【正文】 列順序至關(guān)重要 。 網(wǎng)絡(luò)安全的第一策略是拒絕一切未許可的服務(wù) ， 即由防火墻逐項刪除未許可的服務(wù)后 ， 再轉(zhuǎn)發(fā)信息 。 防火墻的實現(xiàn)技術(shù) (1)決定防火墻的類型與拓?fù)浣Y(jié)構(gòu) 針對防火墻所保護的系統(tǒng)安全級別作出定性和定量評估 ， 從系統(tǒng)的成本 、 安全保護實現(xiàn)的難易程度以及升級 、 改造和維護的難易程度 ， 決定該防火墻的類型和拓?fù)浣Y(jié)構(gòu) 。 l 一切未被禁止的訪問就是允許的 。 在防火墻設(shè)計中 ， 安全策略是防火墻的靈魂和基礎(chǔ) 。應(yīng)支持 Email、 FTP、 Tel和 WWW等服務(wù) 。 l 防火墻一旦失效 、 系統(tǒng)重啟或系統(tǒng)崩潰時 ， 則應(yīng)完全阻斷內(nèi) 、 外網(wǎng)絡(luò)站點的連接 ， 以防非法用戶闖入 。 l 防火墻應(yīng)能抵抗網(wǎng)絡(luò)黑客的攻擊 ， 并可對網(wǎng)絡(luò)通信進(jìn)行監(jiān)控和審計 。也為網(wǎng)絡(luò)取證提供防抵賴的功能。 提供強大的身份認(rèn)證授權(quán)和審計管理。 保護必需的應(yīng)用安全 。 傳統(tǒng)的防火墻只防外不防內(nèi) ， 導(dǎo)致內(nèi)部局域網(wǎng)速度慢 ， 惡意病毒和木馬盛行 。 由于智能防火墻是從流量異常來判斷病毒的傳播 ，避免了每一次新病毒的爆發(fā)所帶來的災(zāi)難 。 阻斷病毒的惡意傳播 。 由于目前眾多的防火墻無法抵御 DDoS的攻擊 ， 使得網(wǎng)站和網(wǎng)絡(luò)頻繁遭受黑客的攻擊 。 除傳統(tǒng)防火墻的應(yīng)用外 ， 智能防火墻還有以下特殊應(yīng)用場合 。 智能防火墻提供對日志的監(jiān)控，自動處理，人工或自動導(dǎo)出，數(shù)據(jù)庫導(dǎo)入，查看，查詢，顯示，報警等功能。 支持監(jiān)控防火墻的狀態(tài) ， 并實時報警 。 智能防火墻提供網(wǎng)絡(luò)實時監(jiān)控功能 。 基于對行為的識別 ， 可以根據(jù)什么人 、 什么時間 、 什么地點 、 什么行為來執(zhí)行訪問控制 ， 大大增強了防火墻的安全性 ， 更聰明更智能 。 新一代的智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高 ， 在特權(quán)最小化 、 系統(tǒng)最小化 、 內(nèi)核安全 、 系統(tǒng)加固 、 系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面 ， 與傳統(tǒng)防火墻相比 ， 有質(zhì)的飛躍 。這些方法對消除 TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。 智能防火墻完成了深層數(shù)據(jù)包監(jiān)控 ， 并能阻斷應(yīng)用層攻擊 。 (4)入侵防御技術(shù) 智能防火墻為了解決準(zhǔn)許放行包的安全性 ， 對準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測 ， 并提供入侵防御保護 。 (3)防欺騙技術(shù) 智能防火墻提供基于 MAC的訪問控制機制，可以防止 MAC欺騙和 IP欺騙，支持 MAC過濾，支持 IP過濾。 對目前已知的掃描工具如 ISS， SSS， NMAP等掃描工具 ， 智能防火墻可以防止被掃描 。 防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊 。 (1)防攻擊技術(shù) 智能防火墻能智能識別惡意數(shù)據(jù)流量 ， 并有效地阻斷惡意數(shù)據(jù)攻擊 。這就是智能識別。把一個人的相貌轉(zhuǎn)換為圖像，對圖像的每一個像素進(jìn)行記憶，然后進(jìn)行匹配檢查。 一個典型的例子可以說明智能防火墻對網(wǎng)絡(luò)安全是很重要的。這樣一來，個人 防火墻 本身容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則進(jìn)行。 (2)缺點 個人 防火墻 主要的缺點就是對公共網(wǎng)絡(luò)只有一個物理接口。 (1)優(yōu)點 增加了保護級別 ， 不需要額外的硬件資源 。 例如，如果用戶已經(jīng)安裝了一臺個人 Web服務(wù)器，個人防火墻可能將第一個傳入的 Web連接作上標(biāo)志，并詢問用戶是否允許它通過。 一旦安裝上個人防火墻 ， 就可以把它設(shè)置成 “ 學(xué)習(xí)模式 ” ， 這樣的話 ， 對遇到的每一種新的網(wǎng)絡(luò)通信 ， 個人防火墻都會提示用戶一次 ， 詢問如何處理這種通信 。 個人防火墻 個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件 ， 它可以直接在用戶的計算機上運行 ， 使用與狀態(tài) /動態(tài)檢測防火墻相同的方式來保護計算機免受攻擊 。雖然可以保障內(nèi)部網(wǎng)絡(luò)的 安全 ，但它也有一定的局限性。 內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò) 。 如果因為某種原因公共 IP地址資源比較短缺的話 ， NAT可以使整個內(nèi)部網(wǎng)絡(luò)共享一個 IP地址 。 