【正文】 該規(guī)則配置如下： set internal= deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow $internal access any dns by udp keep state allow $internal access any by tcp keep state allow $internal access any ftp by tcp keep state allow ip from any to any 。 總體來說，狀態(tài)包過濾技術減少了端口的開放時間，提供了對絕大多數(shù)服務的支持，其缺陷是允許外部主機和內部主機直接連接，也不能提供用戶鑒別機制。 主要體現(xiàn)如下： 狀態(tài)包過濾技術采用了一個被稱之為 “ 監(jiān)測模塊 ” 的 “ 軟件引擎 ” （ 軟件引擎的網絡安全策略是在網關上執(zhí)行的 ） ， 該監(jiān)模塊工作在數(shù)據鏈路層和網絡層之間 ， 它可對網絡通信中各層實施監(jiān)測分析 ， 提取相關的通信和狀態(tài)信息 ， 并在動態(tài)連接表中進行狀態(tài)及上下文信息的存儲和更新 ， 這些動態(tài)連接表會被為斷地修改和更新 ， 為下一個通信檢查積累數(shù)據 。 動態(tài)包過濾技術的主要特點是 ， 能在數(shù)據包通過打開的端口到達目的地后 ， 防火墻能及時關閉相應的端口 。 該規(guī)則配置如下 （ eth0為防火墻外部網絡接口網卡 ） ： set internal=deny ip from $internal to any in via eth0 deny ip from not $internal to any in via eth1 allow udp from $internal to any dns allow udp from any dns to $internal allow tcp from any to any established allow tcp from $internal to any in via eth1 allow tcp from $unternal to any ftp in via eth1 allow tcp from any ftpdata to $Internal in via eth0 allow ip from any to any IP過濾 、 Port過濾 、 NAT… 狀態(tài)監(jiān)測防火墻的配置技術 1． 狀態(tài)監(jiān)測防火墻的基本功能 靜態(tài)包過濾防火墻的過濾技術的一個致命缺陷在于 ， 為了能實現(xiàn)期望的通信 ， 防火墻必須保持部份端口永久性地開放 ， 這就給攻擊防火墻留下了安全隱患 。 靜態(tài)包過濾防火墻的具體過濾內容如下： l 數(shù)據包協(xié)議類型：如 TCP、 UDP、 ICMP、 IGMP等； l 源 IP地址； l 目的 IP地址； l 源端口： FTP、 HTTP、 DNS、 Email等； l 目的端口： FTP、 HTTP、 DNS、 Email等； l TCP信號選項： SYN、 ACK、 FIN、 RST等； l 數(shù)據包流向： in或 out； l 數(shù)據包流經的網絡接口： eth0、 eth1； l其他協(xié)議選項： ICMP ECHO、 ICMP ECHO REPLY等。 靜態(tài)包過濾防火墻的主要功能是 ， 依據事先設定的過濾規(guī)則 ， 檢查數(shù)據流中每個數(shù)據包 。 單擊 “ 應用程序使用情況 ” 按鈕，可查看應用程序訪問本機的記錄情況；單擊 “ 日志 ” 按鈕，可查看防火墻的工作日志；單擊“ 接通 /斷開網絡 ” 按鈕，可將本機與網絡重新連接或斷開。 在此對話框中，可對 IP地址有關規(guī)則進行設置。 在該對話框中，可對應用程序訪問權限進行設置。 系統(tǒng)設置按鈕 選擇 “ 開機自動啟動防火墻 ” ，即在該項選項前面打上一個“ √ ” ，以后，每次啟動計算機時就會自動啟動天網防火墻。 (1)防火墻的啟動 在 Windows 98/2021/XP桌面上 ， 單擊 “ 開始－程序－天網防火墻－天網防火墻個人版 ” ， 天網防火墻個人版即啟動 ， 得到如圖 829所示的屏幕 。 