【正文】 多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。七、防火墻的發(fā)展趨勢近年來，計算機網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會結(jié)構(gòu)的一個基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。而隨著Internet的迅速發(fā)展，計算機網(wǎng)絡(luò)對安全的要求也日益增高。越來越多的網(wǎng)站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構(gòu)和組織不斷遭受著安全問題的威脅等等。盡管利用防火墻可以保護內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個實際的網(wǎng)絡(luò)運行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡(luò)的安全顯然是不夠，此時，應(yīng)根據(jù)實際需求采取其他相應(yīng)的安全策略。計算機的安全問題正面臨著前所未有的挑戰(zhàn)。在這場網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠沒有終點。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。參考文獻[1] （第5版）[M].北京：電子工業(yè)出版社[2] 吳秀梅，：清華大學(xué)出版社 [3] 張紅旗，王魯 [4] 張華貴，[5] （自然科學(xué)版）第五篇：實驗 防火墻技術(shù)實驗實驗九防火墻技術(shù)實驗實驗?zāi)康姆阑饓κ蔷W(wǎng)絡(luò)安全的第一道防線，按防火墻的應(yīng)用部署位置分類，可以分為邊界防火墻、個人防火墻和分布式防火墻三類。通過實驗，使學(xué)生了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。題目描述根據(jù)不同的業(yè)務(wù)需求制定天網(wǎng)防火墻策略，并制定、測試相應(yīng)的防火墻的規(guī)則等。實驗要求基本要求了解各種不同類型防火墻的特點，掌握個人防火墻的工作原理和規(guī)則設(shè)置方法，掌握根據(jù)業(yè)務(wù)需求制定防火墻策略的方法。提高要求能夠使用WindowsDDK開發(fā)防火墻。相關(guān)知識1)防火墻的基本原理防火墻（firewall）是一種形象的說法，本是中世紀的一種安全防務(wù)：在城堡周圍挖掘一道深深的壕溝，進入城堡的人都要經(jīng)過一個吊橋，吊橋的看守檢查每一個來往的行人。對于網(wǎng)絡(luò)，采用了類似的處理方法，它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(securitygateway),也就是一個電子吊橋，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。它決定了哪些內(nèi)部服務(wù)可以被外界訪問、可以被哪些人訪問，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。典型的網(wǎng)絡(luò)防火墻如下所示。防火墻也并不能防止內(nèi)部人員的蓄意破壞和對內(nèi)部服務(wù)器的攻擊，但是，這種攻擊比較容易發(fā)現(xiàn)和察覺，危害性也比較小，這一般是用公司內(nèi)部的規(guī)則或者給用戶不同的權(quán)限來控制。2)防火墻的分類前市場的防火墻產(chǎn)品主要分類如下：（1）從軟、硬件形式上軟件防火墻和硬件防火墻以及芯片級防火墻。（2）從防火墻技術(shù)“包過濾型”和“應(yīng)用代理型”兩大類。（3）從防火墻結(jié)構(gòu)單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應(yīng)用部署位置邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能百兆級防火墻和千兆級防火墻兩類。3）防火墻的基本規(guī)則■一切未被允許的就是禁止的(No規(guī)則)?！鲆磺形幢唤沟木褪窃试S的(Yes規(guī)則)。很多防火墻(例如SunScreenEFS、CiscoIOs、FW1)以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規(guī)則相比較,然后是第二條、第三條??當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用那條規(guī)則。4）防火墻自身的缺陷和不足■限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高被保護網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)?！鰺o法防護內(nèi)部網(wǎng)絡(luò)用戶的攻擊。目前防火墻只提供對外部網(wǎng)絡(luò)用戶攻擊的防護，對來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊只能依靠內(nèi)部網(wǎng)絡(luò)主機系統(tǒng)的安全性?！鯥nternet防火墻無法防范通過防火墻以外的其他途徑的攻擊。例如，在一個被保護的網(wǎng)絡(luò)上有一個沒有限制的撥出存在，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過SLIP或PPP聯(lián)接進入Internet。■對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效?！鯥nternet防火墻也不能完全防止傳送已感染病毒的軟件或文件?！龇阑饓o法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到Internet主機上，但一旦執(zhí)行就開始攻擊。例如，一個數(shù)據(jù)型攻擊可能導(dǎo)致主機修改與安全相關(guān)的文件，使得入侵者很容易獲得對系統(tǒng)的訪問權(quán)。■不能防備新的網(wǎng)絡(luò)安全問題。防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。實驗設(shè)備主流配置PC，安裝有windows 2000 SP4操作系統(tǒng)，網(wǎng)絡(luò)環(huán)境，天網(wǎng)防火墻個人版。實驗步驟1）從指導(dǎo)老師處得到天網(wǎng)防火墻個人版軟件。2）天網(wǎng)防火墻個人版的安裝。按照安裝提示完成安裝，并重啟后系統(tǒng)。3）系統(tǒng)設(shè)置。在防火墻的控制面板中點擊“系統(tǒng)設(shè)置”按鈕，即可展開防火墻系統(tǒng)設(shè)置面板。天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如下。防火墻自定義規(guī)則重置：占擊該按鈕，防火墻將彈出窗口，如下：如果確定，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，你對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。