【正文】 機防火墻 ”。 主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡與網(wǎng)絡之間，而是把安全策略推廣延伸到每個網(wǎng)絡末端。 （ 2）嵌入操作系統(tǒng)內核： 為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)。 （ 3）類似于個人防火墻 （ 4）適用于服務器托管 3．分布式防火墻的主要優(yōu)勢 在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網(wǎng)絡的任何交界和節(jié)點處設置屏障，從而形成了一個多層次、多協(xié)議，內外皆防的全方位安全體系。主要優(yōu)勢如下： （ 1）增強的系統(tǒng)安全性： 增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略。 （ 2）提高了系統(tǒng)性能： 消除了結構性瓶頸問題，提高了系統(tǒng)性能。 （ 3）系統(tǒng)的擴展性： 分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。 （ 4）實施主機策略： 對網(wǎng)絡中的各節(jié)點可以起到更安全的防護。 （ 5）應用更為廣泛，支持 VPN通信： 其實分布式防火墻最重要的優(yōu)勢在于，它能夠保護物理拓樸上不屬于內部網(wǎng)絡，但位于邏輯上的 “內部 ”網(wǎng)絡的那些主機，這種需求隨著 VPN的發(fā)展越來越多。 4．分布式防火墻的基本原理 分布式防火墻仍然由中心定義策略，但由各個分布在網(wǎng)絡中的端點實施這些制定的策略。它依賴于三個主要的概念：說明哪一類連接可以被允許禁止的策略語言、一種系統(tǒng)管理工具和 IP安全協(xié)議。 （ 1）策略語言： 以 IP地址來標志內部主機是一種可供選擇的方法，但它的安全性不高，所以更傾向于使用 IP安全協(xié)議中的密碼憑證來標志各臺主機，它為主機提供了可靠的、唯一的標志，并且與網(wǎng)絡的物理拓撲無關。 （ 2）系統(tǒng)管理工具： 分布式防火墻服務器的系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護的所有主機，應該注意的是這里所指的防火墻并不是傳統(tǒng)意義上的物理防火墻，而是邏輯上的分布式防火墻。 （ 3） IP安全協(xié)議： 是一種對 TCP/IP協(xié)議族的網(wǎng)絡層進行加密保護的機制，包括 AH和 ESP，分別對 IP包頭和整個 IP包進行認證，可以防止各類主機攻擊。 ?首先由制定防火墻接入控制策略的中心通過編譯器將策略語言訴描述轉換成內部格式，形成策略文件； ?然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺 “內部 ”主機； “內部 ”主機將從兩方面來判定是否接受收到的包，一方面是根據(jù) IP安全協(xié)議，另一方面是根據(jù)服務器端的策略文件。 分布式防火墻工作 過程： 因為采用了軟件形式（有的采用了軟件＋硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面： 5．分布式防火墻的主要功能 （ 1） Inter訪問控制 （ 2）應用訪問控制 （ 3）網(wǎng)絡狀態(tài)監(jiān)控 （ 4）黑客攻擊的防御 （ 5）日志管理 （ 6）系統(tǒng)工具 3． 6． 3 以防火墻為核心的網(wǎng)絡信 息安全體系 網(wǎng)絡安全是一個綜合的概念，它不僅包括網(wǎng)絡安全產(chǎn)品，而且還涉及整個企業(yè)的管理機制、流程方面的問題，因此是一復雜的系統(tǒng)工程。 ? 就網(wǎng)絡安全產(chǎn)品而言，就是一個很大的家族，除防火墻之外，還包括 VPN密碼機、 IDS、防病毒產(chǎn)品等等。 ? 誤區(qū)：什么樣的防火墻是安全的防火墻、單靠防火墻是否能否保證網(wǎng)絡的安全、如何構建以防火墻為核心的網(wǎng)絡安全體系等，下面就針對這些問題做簡要的分析和介紹。 1．高速安全的防火墻基礎平臺是網(wǎng)絡安全的 保障 2．構建以防火墻為核心的集成安全方案 3．網(wǎng)絡安全產(chǎn)品不但是產(chǎn)品而是服務 3． 7 防火墻選擇 原則與常見 產(chǎn)品 3． 7． 1 防火墻選擇原則 防火墻的選擇應根據(jù)網(wǎng)站的特點來選擇合適的防火墻。如果站點是一個機密性機構，但對某些人提供入站的 FTP服務，則需要有強大認證功能的防火墻；如果站點聯(lián)接到 Inter上只是為了接收電子郵件，那么可以不需要防火墻。 ?在考慮購買防火墻的時候，主要考慮以下幾條： 1． 總擁有成本 2．防火墻自身的安全性 3．防火墻的穩(wěn)定性 4．防火墻的性能 5． 功能的靈活性 6．簡化的安裝與管理 7．配置方便性 8．是否可針對用戶身份進行過濾 10． 可擴展和可升級性 11．有用的日志 3． 7． 2 常見產(chǎn)品 ? 常見的企業(yè)級防火墻： （ 1） CheckPointFirewall： 它提供了最佳權限控制 、 最佳綜合性能及簡單明了的管理 。 除了 NAT外 ， 它具有用戶認證功能 。 （ 2） AXENTRaptor： 總體來說是代理型防火墻中是最好的 。 （ 4） CiscoPIXFirewall： PIX的處理性能是最好的 ， 而且使用 NAT時不影響其性能 。 （ 3） SecureComputingSecureZone： 其代理功能很強 ， FTP代理可定制文件的創(chuàng)建 、刪改及 put/get操作 。 （ 5） Netscreen：它使用專用的 ASIC提供高性能的防火墻 ， 既便宜又易于安裝 。 （ 6） NetGuardGuardian： 盡管它的界面簡單 ， 其權限控制功能優(yōu)于 Netscreen。 ? 常見的企業(yè)級防火墻： （ 1） 天網(wǎng)防火墻 （ 2） 藍盾防火墻個人版 （ 3） 瑞星個人防火墻 （ 4） “ 反黑王 ” （ 5） 美國賽門鐵克 （ Symantec） 公司的諾頓（ Norton） 防火墻 （ 6） 金山網(wǎng)鏢 3． 8 本章小結 本章首先介紹了訪問控制的基本常識 ， 然后著重介紹了防火墻的相關知識 。 在計算機網(wǎng)絡安全技術性保護措施中，訪問控制是針對越權使用資源的防御措施，是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。 作為近年來新興的保護計算機網(wǎng)絡安全技術性措施，防火墻是一種隔離控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從公司的網(wǎng)絡上被非法輸出。換言之：防火墻是一道門檻，控制進出兩個方向的通信。通過限制與網(wǎng)絡或某一特定區(qū)域的通信，以達到防止非法用戶侵犯 Inter和公用網(wǎng)絡的目的。 防火墻是一種被動防衛(wèi)技術，由于它假設了網(wǎng)絡的邊界和服務，因此對內部的非法訪問難以有效地控制，所以，防火墻最適合于相對獨立且與外部網(wǎng)絡互聯(lián)途徑有限、網(wǎng)絡服務種類相對集中的單一網(wǎng)絡。 實現(xiàn)防火墻的主要技術有：數(shù)據(jù)包過濾路由器、應用雙宿主網(wǎng)關的代理服務、主機屏蔽防火墻和子網(wǎng)屏蔽防火墻等。 防火墻的具體實現(xiàn)產(chǎn)品有很多 ， 本章介紹多種企業(yè)級和個人版防火墻 。 演講完畢，謝謝觀看！