3． NAT的優(yōu)缺點 (1)優(yōu)點 所有內(nèi)部的 IP地址對外面的人來說是隱蔽的 。 (3)負(fù)載平衡翻譯 一個 IP地址和端口被翻譯為同等配置的多個服務(wù)器 ， 當(dāng)請求到達(dá)時 ， 防火墻將按照一個算法來平衡所有聯(lián)接到內(nèi)部的服務(wù)器 ， 這樣向一個合法 IP地址請求 ，實際上是有多臺服務(wù)器在提供服務(wù) 。 (1)靜態(tài)翻譯 一個指定的內(nèi)部主機有一個固定不變的地址翻譯表 ， 通過這張表 ， 可將內(nèi)部地址翻譯成防火墻的外網(wǎng)接口地址 。 當(dāng)從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的 連接 時， NAT有一套規(guī)則來決定如何處理它。 當(dāng)內(nèi)部用戶與一個公共主機通信時 ， NAT能追蹤是哪一個用戶所發(fā)出的請求 ， 修改傳出的包 ， 這樣包就像是來自單一的公共 IP地址 ， 然后再打開 連接 。特別是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度?；旧希?防火墻 用來確定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼埱螅?連接 的持續(xù)時間，內(nèi)部和外部 系統(tǒng) 所做的連接請求等。 l 基于應(yīng)用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認(rèn)證過的 連接 繼續(xù)與被授予的服務(wù)通信。因為所有的通信必須通過防火墻，繞過是困難的。 l 具有識別帶有欺騙性源 IP地址包的能力。防火墻能跟蹤傳出的請求，并詳細(xì)記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。這種信息的缺乏使得 防火墻 確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應(yīng)被允許通過。 l UDP包： UDP包比 TCP包簡單，因為它們不包含任何 連接 或序列信息。 跟蹤 連接 狀態(tài)的方式取決于包通過 防火墻 的類型： l TCP包：當(dāng)建立起一個 TCP連接 時，通過的第一個包被標(biāo)有包的 SYN標(biāo)志。例如，到專用 Web服務(wù)器的連接，在 Web服務(wù)器連接被允許之前，可能被發(fā)到 SecutID服務(wù)器（用一次性口令來使用）。而未被請求的傳入通信被截斷。 一個狀態(tài) /動態(tài)檢測 防火墻 可截斷所有傳入的通信，而允許所有傳出的通信。 包過濾 防火墻 對一個數(shù)據(jù)包是允許還是拒絕，完全取決于包自身所包含的內(nèi)容，如源地址、目的地址、端口號等。 狀態(tài) /動態(tài)檢測 防火墻 1．狀態(tài) /動態(tài)檢測 防火墻 的基本功能 狀態(tài) /動態(tài)檢測 防火墻 ，試圖跟蹤通過防火墻的網(wǎng)絡(luò) 連接 和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏 “ 透明度 ” 。 但每一種協(xié)議需要相應(yīng)的代理軟件 ， 使用時工作量大 ， 效率不如網(wǎng)絡(luò)級防火墻 。 應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包 ， 通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù) ， 防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系 。 混合型防火墻采用的技術(shù)有： l 動態(tài)包過濾； l 內(nèi)核透明技術(shù)； l 用戶認(rèn)證機制； l 內(nèi)容和策略感知能力； l 內(nèi)部信息隱藏； l 智能日志 、 審計和實時報警； l 防火墻的交互操作性； l各種安全技術(shù)的有機結(jié)合等 。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，就無法檢查應(yīng)用層級的數(shù)據(jù)包。 實際上，電路級網(wǎng)關(guān)并非作為一個獨立的產(chǎn)品存在，它通常與其他的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起，如 TrustInformationSystems公司的GauntletInterFirewall； DEC公司的 AltaVistaFirewall等產(chǎn)品。 電路層網(wǎng)關(guān) 電路層網(wǎng)關(guān) （ Circuit Gateway） 在網(wǎng)絡(luò)的傳輸層上實施訪問策略 ，是在內(nèi) 、 外網(wǎng)絡(luò)主機之間建立一個虛擬電路進(jìn)行通信 ， 相當(dāng)于在防火墻上直接開了個口子進(jìn)行傳輸 ， 不象應(yīng)用層防火墻那樣能嚴(yán)密控制應(yīng)用層的信息 。 (2)缺點 必須在一定范圍內(nèi)定制用戶 系統(tǒng) ， 這取決于所用的應(yīng)用程序 。 大多數(shù)代理 防火墻 能夠記錄所有的 連接 ， 包括地址和持續(xù)時間 。 2． 