【正文】 第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。 ? 第四代防火墻已超出了原來(lái)傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段 169。南昌大學(xué)計(jì)算中心 55 2022/2/5 防火墻定義 ?防火墻語(yǔ)參考來(lái)自己應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來(lái)起分隔作用的墻，用來(lái)隔離不同的房間，盡可能的起防火作用。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。一般地，防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開大樓。因此，雖然防火墻保護(hù)了人們的安全，但這個(gè)門在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。 ?在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過一個(gè) “ 門 ” 來(lái)允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信 169。南昌大學(xué)計(jì)算中心 56 2022/2/5 防火墻的任務(wù) ?防火墻在實(shí)施安全的過程中是至關(guān)重要的。一個(gè)防火墻策略要實(shí)現(xiàn)四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。 ?實(shí)現(xiàn)一個(gè)企業(yè)的安全策略：防火墻的主要意圖是強(qiáng)制執(zhí)行企業(yè)的安全策略 ?創(chuàng)建一個(gè)阻塞點(diǎn)：防火墻在一個(gè) Intra網(wǎng)絡(luò)和Inter間建立一個(gè)檢查點(diǎn)。 ?記錄 Inter活動(dòng)：防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。 ?限制網(wǎng)絡(luò)暴露：防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。 169。南昌大學(xué)計(jì)算中心 57 2022/2/5 防火墻術(shù)語(yǔ) ?1．網(wǎng)關(guān) :網(wǎng)關(guān)是在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（ CGl）到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。 ?2．電路級(jí)網(wǎng)關(guān) :電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，決定該會(huì)話是否合法，電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來(lái)過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。 169。南昌大學(xué)計(jì)算中心 58 2022/2/5 ?3．應(yīng)用級(jí)網(wǎng)關(guān)可以工作在 OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。 ?4．包過濾 :包過濾是處理網(wǎng)絡(luò)上基于 packetbypacket流量的設(shè)備。 ?5．代理服務(wù)器 :代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)，電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。 ?6．網(wǎng)絡(luò)地址翻譯（ NAT） :網(wǎng)絡(luò)地址解釋是對(duì) Intemet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服 IP尋址方式的諸多限制，完善內(nèi)部尋址模式。 ?7．堡壘主機(jī) :堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。 169。南昌大學(xué)計(jì)算中心 59 2022/2/5 防火墻技術(shù) ?1．包過濾技術(shù) ? 包過濾防火墻的安全性是基于對(duì)包的 IP地址的校驗(yàn)。按照預(yù)先設(shè)定的過濾原則過濾信息包。那些不符合規(guī)定的 IP地址的信息包會(huì)被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。 ? 2．代理技術(shù) ? 代理服務(wù)器接收客戶請(qǐng)求后會(huì)檢查驗(yàn)證其合法性，如果合法，代理服務(wù)器像一臺(tái)客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來(lái)，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所商服務(wù)都完全被封鎖住。 ?3．狀態(tài)監(jiān)視技術(shù) ? 這是第三代網(wǎng)絡(luò)安全技術(shù)。狀態(tài)監(jiān)視服務(wù)的監(jiān)視模塊在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)視，并作安全決策的依據(jù) 169。南昌大學(xué)計(jì)算中心 60 2022/2/5 包過濾防火墻 ?Inter采用 TCP／ IP協(xié)議，設(shè)置在不同網(wǎng)絡(luò)層次上的電子屏障構(gòu)成了不同類型的防火墻，一般分為兩大類：包過濾型與代理服務(wù)器。 ?安全策略是防火墻的靈魂和基礎(chǔ)。在建立防火墻之前要在安全現(xiàn)狀、風(fēng)險(xiǎn)評(píng)估和商業(yè)需求的基礎(chǔ)上提出一個(gè)完備的總體安全策略，這是配制防火墻的關(guān)鍵。 安全策略可以按如下兩個(gè)邏輯來(lái)制訂： ?準(zhǔn)許訪問除明確拒絕以外的全部訪問 —— 所有末被禁讓的都允許訪問。 ?拒絕訪問除明確準(zhǔn)許的全部訪問 —— 所有末被允許的都禁止訪問。 169。南昌大學(xué)計(jì)算中心 61 2022/2/5 ?包過濾防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、透明，其缺點(diǎn)是： ?該防火墻需從建立交全策略和過濾規(guī)則集入于，需要花費(fèi)大量的時(shí)間和人力，還要 不斷根據(jù)新情況不斷更新過濾規(guī)則集。同時(shí)規(guī)則集的復(fù)雜性又沒有測(cè)試工具來(lái)檢 驗(yàn)其正確性，難免仍會(huì)心現(xiàn)漏洞，給黑客以可乘之機(jī)。 ?對(duì)了采用動(dòng)態(tài)分配端口的服務(wù)，如很多毗（遠(yuǎn)程過程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器 在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過濾。 ?包過濾防火墻只按規(guī)則丟棄數(shù)據(jù)包而不作記錄和報(bào)告，沒有日志功能，沒有審計(jì)性。 同時(shí)它不能識(shí)別相同 IP地址的不同用戶，不具備用戶身份認(rèn)證等功能。 169。南昌大學(xué)計(jì)算中心 62 2022/2/5 代理服務(wù)器 ?代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序。代理是企圖在應(yīng)用層實(shí)現(xiàn)防火墻的功能，代理的主要特點(diǎn)是有狀態(tài)性。代理能提供部分與傳輸方面的信息，代理也能處理管理信息。通過代理使得網(wǎng)絡(luò)管理員實(shí)現(xiàn)比包過濾路由器更嚴(yán)格的安全策略。 ?代理主要有三種基本類型： WEB代理、電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。 169。南昌大學(xué)計(jì)算中心 63 2022/2/5 1． WEB代理 ?WEB代理服務(wù)的最大好處就是能提高訪問Inter的速度：一旦 — 個(gè) WEB代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對(duì)請(qǐng)求提供服務(wù)。而 WEB代理客戶端則可以得到很快速的響應(yīng)。 WEB代理第二個(gè)好處是 WEB代理使客戶端無(wú)需真正接連接Inter，因此可以避免成為被攻擊的目標(biāo)。 169。南昌大學(xué)計(jì)算中心 64 2022/2/5 2．電路級(jí)網(wǎng)關(guān) ?電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息，這樣來(lái)決定該會(huì)話是否合法。 ?電路級(jí)網(wǎng)關(guān)的主要優(yōu)點(diǎn)就是提供 NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。 ?電路級(jí)網(wǎng)關(guān)不能很好地區(qū)別好包與壞包、易受 IP欺騙這類的攻擊及自身的復(fù)雜性，這些都是電路級(jí)網(wǎng)關(guān)的缺陷。另外的兩個(gè)重要的缺陷是需要修改應(yīng)用程序和執(zhí)行程序與電路級(jí)網(wǎng)關(guān)要求終端用戶通過網(wǎng)關(guān)的認(rèn)證。 169。南昌大學(xué)計(jì)算中心 65 2022/2/5 3．代理服務(wù)器（應(yīng)用級(jí)網(wǎng)關(guān)） ?應(yīng)用級(jí)網(wǎng)關(guān)可以工作在 OSI七層模型的任一層上來(lái)檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。 ?代理服務(wù)器的主要優(yōu)點(diǎn)就是提供 NAT的功能