【導(dǎo)讀】在本模塊中，教師學(xué)員將整理自己的培訓(xùn)成果，制作個人網(wǎng)站，展示培訓(xùn)作品；然后，教師學(xué)員將對培訓(xùn)項(xiàng)目進(jìn)行反思與評價。用VCT反映培訓(xùn)過程。價常用的設(shè)計方法，以及“行動研究法”的基本內(nèi)容。請先與同伴一起共享模塊7的學(xué)習(xí)心。經(jīng)過模塊1至模塊7的學(xué)習(xí)，我們即將完成中級內(nèi)容的培訓(xùn)。進(jìn)行總體回顧，并為本模塊的學(xué)習(xí)建立知識背景。些概念有助于對整個培訓(xùn)過程形成全面清晰的認(rèn)識。歸納本次培訓(xùn)學(xué)習(xí)的主要軟件工具，填寫表8-2。在“常規(guī)”標(biāo)簽中檢查文件夾的大小。保證完整性的前提下，刪除一些無關(guān)的文件，一方面，有利于文件的移動與發(fā)布，另一方面，訓(xùn)”VCT作品，并在實(shí)施本模塊活動2過程中不斷補(bǔ)充。員結(jié)對提建議的方式，進(jìn)一步找出不足。受培訓(xùn)時間所限，建議學(xué)員在培訓(xùn)結(jié)束后繼續(xù)完成此項(xiàng)補(bǔ)充工作。例如，假設(shè)你的姓名為“張寧”，個人網(wǎng)站的及等屬性，如圖8-5所示。

　　

【正文】 世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，人們往往在該網(wǎng)絡(luò)和Inter 之 間豎起一道安全屏障，這道屏障的作用是阻斷來自外部通過 Inter 對本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審核的唯一關(guān)卡，它的作用與古時候的防火磚墻有類似之處，因此我們把這個屏障就叫做 “ 防火墻”。 在計算機(jī)中，防火墻有許多種形式，有的以軟件形式運(yùn)行在普通計算機(jī)之上，有的以硬件形式單獨(dú)實(shí)現(xiàn)，也有的以固件形式設(shè)計在路由器之中。典型的防火墻具有以下三個方面的基本特性： 1. 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。防火墻假設(shè)了網(wǎng)絡(luò)邊界的存在，它通 常處于企業(yè)單位的內(nèi)部局域網(wǎng)與 Inter 之間，限制 Inter 用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問外界的權(quán)限。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。 2. 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)數(shù)據(jù)流的合法性，防火墻原則上應(yīng)封鎖所有數(shù)據(jù)流，然后根據(jù)制定的安全策略逐項(xiàng)開放，過濾掉不安全服務(wù)和非法用戶，即過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問行為。 3．防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 這是防火墻之所以能擔(dān) 當(dāng)企業(yè)單位內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。 根據(jù)防火墻所采用的技術(shù)不同，一般可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換 — NAT、代理型和監(jiān)測型。 1．包過濾型 包過濾技術(shù)的依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成許許多多一定長度的的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、 TCP/UDP 源端口和目標(biāo)端口等。包過濾型 防火墻會檢查所有通過的數(shù)據(jù)包中的 IP 地址，并按照所給定的過濾規(guī)則判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾型防火墻雖然簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下 ,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但它的缺陷也是明顯的，由于包過濾型防火墻采用是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，這樣就無法識別基于應(yīng)用層的惡意侵入，許多有經(jīng)驗(yàn)的黑客很容易 會偽造 IP 地址來騙過包過濾型防火墻。 2．