絡(luò)結(jié)點 ， 稱為阻塞點 。 l 防火墻一旦失效 、 系統(tǒng)重啟或系統(tǒng)崩潰時 ， 則應完全阻斷內(nèi) 、 外網(wǎng)絡(luò)站點的連接 ， 以防非法用戶闖入 。 l 防火墻應提供強制認證服務(wù) ， 外部網(wǎng)絡(luò)站點對內(nèi)部網(wǎng)絡(luò)的訪問應經(jīng)過防火墻的認證檢查 ， 包括對網(wǎng)絡(luò)用戶和數(shù)據(jù)源的認證 。應支持 Email、 FTP、 Tel和 WWW等服務(wù) 。 l 防火墻對內(nèi)部網(wǎng)絡(luò)應做到屏蔽作用 ， 并且隱藏內(nèi)部網(wǎng)站的地址和內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu) 。 在防火墻設(shè)計中 ， 安全策略是防火墻的靈魂和基礎(chǔ) 。 通常 ， 防火墻采用的安全策略有如下兩個基本準則： l 一切未被允許的訪問就是禁止的 。 l 一切未被禁止的訪問就是允許的 。 建立防火墻是在對網(wǎng)絡(luò)的服務(wù)功能和拓撲結(jié)構(gòu)仔細分析的基礎(chǔ)上，在被保護的網(wǎng)絡(luò)周邊，通過專用硬件、軟件及管理措施的綜合，對跨越網(wǎng)絡(luò)邊境的信息，提供監(jiān)測、控制甚至修改的措施。 防火墻的實現(xiàn)技術(shù) (1)決定