【正文】 攻擊能力。此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。 審計(jì)和告警第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、名服務(wù)器等。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。而對(duì)SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。在Finger服務(wù)器中，對(duì)外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。在匿名FTP方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。 多級(jí)過濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過濾措施，并輔以鑒別手段。 靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。 透明的訪問方式以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。. 第四代防火墻 第四代防火墻的主要技術(shù)及功能第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問題。：1)是批量上市的專用防火墻產(chǎn)品；2)包括分組過濾或者借用路由器的分組過濾功能；3)裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；5)安全性和速度大大提高。1) 無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，2) 配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；3) 對(duì)用戶的技術(shù)要求高；4) 全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多。 用戶化的防火墻工具套為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。3) 路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。這樣，對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。9防火墻的發(fā)展歷程由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。 實(shí)施措施好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時(shí)的售后服務(wù)。（3）支持“除非明確允許，否則就禁止”的安全防范原則。 堅(jiān)持策略（1）管理主機(jī)與防火墻專用服務(wù)器端口連接，形成單獨(dú)管理通道，防止來自內(nèi)外部的攻擊。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級(jí)過濾、透明應(yīng)用代理等先進(jìn)技術(shù)。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國內(nèi)廠家大部分基于Linux操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。在制造上，硬件防火墻須同時(shí)設(shè)計(jì)硬件和軟件兩方面。硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。 應(yīng)對(duì)策略 方案選擇市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。 IP地址黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過”服務(wù)器檢測(cè)，從而進(jìn)入內(nèi)部網(wǎng)達(dá)到攻擊的目的。 郵件來自于郵件的攻擊方式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬份，并按一個(gè)巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開郵件時(shí)，惡意代碼即可進(jìn)入。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，通過監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。 口令字對(duì)口令字的攻擊方式有兩種：窮舉和嗅探。8常見攻擊方式以及應(yīng)對(duì)策略8 .1常見攻擊方式 .1 病毒盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò)，必須通過2個(gè)路由器，即使他侵入了堡壘主機(jī)，仍無法進(jìn)入內(nèi)部網(wǎng)。1個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另1個(gè)位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。 弊端是，若是侵襲者設(shè)法入侵堡壘主機(jī)，則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開放。②不允許來自內(nèi)部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。它也可以開放一些連接(由站點(diǎn)安全策略決定)到外部世界。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng)，通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。 使用1個(gè)單獨(dú)的路由器提供來自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。它能提供級(jí)別非常高的控制，并保證內(nèi)部網(wǎng)上沒有外部的IP包。2個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信，但相互之間不行，它們之間的IP通信被完全禁止。 7各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn) 它提供來自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，它圍繞雙重宿主主計(jì)算機(jī)構(gòu)筑。當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。 雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖2）。先來看單宿堡壘主機(jī)類型。 　、屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） 　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。 堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。 　　、雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 　　這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。比如IE、OUTLOOK等常見的應(yīng)用程序都是使用Socket進(jìn)行通信。 Winsock 2 SPI 工作在API之下、Driver之上，屬于應(yīng)用層的范疇。 （1）應(yīng)用層采用Winsock 2 SPI進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。 另一個(gè)防止的是懷有惡意的代碼：病毒和特洛伊木馬。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。4防火墻的不足防火墻對(duì)網(wǎng)絡(luò)的威脅進(jìn)行極好的防范，但是，它們不是安全解決方按的全部。核心技術(shù)是基礎(chǔ),必須在這個(gè)基礎(chǔ)之上加入輔助功能才能流暢的工作。(5)被攔阻時(shí)能通過聲音或閃爍圖標(biāo)給用戶報(bào)警提示。(3)可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)。其中入侵檢測(cè)，控管規(guī)則過濾，實(shí)時(shí)監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少數(shù)幾個(gè)良好的監(jiān)控位置來進(jìn)行內(nèi)部網(wǎng)與Internet的連接。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Internet之間也會(huì)起到同樣的保護(hù)作用。3防火墻功能概述防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。包過濾防火墻價(jià)格較低性能開銷小，處理速度較快定義復(fù)雜，容易出現(xiàn)速度較慢，不太適用于高速網(wǎng)之間的應(yīng)用我們把兩種防火墻的優(yōu)缺點(diǎn)的對(duì)比用下列圖表的形式表示如下：?。鹤赃m應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。 代理（應(yīng)用層網(wǎng)關(guān)）防火墻：這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。代理服務(wù)器型防火墻與包過濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。它可以根據(jù)需要?jiǎng)討B(tài)的在過濾原則中增加或更新條目，在這點(diǎn)