代理 防火墻 的優(yōu)缺點 (1)優(yōu)點 指定對 連接 的控制 ， 例如允許或拒絕基于服務(wù)器 IP地址的訪問 ，允許或拒絕基于用戶所請求連接的 IP地址的訪問 。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為 安全性提供了額外的保證。 這種建立方式拒絕任何沒有明確配置的連接 ， 從而提供了額外的 安全 性和控制性 。 網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信 ， 所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分 。 應(yīng)用程序代理 防火墻 實際上并不允許在它 連接 的網(wǎng)絡(luò)之間直接通信 。 其核心是運用防火墻主機上的代理服務(wù)器進(jìn)程 ， 代理網(wǎng)絡(luò)用戶完成 TCP/IP功能 ， 實際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān) ， 且對不同的應(yīng)用 （ 如 E－ mail、 FTP、 Tel、 WWW等 ） 都應(yīng)用一個不同的代理 。換句話說，防火墻是不能阻止對于 “ 繞道而行 ” 進(jìn)入網(wǎng)絡(luò)的攻擊的。 “ 包過濾 ” 技術(shù)是用關(guān)鍵詞進(jìn)行 “ 包內(nèi)容 ” 的檢查和過濾的 ， 因之 ， 對于 “ 圖片 ” 信息 ， 防火墻是不能對其內(nèi)容進(jìn)行 “ 過濾 ” 檢查的 。 例如 ， Web服務(wù)器默認(rèn)端口為 80， 而計算機上又 安裝 了 RealPlayer， 那么它會搜尋可以允許 連接 到 RealAudio服務(wù)器的端口 ， 而不管這個端口是否被其他協(xié)議所使用 ， RealPlayer正好是使用 80端口而搜尋的 。 然而 ， 在市場上 ， 許多新版本的防火墻對這個缺點正在作改進(jìn) ， 如開發(fā)者實現(xiàn)了基于圖形化用戶界面 (GUI)的配置和更直接的規(guī)則定義 。 （ 2） 缺點 配置困難 。 因為所有的通信必須通過防火墻 ， 繞過是困難的 。 防火墻 可以識別和丟棄帶欺騙性源 IP地址的包 。 每個 IP包的字段都被檢查 ， 例如源地址 、 目的地址 、 協(xié)議 、 端口等 。因此安全性較差。 它實際上是控制內(nèi)部網(wǎng)絡(luò)上的主機可直接訪問外部網(wǎng)絡(luò) ，而外部網(wǎng)絡(luò)上的主機對內(nèi)部網(wǎng)絡(luò)的訪問則要受到限制 。 防火墻的類型 本節(jié)內(nèi)容 包過濾防火墻 代理服務(wù)器 電路層網(wǎng)關(guān) 混合型防火墻 應(yīng)用級網(wǎng)關(guān) 狀態(tài) /動態(tài)檢測防火墻 網(wǎng)絡(luò)地址翻譯 NAT 個人防火墻 智能防火墻 包過濾防火墻 包過濾型防火墻 （ Packet Filter Firewall） 的包過濾器安裝在路由器上 ， 工作在網(wǎng)絡(luò)層 （ IP） ， 因此也稱為網(wǎng)絡(luò)層防火墻 。 高級應(yīng)用代理 （ Advanced Application Proxy） 的研究 ， 克服速度和安全性之間的矛盾 ， 可以稱之為第五代防火墻 。 1994年 ， 以色列的 CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品 。 1989年 ， 貝爾實驗室的 Dave Presotto和Howard Trickey推出了第二代防火墻 ， 即電路層防火墻 ， 同時提出了第三代防火墻 —— 應(yīng)用層防火墻 （ 代理防火墻 ） 的初步結(jié)構(gòu) 。 欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段 ， 防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們； C/S模式和跨平臺支持 ， 能使運行在另一平臺的管理模塊控制運行在另一平臺的監(jiān)視模塊 。 保證通過 Inter進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動不受損壞； l 戶端認(rèn)證 。 l 廣泛的服務(wù)支持 。 l 人機界面友好 、 配置使用方便 ， 易管理 。 l 使用目前新的信息安全技術(shù) 。 l 只有被授權(quán)的合法數(shù)據(jù) ， 即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù) ， 可以通過防火墻 。 其主要作用是： l 有效收集和記錄 Inter上活動和網(wǎng)絡(luò)誤用情況； l 能有效隔離網(wǎng)絡(luò)中的多個網(wǎng)段 ， 能有效地過濾 、 篩選和屏蔽一切有害的信息和服務(wù)； l 防火墻就像一個能發(fā)現(xiàn)不良現(xiàn)象的警察 ， 能執(zhí)行和強化網(wǎng)絡(luò)的安全策略； l 保證對主機的安全訪問； l 保證多種客戶機和服務(wù)器的安全性； l保護關(guān)鍵部門不受到來自內(nèi)部的攻擊和外部的攻擊 ， 為通過Inter與遠(yuǎn)程訪問的雇員 、 客戶 、 供應(yīng)商提供安全通道 。 應(yīng)用層表示層物理層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層