【正文】 BS， 所以希望阻止網(wǎng)絡(luò)中的所有用戶訪問該點(diǎn)的 BBS；再假設(shè)這個站點(diǎn)的 BBS服務(wù)是通過 Tel方式提供的 ，那么需要阻止到那個站點(diǎn)的出站 Tel服務(wù) ， 對于 Inter的其他站點(diǎn) ， 允許內(nèi)部的網(wǎng)用戶通過 Tel方式訪問 ， 但不允許其他站點(diǎn)以 Tel方式訪問網(wǎng)絡(luò) 。 第二 ， 為了收發(fā)電子郵件 ， 允許 SMTP出站入站服務(wù) ， 郵件服務(wù)器是 IP地址為 。 第三 ， 對于 WWW服務(wù) ， 允許內(nèi)部網(wǎng)用戶訪問 Inter上任何網(wǎng)絡(luò)和站點(diǎn) ， 但只允許一個公司的網(wǎng)絡(luò)訪問內(nèi)部 WWW服務(wù)器 ， 內(nèi)部 WWW服務(wù)器的 IP地址為， 因?yàn)槭呛献骰锇殛P(guān)系 ， 并設(shè)合作伙伴網(wǎng)絡(luò)為。 規(guī)則 M是默認(rèn)項，它實(shí)現(xiàn)的準(zhǔn)則是 “ 沒有明確允許就表示禁止 ” 。 應(yīng)用層代理為一種特定的服務(wù) （ 如 FTP和 Tel等 ） 提供代理服務(wù) ， 代理服務(wù)器不但轉(zhuǎn)發(fā)流量而且對應(yīng)用層協(xié)議做出解釋 。 電路級網(wǎng)關(guān) （ Circuit Level Gateway） 也是一種代理 ，但是只能是建立起一個回路 ， 對數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用 。 電路級網(wǎng)關(guān)只依賴于 TCP聯(lián)接 ， 并不進(jìn)行任何附加的包處理或過濾 。 這種代理的優(yōu)點(diǎn)是它可以對各種不同的協(xié)議提供服務(wù)，但這種代理需要改進(jìn)客戶程序。這種網(wǎng)關(guān)對外像一個代理，而對內(nèi)則是一個過濾路由器。 防火墻僅檢查獨(dú)立的信息包是不夠的 ， 因?yàn)闋顟B(tài)信息是控制新的通信聯(lián)接的最基本的因素 。 對于某一通信聯(lián)接 ， 通信狀態(tài)和應(yīng)用狀態(tài)是對該聯(lián)接做控制決定的關(guān)鍵因素 。 因此為了保證高層的安全 ， 防 火墻必須能夠訪問 、 分析和利用以下幾種信息： l 通信信息：所有應(yīng)用層的數(shù)據(jù)包的信息； l 通信狀態(tài)：以前的通信狀態(tài)信息； l 來自應(yīng)用狀態(tài)：其他應(yīng)用的狀態(tài)信息； l信息處理：基于以上所有元素表達(dá)式的估算。 規(guī)則 方向 源地址 目標(biāo)地址 協(xié)議 源端口 目標(biāo)端口 ACK設(shè)置 動作 A 出 TCP 1023 23 任意 拒絕 B 入 TCP 23 1023 是 任意 C 出 任意 TCP 1023 23 任意 允許 D 入 任意 TCP 23 1023 是 允許 E 出 任意 TCP 1023 25 任意 允許 F 入 任意 TCP 25 1023 是 允許 G 入 任意 TCP 1023 25 任意 允許 H 出 任意 TCP 25 1023 任意 允許 I 出 任意 TCP 1023 80 任意 允許 J 入 任意 TCP 80 1023 是 允許 K 入 TCP 1023 80 任意 允許 L 出 TCP 80 1023 任意 允許 M 雙向 任意 任意 任意 任意 任意 任意 拒絕 地址翻譯 NAT（ Network Address Translation）。就是將一個 IP地址用另一個 IP地址代替。盡管，最初設(shè)計 NAT的目的是為了增加在專用網(wǎng)絡(luò)中可使用的 IP地址數(shù)，但是它有一個隱蔽的安全特性，如內(nèi)部主機(jī)隱蔽等，保證了網(wǎng)絡(luò)的安全性。 