單擊 “ 確定 ” 按鈕 ， 得到如圖 810所示的對話框 。 在 “ 天網防火墻 ” 文件夾下選擇 “ 天網防火墻個人版 [正式版 ] ” ，單擊 “ 打開 ” 按鈕，進入 “ 運行程序 ” 窗口。 （ 打補丁 ） 軟件安裝完畢后，還要進行解碼，即打補丁，解碼程序文件名為 “ 天網防火墻個人版 [正式版 ] ” 。 選擇 “ 我的電腦在局域網中使用 ” 選項，系統(tǒng)自動將本機的地址填入 “ 我在局域網中的地址是 ” 欄目中，若 IP地址沒有填入，則單擊 “ 刷新 ” 按鈕。進入 “ 局域網信息設置 ” 對話框。 2． 防火墻設置向導 防火墻軟件安裝完畢后，自動進入 “ 設置向導 ” 對話框，單擊“ 下一步 ” 按鈕，進入 “ 安全級別設置 ” 對話框，如圖 85所示。 l 使用說明 .txt：防火墻安裝使用說明文件 。 在這一小節(jié)中 ， 我們以 “ 天網防火墻個人版 ”為藍本 ， 介紹天網防火墻的安裝 、 配置與應用技術 。 天網防火墻個人版是個人電腦使用的網絡安全程序 ， 根據管理者設定的安全規(guī)則把守網絡 ， 提供強大的訪問控制 、 信息過濾等功能 ， 幫助你抵擋網絡入侵和攻擊 ， 防止信息泄露 。 當前 ， 軟件防火墻有天網 、 瑞星 、 金山 、 諾頓 、 費爾等產品 。 應用實例 本節(jié)內容 “ 天網 ” 軟件防火墻的配置與應用技術 靜態(tài)包過濾防火墻的配置技術 狀態(tài)監(jiān)測防火墻的配置技術 “ 天網 ” 軟件防火墻的配置與應用技術 軟件防火墻又稱個人防火墻 ， 主要用于個人網絡終端 。就是將一個 IP地址用另一個 IP地址代替。 因此為了保證高層的安全 ， 防 火墻必須能夠訪問 、 分析和利用以下幾種信息： l 通信信息：所有應用層的數(shù)據包的信息； l 通信狀態(tài)：以前的通信狀態(tài)信息； l 來自應用狀態(tài)：其他應用的狀態(tài)信息； l信息處理：基于以上所有元素表達式的估算。 防火墻僅檢查獨立的信息包是不夠的 ， 因為狀態(tài)信息是控制新的通信聯(lián)接的最基本的因素 。 這種代理的優(yōu)點是它可以對各種不同的協(xié)議提供服務，但這種代理需要改進客戶程序。 電路級網關 （ Circuit Level Gateway） 也是一種代理 ，但是只能是建立起一個回路 ， 對數(shù)據包只起轉發(fā)的作用 。 規(guī)則 M是默認項，它實現(xiàn)的準則是 “ 沒有明確允許就表示禁止 ” 。 第二 ， 為了收發(fā)電子郵件 ， 允許 SMTP出站入站服務 ， 郵件服務器是 IP地址為 。規(guī)則總是成對出現(xiàn)的。這與一般原則是一致的：沒有明確 “ 允許 ” 的就是被 “ 禁止 ”的。 規(guī)則按從前到后的順序匹配，字段中的 “ *” 代表任意值，沒有被過濾器規(guī)則明確允許的包將被拒絕。表 81是根據這種策略所制定的規(guī)則。 (3)按地址過濾規(guī)則實例 例 81：該實例是一個最簡單的數(shù)據包過濾方式，它按照源地址進行過濾。 l 必須正式規(guī)定允許的包類型 、 包字段的邏輯表達 ?？梢詳M定一個要接受的設備和服務的清單，一個不接受的設備和服務的清單，組成訪問控制表。 包過濾在本地端接收數(shù)據包時，一般不保留上下文，只根據目前數(shù)據包的內容做決定。因為數(shù)據鏈路層是事實上的網卡（ NIC），網絡層是第一層協(xié)議堆棧，所以防火墻位于軟件層次的最底層。 數(shù)據包過濾可以控制站點與站點 、 站點與網絡 、 網絡與網絡之間的相互訪問 ， 但不能控制傳輸?shù)臄?shù)據內容 ， 因為數(shù)據內容是應用層數(shù)據 ， 不是包過濾系統(tǒng)所能辨認的 ， 數(shù)據包過濾允許在某個地方為整個網絡提供特別的保護 。 對于一個充滿危險的網絡 ， 過濾路由器提供了一種方法 ， 用這種方法可以阻塞某些主機和網絡連入內部網絡 ， 也可以用它來限制內部人員對一些危險和色情站點的訪問 。 防火墻安全技術 前面介紹了防火墻的基本概念 、 體系結構等 ， 在本小節(jié)中 ， 我們介紹防火墻的安全技術 ， 有數(shù)據包過濾技術 、 代理技術 、 狀態(tài)檢查技術 、 地址翻譯技術 （ NAT） 等 。