【正文】 ， 還應(yīng)考慮用戶的實際需求與未來網(wǎng)絡(luò)的升級 。 因此 ， 防火墻除了具有保護網(wǎng)絡(luò)安全的基本功能外 ， 還提供對VPN的支持 ， 同時還應(yīng)該具有可擴展的內(nèi)駐應(yīng)用層代理 。 除了支持常見的網(wǎng)絡(luò)服務(wù)以外 ， 還應(yīng)該能夠按照用戶的需求提供相應(yīng)的代理服務(wù) ， 例如 ， 如果用戶需要 NNTP(網(wǎng)絡(luò)消息傳輸協(xié)議 )、 XWindow、和 Gopher等服務(wù) ， 防火墻就應(yīng)該包含相應(yīng)的代理服務(wù)程序 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 124 ? 未來的防火墻系統(tǒng)應(yīng)是一個可隨意伸縮的模塊化解決方案 ， 從最為基本的包過濾器到帶加密功能的 VPN型包過濾器 ， 直至一個獨立的應(yīng)用網(wǎng)關(guān) ， 使用戶有充分的余地構(gòu)建自己所需要的防火墻體系 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 125 ?簡化的安裝與管理 ? 防火墻可以幫助管理員加強內(nèi)部網(wǎng)的安全性 ，但是一個不具體實施任何安全策略的防火墻無異于高級擺設(shè) 。 防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一 。 實踐證明 ， 許多防火墻產(chǎn)品并未起到預(yù)期作用的一個不容忽視的原因在于配置和實現(xiàn)上的錯誤 。 同時 ， 若防火墻的管理過于困難 ， 則可能會造成設(shè)定上的錯誤 ， 反而不能達到其功能 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 126 ?主動過濾 ? 防火墻開發(fā)商通過建立功能更強大的 Web代理使得 Web數(shù)據(jù)流進入在內(nèi)部網(wǎng)絡(luò)之前完成更多的事務(wù) 。 例如 ， 許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶將病毒與內(nèi)容掃描程序進行集成 。 今天 ， 許多防火墻都包括對過濾產(chǎn)品的支持 ， 并可以與第三方過濾服務(wù)連接 ， 這些服務(wù)提供了不受歡迎的 Inter站點的分類清單 。 防火墻還在 Web代理中包括了時間限制功能 ， 允許非工作時間的訪問 ， 并提供訪問活動的報告 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 127 ?防病毒與防黑客 ? 防火墻市場已經(jīng)對拒絕服務(wù)攻擊做出了反應(yīng) 。 雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊 ，但防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊 。 像對付序列號預(yù)測和 IP欺騙這類簡單攻擊 ，這些年來已經(jīng)成為了防火墻工具箱的一部分 。像 “ SYN泛濫 ” 這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進的檢測和避免方案來對付 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 128 LOGO 129 ? 未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全 、 操作系統(tǒng)的安全 、 應(yīng)用程序的安全 、 用戶的安全以及數(shù)據(jù)的安全 。 此外 ， 網(wǎng)絡(luò)的防火墻產(chǎn)品還將把其他網(wǎng)絡(luò)技術(shù) ， 如 Web頁面超高速緩存 、 虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來 。 防火墻技術(shù)發(fā)展動態(tài)和趨勢 LOGO 130 第 5章 防火墻技術(shù) ?防火墻技術(shù)概述 ?防火墻的分類 ?新一代防火墻的主要技術(shù) ?防火墻體系結(jié)構(gòu) ?防火墻技術(shù)發(fā)展動態(tài)和趨勢 ?防火墻的選購和使用 ?防火墻產(chǎn)品介紹 LOGO 131 防火墻的選購和使用 ?防火墻的選購：在選購防火墻的時候主要應(yīng)該考慮防火墻的基本功能 、 安全性 、 高效性 、 可管理性和適用性等因素 。 ? 安全性：安全性是評價防火墻好壞最重要的因素 ，因為購買防火墻的主要目的是為了保護網(wǎng)絡(luò)免受攻擊 。 但是安全性不像速度 、 配置界面那樣直觀 ， 便于估計 ， 往往被用戶所忽視 。 對于安全性的評估比較復(fù)雜 ， 并且需要配合使用一些攻擊手段進行 ， 用戶自己對防火墻進行測試和評估比較困難 ， 一般應(yīng)選用通過國家安全 、 公安等部門認證的產(chǎn)品 。 