網(wǎng)絡(luò)地址轉(zhuǎn)換 — NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）技術(shù)就是將一個 IP 地址轉(zhuǎn)換為另一個 IP 地址的方法，它的作用是可以決定哪些內(nèi)部的 IP 地址需要隱藏，哪些地址需要映射成為一個對 Inter 可見的IP 地址。這樣在外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時 ,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況 ,而只是通過一個開放的 IP 地址和端口來請求訪問，防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。否則 ,防火墻將 屏蔽外部的連接請求。 3．代理型 代理型防火墻也可以被稱為代理服務(wù)器，這種方式使內(nèi)部網(wǎng)絡(luò)與 Inter 不直接通訊，內(nèi)部網(wǎng)絡(luò)計算機(jī)用戶與代理服務(wù)器采用一種通訊方式，即提供內(nèi)部網(wǎng)絡(luò)協(xié)議（ NetBEUI、IPX/SPX 和 TCP/IP 等），代理服務(wù)器與 Inter 之間的通信采取的是標(biāo)準(zhǔn) TCP/IP 網(wǎng)絡(luò)通信協(xié)議，防火墻內(nèi)外計算機(jī)的通信是通過代理服務(wù)器來中轉(zhuǎn)實(shí)現(xiàn)的，這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計算機(jī)系統(tǒng)的隔離，由于代理服務(wù)器兩端采用的是不同的協(xié)議標(biāo)準(zhǔn)，所以能夠有效地阻止外界直接非法入侵。 代理服務(wù)器通常由性能好 、處理速度快、容量大的計算機(jī)來充當(dāng)，在功能上是作為內(nèi)部網(wǎng)絡(luò)與 Inter 的連接者，它對于內(nèi)部網(wǎng)絡(luò)來說就像一臺真正的服務(wù)器一樣，而對于Inter 上的服務(wù)器來說，它又是一臺客戶機(jī)。它負(fù)責(zé)截獲客戶的請求，并且根據(jù)它的安全規(guī)則來決定這個請求是否允許。如果允許的話，代理服務(wù)器就會和那個被請求的站點(diǎn)進(jìn)行連接，并去那個站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。 代理型防火墻的優(yōu)點(diǎn)是安全性較高，由于它工作于 OSI 的最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)。但缺點(diǎn)就是速度相對比較慢，因?yàn)樗辉试S用戶直接訪問網(wǎng) 絡(luò)，當(dāng)用戶對網(wǎng)絡(luò)的吞吐量要求比較高時，它就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。 4．監(jiān)測型 監(jiān)測型防火墻引用了狀態(tài)檢測的技術(shù)，它在核心部 分 建立了狀態(tài)連接表，并對網(wǎng)絡(luò)中流通的數(shù)據(jù)編成一個個的會話，并利用狀態(tài)表跟蹤每個會話的狀態(tài)，能夠?qū)Ω鲗訑?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測，并對監(jiān)測數(shù)據(jù)進(jìn)行系統(tǒng)的分析，從而更好地準(zhǔn)確判斷出各層中的非法入侵行為。同時這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。 盡管利用 防火墻可以提高網(wǎng)絡(luò)的安全性，但不可能保證網(wǎng)絡(luò)的絕對安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，例如防火墻不能防范不經(jīng)過防火墻的攻擊，防火墻也很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，因此，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。 【 相關(guān) 知識 】 1. IP 地址 2. 服務(wù)器 【 技術(shù)學(xué)習(xí) 】 Windows 7 2020 年 7 月 14 日， Windows 7 制造商版發(fā)布，標(biāo)志軟件的 Windows 7 開發(fā)完成。 2020年 10 月發(fā)布正式版 。 作為新一代操作系統(tǒng)， Windows 7 有很多新的功能，特別在人性化的桌面設(shè)計新穎，例如：在任務(wù)欄右下角單擊網(wǎng)絡(luò)圖標(biāo)，會彈出所有可用的網(wǎng)絡(luò)，點(diǎn)擊一下就可以連接，實(shí)現(xiàn)一鍵聯(lián)網(wǎng)；常用的程序可以鎖定到任務(wù)欄中，以后再次使用該程序時，就可以從任務(wù)欄直接啟動。更多的特性可訪問 下面的網(wǎng)站， 了解并親身體驗(yàn) ：