應(yīng)用實(shí)例 本節(jié)內(nèi)容 “ 天網(wǎng) ” 軟件防火墻的配置與應(yīng)用技術(shù) 靜態(tài)包過濾防火墻的配置技術(shù) 狀態(tài)監(jiān)測防火墻的配置技術(shù) “ 天網(wǎng) ” 軟件防火墻的配置與應(yīng)用技術(shù) 軟件防火墻又稱個人防火墻 ， 主要用于個人網(wǎng)絡(luò)終端 。 個人防火墻的主要優(yōu)勢在于價廉物美 ， 花很少的錢就可以購買一份軟件防火墻 。 當(dāng)前 ， 軟件防火墻有天網(wǎng) 、 瑞星 、 金山 、 諾頓 、 費(fèi)爾等產(chǎn)品 。 在這里 ， 介紹應(yīng)用較為廣泛的 “ 天網(wǎng)個人防火墻 ” 。 天網(wǎng)防火墻個人版是個人電腦使用的網(wǎng)絡(luò)安全程序 ， 根據(jù)管理者設(shè)定的安全規(guī)則把守網(wǎng)絡(luò) ， 提供強(qiáng)大的訪問控制 、 信息過濾等功能 ， 幫助你抵擋網(wǎng)絡(luò)入侵和攻擊 ， 防止信息泄露 。 天網(wǎng)防火墻把網(wǎng)絡(luò)分為本地網(wǎng)和互聯(lián)網(wǎng) ， 可針對來自不同網(wǎng)絡(luò)的信息 ， 來設(shè)置不同的安全方案 ， 適合于任何方式上網(wǎng)的用戶 。 在這一小節(jié)中 ， 我們以 “ 天網(wǎng)防火墻個人版 ”為藍(lán)本 ， 介紹天網(wǎng)防火墻的安裝 、 配置與應(yīng)用技術(shù) 。 天網(wǎng)防火墻個人版由三個可執(zhí)行文件組成： l sky ：防火墻安裝程序 。 l 使用說明 .txt：防火墻安裝使用說明文件 。 l 天網(wǎng)防火墻個人版式 破解程序 .exe：解碼程序 。 2． 防火墻設(shè)置向?qū)? 防火墻軟件安裝完畢后，自動進(jìn)入 “ 設(shè)置向?qū)?” 對話框，單擊“ 下一步 ” 按鈕，進(jìn)入 “ 安全級別設(shè)置 ” 對話框，如圖 85所示。 可根據(jù)需要選擇 “ 低 ” 、 “ 中 ” 、 “ 高 ” 或 “ 自定義 ” 級別，再單擊 “ 下一步 ” 按鈕。進(jìn)入 “ 局域網(wǎng)信息設(shè)置 ” 對話框。如圖86所示。 選擇 “ 我的電腦在局域網(wǎng)中使用 ” 選項，系統(tǒng)自動將本機(jī)的地址填入 “ 我在局域網(wǎng)中的地址是 ” 欄目中，若 IP地址沒有填入，則單擊 “ 刷新 ” 按鈕。然后單擊 “ 下一步 ” 按鈕，進(jìn)入如圖 87所示的屏幕。 （ 打補(bǔ)丁 ） 軟件安裝完畢后，還要進(jìn)行解碼，即打補(bǔ)丁，解碼程序文件名為 “ 天網(wǎng)防火墻個人版 [正式版 ] ” 。進(jìn)入 “ 天網(wǎng)防火墻 ” 文件夾，如圖 88所示。 在 “ 天網(wǎng)防火墻 ” 文件夾下選擇 “ 天網(wǎng)防火墻個人版 [正式版 ] ” ，單擊 “ 打開 ” 按鈕，進(jìn)入 “ 運(yùn)行程序 ” 窗口。如圖 89所示。 單擊 “ 確定 ” 按鈕 ， 得到如圖 810所示的對話框 。 在該窗口下，首先單擊 “ 瀏覽 ” 命令，在 SkyNet文件夾下選擇文件 “ PFW ”，再單擊 “ 確定 ” 按鈕，開始解碼，解碼完畢，得到如圖 811所示的窗口。 (1)防火墻的啟動 在 Windows 98/2021/XP桌面上 ， 單擊 “ 開始－程序－天網(wǎng)防火墻－天網(wǎng)防火墻個人版 ” ， 天網(wǎng)防火墻個人版即啟動 ， 得到如圖 829所示的屏幕 。 (2)防火墻的配置 ① 系統(tǒng)設(shè)置 單擊 “ 系統(tǒng)設(shè)置 ” 按鈕 ， 如圖 812標(biāo)注處 。 系統(tǒng)設(shè)置按鈕 選擇 “ 開機(jī)自動啟動防火墻 ” ，即在該項選項前面打上一個“ √ ” ，以后，每次啟動計算機(jī)時就會自動啟動天網(wǎng)防火墻。 ② 應(yīng)用程序規(guī)則設(shè)置 單擊 “ 應(yīng)用程序規(guī)則設(shè)置 ” 按鈕，如圖 813標(biāo)注處。 在該對話框中，可對應(yīng)用程序訪問權(quán)限進(jìn)行設(shè)置。 應(yīng)用程序規(guī)則 按 鈕 ③ 自定義 IP規(guī)則 單擊 “ 自定義 IP規(guī)則設(shè)置 ” 按鈕，如圖 814標(biāo)注處。 在此對話框中，可對 IP地址有關(guān)規(guī)則進(jìn)行設(shè)置。 自定義 IP規(guī)則 按 鈕 天網(wǎng)防火墻個人版除了上述的 “ 應(yīng)用程序規(guī)則 ” 、 “ 自定義 IP規(guī)則 ” 和 “ 系統(tǒng)設(shè)置 ” 三個配置按鈕之外 ， 還有 “ 應(yīng)用程序網(wǎng)絡(luò)使用情況 ” 、 “ 日志 ” 和 “ 接通 /斷開網(wǎng)絡(luò) ” 三個應(yīng)用按鈕 ， 如圖 815所示 。 單擊 “ 應(yīng)用程序使用情況 ” 按鈕，可查看應(yīng)用程序訪問本機(jī)的記錄情況；單擊 “ 日志 ” 按鈕，可查看防火墻的工作日志；單擊“ 接通 /斷開網(wǎng)絡(luò) ” 按鈕，可將本機(jī)與網(wǎng)絡(luò)重新連接或斷開。 應(yīng)用程序網(wǎng)絡(luò)使用情況按鈕 日志 接通 /斷開網(wǎng)絡(luò) 靜態(tài)包過濾防火墻的配置技術(shù) 靜態(tài)包過濾防火墻工作在 TCP/IP協(xié)議的 IP層 ， 其工作流程如圖 816所示 。 靜態(tài)包過濾防火墻的主要功能是 ， 依據(jù)事先設(shè)定的過濾規(guī)則 ， 檢查數(shù)據(jù)流中每個數(shù)據(jù)包 。 根據(jù)數(shù)據(jù)包中的源地址 、 目標(biāo)地址 、 端口號 、 數(shù)據(jù)的對話協(xié)議和數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否讓該數(shù)據(jù)包通過 。 靜態(tài)包過濾防火墻的具體過濾內(nèi)容如下： l 數(shù)據(jù)包協(xié)議類型：如 TCP、 UDP、 ICMP、 IGMP等； l 源 IP地址； l 目的 IP地址； l 源端口： FTP、 HTTP、 DNS、 Email等； l 目的端口： FTP、 HTTP、 DNS、 Email等； l TCP信號選項： SYN、 ACK、 FIN、 RST等； l 數(shù)據(jù)包流向： in或 out； l 數(shù)據(jù)包流經(jīng)的網(wǎng)絡(luò)接口： eth0、 eth1； l其他協(xié)議選項： ICMP ECHO、 ICMP ECHO REPLY等。 例 84：設(shè)內(nèi)部網(wǎng)絡(luò) IP地址及其端口號為 ， 防火墻內(nèi)部網(wǎng)卡 eth1的地址為， 防火墻的外部網(wǎng)卡地址為 ， DNS地址為 ， 其配置規(guī)則為： l 允許內(nèi)部網(wǎng)絡(luò)的所有主機(jī)都能訪問外網(wǎng)的 WWW（ 端口號為 80） 、 FTP（ 端口號為 21） 服務(wù)； l 外部網(wǎng)絡(luò)的所有主機(jī)不能訪問內(nèi)部網(wǎng)絡(luò) 。 該規(guī)則配置如下 （ eth0為防火墻外部網(wǎng)絡(luò)接口網(wǎng)卡 ） ： set internal=deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow udp from $internal to any dns allow udp from any dns to $internal allow tcp from any to any established allow tcp from $internal to any in via eth1 allow tcp from $unternal to any ftp in via eth1 allow tcp from any ftpdata to $Internal in via eth0 allow ip from any to any IP過濾 、 Port過濾 、 NAT… 狀態(tài)監(jiān)測防火墻的配置技術(shù) 1． 