【正文】 演講完畢，謝謝觀看！ 。 實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過(guò)濾路由器、應(yīng)用雙宿主網(wǎng)關(guān)的代理服務(wù)、主機(jī)屏蔽防火墻和子網(wǎng)屏蔽防火墻等。通過(guò)限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信，以達(dá)到防止非法用戶侵犯 Inter和公用網(wǎng)絡(luò)的目的。 作為近年來(lái)新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止專(zhuān)利信息從公司的網(wǎng)絡(luò)上被非法輸出。 ? 常見(jiàn)的企業(yè)級(jí)防火墻： （ 1） 天網(wǎng)防火墻 （ 2） 藍(lán)盾防火墻個(gè)人版 （ 3） 瑞星個(gè)人防火墻 （ 4） “ 反黑王 ” （ 5） 美國(guó)賽門(mén)鐵克 （ Symantec） 公司的諾頓（ Norton） 防火墻 （ 6） 金山網(wǎng)鏢 3． 8 本章小結(jié) 本章首先介紹了訪問(wèn)控制的基本常識(shí) ， 然后著重介紹了防火墻的相關(guān)知識(shí) 。 （ 5） Netscreen：它使用專(zhuān)用的 ASIC提供高性能的防火墻 ， 既便宜又易于安裝 。 （ 4） CiscoPIXFirewall： PIX的處理性能是最好的 ， 而且使用 NAT時(shí)不影響其性能 。 除了 NAT外 ， 它具有用戶認(rèn)證功能 。如果站點(diǎn)是一個(gè)機(jī)密性機(jī)構(gòu)，但對(duì)某些人提供入站的 FTP服務(wù)，則需要有強(qiáng)大認(rèn)證功能的防火墻；如果站點(diǎn)聯(lián)接到 Inter上只是為了接收電子郵件，那么可以不需要防火墻。 ? 誤區(qū)：什么樣的防火墻是安全的防火墻、單靠防火墻是否能否保證網(wǎng)絡(luò)的安全、如何構(gòu)建以防火墻為核心的網(wǎng)絡(luò)安全體系等，下面就針對(duì)這些問(wèn)題做簡(jiǎn)要的分析和介紹。 分布式防火墻工作 過(guò)程： 因?yàn)椴捎昧塑浖问剑ㄓ械牟捎昧塑浖布问剑怨δ芘渲酶屿`活，具備充分的智能管理能力，總的來(lái)說(shuō)可以體現(xiàn)在以下幾個(gè)方面： 5．分布式防火墻的主要功能 （ 1） Inter訪問(wèn)控制 （ 2）應(yīng)用訪問(wèn)控制 （ 3）網(wǎng)絡(luò)狀態(tài)監(jiān)控 （ 4）黑客攻擊的防御 （ 5）日志管理 （ 6）系統(tǒng)工具 3． 6． 3 以防火墻為核心的網(wǎng)絡(luò)信 息安全體系 網(wǎng)絡(luò)安全是一個(gè)綜合的概念，它不僅包括網(wǎng)絡(luò)安全產(chǎn)品，而且還涉及整個(gè)企業(yè)的管理機(jī)制、流程方面的問(wèn)題，因此是一復(fù)雜的系統(tǒng)工程。 （ 3） IP安全協(xié)議： 是一種對(duì) TCP/IP協(xié)議族的網(wǎng)絡(luò)層進(jìn)行加密保護(hù)的機(jī)制，包括 AH和 ESP，分別對(duì) IP包頭和整個(gè) IP包進(jìn)行認(rèn)證，可以防止各類(lèi)主機(jī)攻擊。 （ 1）策略語(yǔ)言： 以 IP地址來(lái)標(biāo)志內(nèi)部主機(jī)是一種可供選擇的方法，但它的安全性不高，所以更傾向于使用 IP安全協(xié)議中的密碼憑證來(lái)標(biāo)志各臺(tái)主機(jī)，它為主機(jī)提供了可靠的、唯一的標(biāo)志，并且與網(wǎng)絡(luò)的物理拓?fù)錈o(wú)關(guān)。 4．分布式防火墻的基本原理 分布式防火墻仍然由中心定義策略，但由各個(gè)分布在網(wǎng)絡(luò)中的端點(diǎn)實(shí)施這些制定的策略。 （ 4）實(shí)施主機(jī)策略： 對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。 （ 2）提高了系統(tǒng)性能： 消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。 （ 3）類(lèi)似于個(gè)人防火墻 （ 4）適用于服務(wù)器托管 3．分布式防火墻的主要優(yōu)勢(shì) 在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。 主機(jī)防火墻對(duì)分布式防火墻體系結(jié)構(gòu)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。 2．分布式防火墻的主要特點(diǎn) 分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。