LOGO 132 ?性能 ? 性能主要包括兩個方面，最大并發(fā)連接數(shù)和數(shù)據(jù)包轉(zhuǎn)發(fā)率。最大并發(fā)連接數(shù)是衡量防火墻可擴展性的一個重要指標。數(shù)據(jù)包轉(zhuǎn)發(fā)率是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。購買防火墻的需求不同，對這兩個參數(shù)要求也不同。 防火墻的選購和使用 LOGO 133 ? 例如一臺用于保護電子商務(wù) Web站點的防火墻，支持越多的連接意味著能夠接受越多的客戶和交易，所以防火墻能夠同時處理多個用戶的請求是最重要的，哪怕每個連接的流量很小。但是對于那些需要經(jīng)常傳輸內(nèi)存大的文件，對實時性要求比較高的用戶，高的包轉(zhuǎn)發(fā)率則是關(guān)注的重點。 防火墻的選購和使用 LOGO 134 ?管理 ： 防火墻的管理簡單是對安全性的一個補充 。目前很多防火墻被攻破大多數(shù)不是因為程序編碼的問題 ， 而是管理和配置錯誤導(dǎo)致的 。 對管理的評估可以從以下三個方面進行 。 ? 遠程管理允許網(wǎng)絡(luò)管理員可以遠程對防火墻進行干預(yù) ， 并且所有遠程通信需要經(jīng)過嚴格的認證和加密 。 例如管理員下班后出現(xiàn)入侵跡象 ，防火墻可以通過發(fā)送電子郵件的方式通知該管理員 ， 管理員可以遠程封鎖防火墻的對外網(wǎng)卡接口或修改防火墻的配置 。 防火墻的選購和使用 LOGO 135 ? 訪問控制規(guī)則的配置界面應(yīng)該直觀 ， 使用簡單 。大多數(shù)防火墻產(chǎn)品都提供了基于 Web方式或 GUI的配置界面 。 ? 日志文件不僅能夠幫助用戶追查攻擊者的蹤跡 ，還可以記錄流量 。 防火墻的一些功能可以在日志文件中得到體現(xiàn) 。 防火墻提供靈活 、 可讀性強的審計界面是很重要的 ， 例如用戶可以查詢從某一固定 IP地址發(fā)出的流量 ， 訪問的服務(wù)器列表等 。 因為攻擊者可以采用不停地添寫日志以覆蓋原有日志的方法使追蹤無法進行 ， 所以防火墻應(yīng)該提供設(shè)定日志大小的功能 ， 同時在日志已滿時給予提示 。 防火墻的選購和使用 LOGO 136 ?適用性： 防火墻也有高低端之分 、 軟件硬件之分 ， 配置不同 ， 價格不同 ， 性能也不同 。在購買防火墻的時候應(yīng)挑選能夠滿足流量要求即可 ， 并不需要盲目追求高性能 。 還有 ，有些防火墻功能非常強大 ， 管理配置需要有網(wǎng)絡(luò)和安全專業(yè)知識 ， 在購買時應(yīng)該考慮自己是否需要這些復(fù)雜的功能 。 防火墻的選購和使用 LOGO 137 ?售后服務(wù)： 防火墻連接內(nèi)外網(wǎng)絡(luò) ， 一旦防火墻出現(xiàn)問題將影響整個內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問 ， 也將影響內(nèi)部網(wǎng)絡(luò)的安全性 ， 在購買防火墻時應(yīng)該考慮防火墻出現(xiàn)問題時能否及時地更換 、 維修設(shè)備 ， 在出現(xiàn)安全漏洞時能否及時提供技術(shù)支持 。 防火墻的選購和使用 LOGO 138 ?防火墻的安裝方法： 在安裝防火墻時 ，首先要了解用戶的需求 、 網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和采用的防火墻類型 ， 對于不同的需求 、 不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和不同類型的防火墻 ， 安裝的難易程度會有所不同 。其次要制定詳細的計劃和方案 。 防火墻的選購和使用 LOGO 139 ?設(shè)置防火墻的策略： 防火墻要實現(xiàn)其應(yīng)有的功能 ， 關(guān)鍵在于正確的配置 ， 許多有防火墻的站點被攻破 ， 往往不是防火墻本身的缺陷造成的 ， 而是由于防火墻管理員配置不正確造成的 。 而要配置好一個防火墻 ，關(guān)鍵不在于對防火墻本身如何使用 ， 而在于制定好安全策略 。 為確保網(wǎng)絡(luò)系統(tǒng)的安全 ， 在設(shè)置防火墻前要考慮以下策略 。 防火墻的選購和使用 LOGO 140 ?網(wǎng)絡(luò)策略： 網(wǎng)絡(luò)策略可分為兩級 ， 高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù) ， 低級的網(wǎng)絡(luò)策略描述防火墻如何限制和過濾在高級策略中定義的服務(wù) 。 防火墻的選購和使用 LOGO 141 ? 服務(wù)訪問策略： 服務(wù)訪問策略集中在 Inter訪問服務(wù)以及外部網(wǎng)絡(luò)訪問 ( 如撥入策略 、SLIP/PPP連接等 )。 服務(wù)訪問策略必須是可行的和合理的 。 