狀態(tài)監(jiān)測防火墻的基本功能 靜態(tài)包過濾防火墻的過濾技術(shù)的一個致命缺陷在于 ， 為了能實(shí)現(xiàn)期望的通信 ， 防火墻必須保持部份端口永久性地開放 ， 這就給攻擊防火墻留下了安全隱患 。 為了能有效地避免和克服這一缺陷 ， 引入了動態(tài)包過濾技術(shù) ， 動態(tài)包過濾防火墻也隨之問世 。 動態(tài)包過濾技術(shù)的主要特點(diǎn)是 ， 能在數(shù)據(jù)包通過打開的端口到達(dá)目的地后 ， 防火墻能及時關(guān)閉相應(yīng)的端口 。 狀態(tài)包過濾技術(shù)則是在動態(tài)包過濾技術(shù)的基礎(chǔ)上發(fā)展起來的 ， 是對動態(tài)包過濾技術(shù)的擴(kuò)展和增強(qiáng) 。 主要體現(xiàn)如下： 狀態(tài)包過濾技術(shù)采用了一個被稱之為 “ 監(jiān)測模塊 ” 的 “ 軟件引擎 ” （ 軟件引擎的網(wǎng)絡(luò)安全策略是在網(wǎng)關(guān)上執(zhí)行的 ） ， 該監(jiān)模塊工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間 ， 它可對網(wǎng)絡(luò)通信中各層實(shí)施監(jiān)測分析 ， 提取相關(guān)的通信和狀態(tài)信息 ， 并在動態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲和更新 ， 這些動態(tài)連接表會被為斷地修改和更新 ， 為下一個通信檢查積累數(shù)據(jù) 。 狀態(tài)包過濾技術(shù)的主要優(yōu)點(diǎn)在于：能夠?yàn)榛跓o連接協(xié)議的應(yīng)用及基于端口動態(tài)分配的協(xié)議提供安全支持 ， 而靜態(tài)包過濾技術(shù)和代理網(wǎng)關(guān)是不支持這類服務(wù)的 。 總體來說，狀態(tài)包過濾技術(shù)減少了端口的開放時間，提供了對絕大多數(shù)服務(wù)的支持，其缺陷是允許外部主機(jī)和內(nèi)部主機(jī)直接連接，也不能提供用戶鑒別機(jī)制。 包過濾 狀態(tài)檢查 連接保持 2． 狀態(tài)監(jiān)測防火墻的配置實(shí)例 例 85：設(shè)內(nèi)部網(wǎng)絡(luò) IP地址及其端口號為 ， 防火墻內(nèi)部網(wǎng)卡 eth1的址為 ， 防火墻的外部網(wǎng)卡地址為 ， DNS地址為 ， 其配置規(guī)則為： l 允許內(nèi)部網(wǎng)絡(luò)的所有主機(jī)都能訪問外網(wǎng)的 WWW（ 端口號為 80） 、 FTP（ 端口號為 21）服務(wù)； l 外部網(wǎng)絡(luò)的所有主機(jī)不能訪問內(nèi)部網(wǎng)絡(luò) 。 該規(guī)則配置如下： set internal= deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow $internal access any dns by udp keep state allow $internal access any by tcp keep state allow $internal access any ftp by tcp keep state allow ip from any to any