但兩者之間也有本質(zhì)的區(qū)別：工作于透明模式的防火墻使用了透明代理的技術(shù)，但透明代理并不是透明模式的全部，防火墻在非透明模式中也可以使用透明代理。 透明代理避免了設(shè)置或使用中可能出現(xiàn)的錯(cuò)誤 ， 降低了防火墻使用時(shí)固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率 ， 方便用戶使用 。由于這些連接過(guò)程是自動(dòng)的，不需要客戶端手工配置代理服務(wù)器，甚至用戶根本不知道代理服務(wù)器的存在，因而對(duì)用戶來(lái)說(shuō)是透明的。從用戶的角度看， A和 B的連接是直接的，而實(shí)際上 A是通過(guò)代理服務(wù)器 C和 B建立連接的。當(dāng) A對(duì) B有連接請(qǐng)求時(shí)，TCP連接請(qǐng)求被防火墻截取并加以監(jiān)控。當(dāng)內(nèi)部用戶需要使用透明代理訪問(wèn)外部資源時(shí)，用戶不需要進(jìn)行設(shè)置，代理服務(wù)器會(huì)建立透明的通道，讓用戶直接與外界通信，這樣極大地方便了用戶的使用。 透明模式的防火墻就好象是一臺(tái)網(wǎng)橋 (非透明的防火墻好象一臺(tái)路由器 )，網(wǎng)絡(luò)設(shè)備 (包括主機(jī)、路由器、工作站等 )和所有計(jì)算機(jī)的設(shè)置（包括 IP地址和網(wǎng)關(guān)）無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。 3． 6 防火墻發(fā)展 的新方向 3． 6． 1 透明接入技術(shù) 透明模式，顧名思義，首要的特點(diǎn)就是對(duì)用戶是透明的（ Transparent），即用戶意識(shí)不到防火墻的存在。 第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來(lái)，使網(wǎng)絡(luò)安全分析工具無(wú)法從外部對(duì)內(nèi)部網(wǎng)分析。此外，攻擊者還常常利用一些常用口令字直接登錄。 在網(wǎng)絡(luò)中探尋口令字的方法很多，最常見(jiàn)的是口令字嗅探和口令字解密。 2． 抗特洛伊木馬攻擊 ： 第四代防火墻是建立在安全的操作系統(tǒng)之上的，其安全內(nèi)核中不能執(zhí)行下載的程序，故而可防止特洛伊木馬的發(fā)生。 3． 5． 3 第四代防火墻抗攻擊能力分析 在 Inter環(huán)境中針對(duì)防火墻的攻擊方法很多，下面從幾種主要的攻擊方法來(lái)評(píng)估第四代防火墻的抗攻擊能力。 4. 安全服務(wù)器的設(shè)計(jì)： 安全服務(wù)器的設(shè)計(jì)有兩個(gè)要點(diǎn)：第一，所有 SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來(lái)的路由信息流在機(jī)制上是分離的；第二， SSN的作用類(lèi)似于兩個(gè)網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘?duì)外透明，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對(duì)外訪問(wèn)的方式十分有限。 2． 代理系統(tǒng)的建立 ： 防火墻不允許任何信息直接穿過(guò)它，對(duì)所有的內(nèi)外連接均要通過(guò)代理系統(tǒng)來(lái)實(shí)現(xiàn)，為保證整個(gè)防火墻的安全，所有的代理都應(yīng)采用改變根目錄的方式存在一個(gè)相對(duì)獨(dú)立的區(qū)域以作安全隔離。 3． 5． 2 第四代防火墻技術(shù)的實(shí)現(xiàn)方法 在第四代防火墻產(chǎn)品的設(shè)計(jì)與開(kāi)發(fā)中，其安全內(nèi)核、代理系統(tǒng)、多級(jí)過(guò)濾、安全服務(wù)器和鑒別與加密是關(guān)鍵所在。 10． 第四代防火墻產(chǎn)品的審計(jì)和告警功能 ： 第四代防火墻產(chǎn)品的審計(jì)和告警功能十分健全。 9． 用戶定制服務(wù) ： 第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類(lèi)選項(xiàng)有：通用TCP，出站 UDP、 FTP、 SMTP等類(lèi)。這就是安全服務(wù)網(wǎng)絡(luò)（ SSN）技術(shù)，對(duì) SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過(guò) FTP、 Tel等方式從內(nèi)部網(wǎng)上管理。 7． 安全服務(wù)器網(wǎng)絡(luò)（ SSN） ： 第四代防火墻采用