可行的策略必須在阻止已知的網(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡 。 典型的服務(wù)訪問策略有允許通過增強認證的用戶在必要的情況下從 Inter訪問某些內(nèi)部主機與服務(wù)和允許內(nèi)部用戶訪問指定的 Inter主機與服務(wù) 。 防火墻的選購和使用 LOGO 142 ?防火墻設(shè)計策略： 防火墻設(shè)計策略基于特定的防火墻 ， 定義完成服務(wù)訪問策略的規(guī)則 。 通常有兩種基本的設(shè)計策略 ，即禁止任何服務(wù)除非被明確允許和允許任何服務(wù)除非被明確禁止 。 第一種的特點是安全但不好用 ， 第二種是好用但不安全 ， 通常采用第二種類型的設(shè)計策略 。而多數(shù)防火墻都在兩種之間采取折衷 。 防火墻的選購和使用 LOGO 143 ?增強的認證： 許多在 Inter上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶 /口令機制 。 即使用戶使用復(fù)雜的難于猜測和破譯的口令 ， 攻擊者仍然可以在 Inter上監(jiān)視傳輸?shù)目诹蠲魑?， 使傳統(tǒng)的口令機制形同虛設(shè) 。 增強的認證機制包含智能卡 、 認證令牌 、 生理特征 (指紋 )以及基于軟件 (RSA)等技術(shù) ， 用以克服傳統(tǒng)口令的弱點 。 雖然存在多種認證技術(shù) ， 它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰 。 目前許多流行的增強機制使用一次有效的口令和密鑰 。 防火墻的選購和使用 LOGO 144 ?防火墻的維護： 防火墻的管理和維護是一項長期 、 細致的工作 。 管理和維護好防火墻可以保證網(wǎng)絡(luò)的安全 ， 提高防火墻的使用壽命 。 為此 ， 網(wǎng)絡(luò)管理維護人員應(yīng)做好以下工作 。 防火墻的選購和使用 LOGO 145 1. 必須清楚對包括防火墻在內(nèi)的計算機網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)配置 。 2. 實施定期的掃描和檢查 ， 一旦發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出現(xiàn)問題 ，能及時排除和恢復(fù) 。 3. 保證系統(tǒng)監(jiān)控及防火墻之間的通信線路能夠暢通無阻，以便對安全問題進行報警、修復(fù)、處理其他的安裝信息等。 4. 保證整個系統(tǒng)處于優(yōu)質(zhì)服務(wù)狀態(tài) ， 必須全天候地對主機系統(tǒng)進行監(jiān)控 、 管理和維護 。 5. 定期對防火墻和相應(yīng)操作系統(tǒng)用補丁程序進行升級 。 6. 根據(jù)網(wǎng)絡(luò)變化及時調(diào)整安全策略 。 防火墻的選購和使用 LOGO 146 第 5章 防火墻技術(shù) ?防火墻技術(shù)概述 ?防火墻的分類 ?新一代防火墻的主要技術(shù) ?防火墻體系結(jié)構(gòu) ?防火墻技術(shù)發(fā)展動態(tài)和趨勢 ?防火墻的選購和使用 ?防火墻產(chǎn)品介紹 LOGO 147 ?典型企業(yè)防火墻產(chǎn)品介紹 ? 目前企業(yè)防火墻的產(chǎn)品很多 ， 防火墻廠商推出的產(chǎn)品在技術(shù)上 、 實現(xiàn)方法上以及功能上會有所不同 。 但一般來說 ， 一個成功的防火墻產(chǎn)品應(yīng)該具有下述基本功能 。 防火墻產(chǎn)品介紹 LOGO 148 ? 支持 “ 除非明確允許 ， 否則就禁止 ” 的設(shè)計策略 。 ? 本身支持安全策略 。 ? 支持新的服務(wù)加入 。 ? 可以安裝新的先進的認證方法 。 ? 如果需要可以運用過濾技術(shù)來允許和禁止服務(wù) 。 ? 可以使用各種服務(wù)代理 ， 以便新的認證方法可以安裝并運行在防火墻上 。 ? 擁有界面友好 ， 易于編程的 IP過濾語言 ， 并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾 ， 數(shù)據(jù)包的性質(zhì)包括源和目的地址 、 協(xié)議類型 、 源和目的端口 、 TCP包的ACK位 、 出站和入站網(wǎng)絡(luò)接口等 。 防火墻產(chǎn)品介紹 LOGO 149 LOGO 150 小結(jié) ?防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備 ， 是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障 ， 在網(wǎng)絡(luò)安全中具有舉足輕重的地位 。 ?防火墻目前還處于發(fā)展階段 ， 還有不少不足之處需要克服 ， 還有不少難題有待解決 。 不能把 “ 安全保護 ” 完全依賴于防火墻 。 LOGO