防火墻設(shè)置向?qū)В簽榱吮阌谟脩艉侠淼脑O(shè)置防火墻，天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)?。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。應(yīng)用程序權(quán)限設(shè)置：勾選了該選項之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時候。（譬如在運行某些游戲程序的時候）局域網(wǎng)地址：設(shè)置在局域網(wǎng)內(nèi)的地址。防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET 的IP來源。日志保存：選中每次退出防火墻時自動保存日志，當你退出防火墻的保護時，天網(wǎng)防火墻將會把當日的日志記錄自動保存到SkyNet/FireWall/log文件下，打開文件夾便可查看當日的日志記錄。4）安全級別設(shè)置天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級，默認的安全等級為中級。了解安全級別的說明請查看防火墻幫助文件。為了了解規(guī)則的設(shè)置等情況，我們選擇自定義安全級別。然后點擊左邊的將打開自定義的IP規(guī)則。從中可以看出，規(guī)則的先后順序為IP規(guī)則、ICMP規(guī)則、IGMP規(guī)則、TCP規(guī)則和UDP規(guī)則。自定義IP規(guī)則的工具條如下，可以使用這些工具完成規(guī)則的增加、修改、刪除、保存、調(diào)整、導(dǎo)入導(dǎo)出操作。重要：規(guī)則增加、修改、刪除等操作后一定要點擊保存圖標進行保存，否則無效。單擊規(guī)則前面的，可使該規(guī)則不起作用，且其形狀變?yōu)椤?）修改規(guī)則雙擊該規(guī)則，或者點擊工具條上的修改按鈕可以打開該規(guī)則的修改窗體。然后按照需求對各部分進行修改。（1）首先輸入規(guī)則的“名稱”和“說明”，以便于查找和閱讀。（2）然后，選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。（3）“對方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來或是去哪里，這里有幾點說明： ■“任何地址”是指數(shù)據(jù)包從任何地方來，都適合本規(guī)則，■“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)，■“指定地址”是你可以自己輸入一個地址，“指定的網(wǎng)絡(luò)地址”是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。（4）除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對應(yīng)的協(xié)議，其中：■‘IP’協(xié)議不用填寫內(nèi)容，注意，如果你錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”?！觥甌CP’協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處錄入該端口，結(jié)束處，錄入同樣的端口。如果不想指定任何端口，只要在起始端口都錄入0。TCP標志比較復(fù)雜，你可以查閱其他資料，如果你不選擇任何標志，那么將不會對標志作檢查?！觥甀CMP’規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。■‘IGMP’不用填寫內(nèi)容。（5）當一個數(shù)據(jù)包滿足上面的條件時，你就可以對該數(shù)據(jù)包采取行動了： ■‘通行’指讓該數(shù)據(jù)包暢通無阻的進入或出去?！鰯r截’指讓該數(shù)據(jù)包無法進入你的機器■繼續(xù)下一規(guī)則’指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條同協(xié)議規(guī)則來決定對該包的處理。（6）在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并用右下腳的“天網(wǎng)防火墻個人版”圖標是否閃爍來“警告”，或發(fā)出聲音提示。6）新增規(guī)則點擊工具條的新增規(guī)則按鈕可以新增一條規(guī)則，并彈出該規(guī)則的編輯界面。比如新增一條允許訪問WWW端口的規(guī)則，可以按如下方法設(shè)置。設(shè)置完成后點擊“確定”，并點擊工具條的保存按鈕。7）普通應(yīng)用程序規(guī)則設(shè)置天網(wǎng)防火墻個人版增加對應(yīng)用程序數(shù)據(jù)傳輸封包進行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)防火墻個人版打開的情況下，首次激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會被天網(wǎng)防火墻個人版先截獲分析，并彈出窗口，詢問你是通過還是禁止。這時可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。如果不選中“該程序以后按照這次的操作運行”，那么天網(wǎng)防火墻個人版在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果選中“該程序以后按照這次的操作運行”選項，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。8）高級應(yīng)用程序規(guī)則設(shè)置單擊可以打開詳細的應(yīng)用程序規(guī)則設(shè)置。單擊應(yīng)用程序規(guī)則面板中對應(yīng)每一條應(yīng)用程序規(guī)則都有幾個按鈕點擊“選項”即可激活應(yīng)用程序規(guī)則高級設(shè)置頁面?！霸搼?yīng)用程序可以”窗口是設(shè)定該應(yīng)用程序可以做的動作。其中：是指此應(yīng)用程序進程可以向外發(fā)出連接請求，通常是用于各種客戶端軟件。則是指此程序可以在本機打開監(jiān)聽的端口來提供網(wǎng)絡(luò)服務(wù)，這通常用于各種服務(wù)器端程序中。9）根據(jù)以上功能，分別完成如下不同需求的防火墻規(guī)則設(shè)置并進行測試。需求1：ICMP規(guī)則允許ping進來，其它禁止，TCP規(guī)則允許訪問本機的WWW服務(wù)和主動模式的FTP服務(wù)，其它禁止，UDP禁止。需求2：ICMP規(guī)則允許ping出去，其它禁止，TCP規(guī)則禁止所有連接本機，允許IE訪問Internet的80端口，UDP規(guī)則允許DNS解析，其它進出UDP報文禁止。實驗思考1）根據(jù)你所了解的網(wǎng)絡(luò)安全事件，你認為天網(wǎng)防火墻不具備的功能有哪些？ 2）防火墻是不是絕對的安全？攻擊防火墻系統(tǒng)的手段有哪些？