在密鑰體制采用上，將采用對稱密鑰密碼體制和公開密鑰密碼體制相結合的方法，以提高密鑰分配的效率。針對 Inter的層次結構，密鑰中心的設置應具有相適應的層次。其次，不同網絡的密鑰管理協(xié)議可能不盡相同，這就導致用同樣的協(xié)議來建立異網通信密鑰和內部通信密鑰會非常困難，增加了密鑰管理機制的復雜性，很難實現(xiàn)密鑰使用上的方便性。 6． 密鑰管理策略 Inter的加密算法有兩個困難。最有名的消息認證體制是 MD5和 SHA1等。最著名的公開密鑰體制是 RSA體制和 ELGamal體制等。包過濾策略如下： l包過濾控制點； l 包過濾操作過程； l 包過濾原則； l 防止兩類不安全設計的措施； l特定協(xié)議包的過濾 。幾個域信任一個域來保證用戶的統(tǒng)一管理，或是一個域信任幾個域來保證用戶延伸到多個域中，同時還可提供傳遞驗證功能。雙向聯(lián)接的信任關系只不過是兩個單向信任關系，每個域都信任另外一個。典型的應用就是遠程訪問，它們之間并不相互信任，遠程用戶只可以在被信任域中使用。 兩個域信任關系的建立可以允許一個域中建立的用戶存取整個網絡中的資源 。 信任關系是兩個域中 ， 一個域信任另外的域 ， 它包括兩個方面：信任域和被信任域 。 通常授予用戶的權限有以下幾種： l通過網絡聯(lián)接計算機； l 備份文件和目錄 ， 此權限要高于文件和目錄許可； l 設置計算機內部系統(tǒng)時鐘； l 從計算機鍵盤登錄計算機； l 指定何種事件和資源被審查 ， 查看和清除安全日志； l 恢復文件和目錄； l 關閉系統(tǒng)； l 獲取一臺計算機的文件 、 目錄或是其他對象的所有權 。 用戶權限一般有兩類：第一類是對執(zhí)行特定任務用戶的授權可應用于整個系統(tǒng)；第二類是對特定對象 （ 如目錄 、 文件和打印機等 ） 的規(guī)定 ， 這些規(guī)定限制用戶能否或以何種方式存取對象 。 其中最主要的應包括用戶名 、 口令 、 用戶所屬的工作組 、 用戶在系統(tǒng)中的權限和資源存在許可 。 因此對防火墻也必須提供某種安全保護 。 l 防火墻不能防止本身的安全漏洞的威脅 。 l 防火墻不能防止內部的泄密行為 。 l 防火墻不能防止數(shù)據驅動式的攻擊 。 l 防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊 。 防火墻是一個安全設備 ， 但防火墻本身必須存在于一個安全的地方 。 防火墻是一個被動的安全策略執(zhí)行設備 ， 就像門衛(wèi)一樣 ， 要根據政策規(guī)定來執(zhí)行安全檢查 ， 而不能自作主張 。 沒有經過防火墻的數(shù)據 ， 防火墻無法檢查 。 防火墻是一種被動式的防護手段 ， 它只能對已知的網絡威脅起防護作用 。 l Inter防火墻不能完全防止傳送已感染病毒的軟件或文件 。 l Inter防火墻無法防范通過防火墻以外的其他途徑的攻擊 。 l 無法防護內部網絡用戶的攻擊 。 l 限制有用的網絡服務 。 防火墻準許某項服務 ， 卻不能保證該服務的安全性 。 防火墻的功能越多 ， 對 CPU和內存的消耗越大 ， 功能越多 ， 檢查的越多 ， 速度越慢 。 防火墻的安全性是建立在對數(shù)據的檢查之上 ， 檢查越細越安全 ， 但檢查越細速度越慢 。 因此 ，除非確信需要某些功能 ， 否則 ， 應將功能最小化 。 l 防火墻的安全性與多功能成反比 。 l 防火墻無法區(qū)分惡意流量和善意流量 。 l 防火墻無法區(qū)分惡意命令還是善意命令 。 l 防火墻無法解決 TCP/IP等協(xié)議的漏洞 。 l 防火墻軟件不能保證沒有漏洞 。 l 防火墻的硬件不能保證不失效 。 正確認識和使用防火墻 ， 確保網絡的安全使用 ， 研究防火墻的局限性和脆弱性是十分必要的 。 防火墻的安全管理技術 本節(jié)內容 防火墻的安全性 防火墻的安全策略 防火墻安全技術 防火墻的安全性 防火墻是網絡上使用最多且是最重要的安全設備 ， 是網絡安全的重要基石 。 管理工作要根據拓撲結構的改變或安全策略的變化 ，對防火墻進行硬件與軟件的修改和升級 。 (3)確定包過濾規(guī)則 一般以處理 IP數(shù)據包包頭信息為基礎 ， 包括過濾規(guī)則 、 過濾方式 、 源和目的端口號及協(xié)議類型等 ， 它決定算法執(zhí)行時順序 ， 因此正確的排