2022年防火墙和访问控制列表讲解 .pdf

《2022年防火墙和访问控制列表讲解 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙和访问控制列表讲解 .pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、首先为什么要研究安全? 什么是“计算机安全” ？广义地讲， 安全是指防止其他人利用、借助你的计算机或外围设备，做你不希望他们做的任何事情。首要问题是：“我们力图保护的是些什么资源？”答案并不是明确的 .通常，对这个问题的答案是采取必要的主机专用措施。图5 描述了目前的网络现壮。图 5 许多人都抱怨Windows 漏洞太多，有的人甚至为这一个又一个的漏洞烦恼。为此，本文简要的向您介绍怎样才能架起网络安全防线。禁用没用的服务Windows 提供了许许多多的服务， 其实有许多我们是根本也用不上的。或许你还不知道，有些服务正为居心叵测的人开启后门。名师资料总结 - - -精品资料欢迎下载 - - -

2、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 20 页 - - - - - - - - - Windows 还有许多服务， 在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务。禁用不必要的服务，除了可以减少安全隐患，还可以增加Windows 运行速度，何乐而不为呢？打补丁Microsoft公司时不时就会在网上免费提供一些补丁，有时间可以去打打补丁。除了可以增强兼容性外， 更重要的是堵上已发现的安全漏洞。建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。防火墙选择一款彻底隔离病毒的办法,物理隔离Fortig

3、ate 能够预防十多种黑客攻击，分布式服务拒绝攻击DDOS（Distributed Denial-Of-Service attacks ）SYN Attack ICMP Flood UDP Flood IP 碎片攻击（ IP Fragmentation attacks）Ping of Death attack Tear Drop attack Land attack 端口扫描攻击（Port Scan Attacks）IP 源路由攻击（ IP Source Attacks）IP Spoofing Attacks Address Sweep Attacks WinNuke Attacks 您可以配

4、置Fortigate 在受到攻击时发送警告邮件给管理员，最多可以指定3 个邮件接受人。防火墙的根本手段是隔离.安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - 墙，访问控制表的定义。防火墙概念防火墙包含着一对矛盾( 或 称 机 制)：一方面它限制数据流通，另一方面它又允许数据流

5、通。由于网络的管理机制及安全策略(security policy) 不同，因此这对矛盾呈现出不同的表现形式。存在两种极端的情形：第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。保护脆弱的服务通过过滤不安全的服务，Firewall 可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall 可以禁止NIS、NFS 服务通过， Firewall 同时可以拒绝源路由和ICMP 重定向封包。控制对系统的访问Fire

6、wall 可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主。集中的安全管理Firewall 对企业内部网实现集中的安全管理，在Firewall 定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall 可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用 Firewall 可以阻止攻击者获取攻击网络系统的有用信息，如Figer 和 DNS。记录和统计网络利用数据以及非法使用数据Firewall 可以记录和统计通过Firewall 的网络通讯，提供关于网

7、络使用的统计数据，并且，Firewall 可以提供统计数据，来判断可能的攻击和探测。策略执行Firewall 提供了制定和执行网络安全策略的手段。未设置Firewall 时，网络安全取决于每台主机的用户防火墙的功能防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - 防火墙可以强化网络安全策略：通过以防火墙为中

8、心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么， 防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：隐私是内

9、部网络非常关心的问题.通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，防火墙还支持具有Internet 服务特性的企业内部网络技术体系VPN 。通过VPN ， 将企事业单位在地域上分布在全世界各地的LAN 或专用子网， 有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。防火墙技术防火墙能增强机构内部网络的安全性,必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。防火墙的五大功能一般来说，防火墙具有以下几种功能：1允许网络管理员定义一个中心点来防止非法用户进入内部网络。2可以很方

10、便地监视网络的安全性，并报警。3可以作为部署NAT（Network Address Translation ，网络地址变换） 的地点， 利用 NAT技术， 将有限的 IP 地址动态或静态地与内部的IP 地址对应起来，用来缓解地址空间短缺的问题。4是审计和记录Internet 使用费用的一个最佳地点。网络管理员可以在此向管理部门提供 Internet 连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。5可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW 服务器和FTP 服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区名

11、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - - - - （DMZ ） 。防火墙的两大分类1 包过滤防火墙第一代：静态包过滤这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP 源地址、 IP目标地址、传输协议(TCP、UDP 、ICMP 等等 )、TCP/UDP 目标端口、 ICMP 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是最小特权

12、原则，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。第二代：动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection ）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。2 代理防火墙第一代：代理防火墙代理防火墙也叫应用层网关（Application Gateway ）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP 连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从

13、而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy 的介入和转换，通过专门为特定的服务如Http 编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时， （比如要求达到75-100Mbps 时）代理防火墙就会

14、成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet 的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM 或千兆位以太网等）之间的防火墙。第二代：自适应代理防火墙自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10 倍以上。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

15、 - - 第 5 页，共 20 页 - - - - - - - - - 组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（ Dynamic Packet filter ） 。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy 的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。 如果是后者， 它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。现有防火墙技术分类防

16、火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。1. 数据包过滤型防火墙数据包过滤 (Packet Filtering) 技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table) 。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软

17、件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP 的端口号都在数据包的头部，很有可能被窃听或假冒。分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价， 因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP 或名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - UDP 包头。包过滤的优点

18、是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP 、RPC 一类的协议；另外， 大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高， 建立安全规则时， 必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。2. 应用级网关型防火墙应用级网关 (Ap

19、plication Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑， 则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。3. 代理服务型防火墙代理服务(Proxy Service) 也称链路级网关或TCP 通道 (Circuit

20、Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接 ，由两个终止代理服务器上的 链接 来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外， 代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作

21、在OSI 模型的最高层，掌握着应用系统中可用作安全决策的全部信息。4. 复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet

22、 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。防火墙主要技术先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 20 页 - - - - - - - - - 双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP 转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。透明的访问方式以前的防火墙在访问方式上要么要求用

23、户作系统登录，要么需要通过SOCKS 等库路径修改客户机的应用。 新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制， 一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT ）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。多级的过滤技术为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP 源地址；在应用级网

24、关一级，能利用 FTP、SMTP 等各种网关，控制和监测Internet 提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。网络地址转换技术（NAT ）新一代防火墙利用NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP 地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT 的另一个显而易见的用途是解决IP 地址匮乏问题。Internet 网关技术由于是直接串连在网

25、络之中，新一代防火墙必须支持用户在Internet 互连的所有服务，同时还要防止与Internet 服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW 等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利?quot;改变根系统调用（chroot）作物理上的隔离。在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS 服务器，主要处理内部网络的DNS 信息，另一种是外部DNS 服务器，专门用于处理机构内部向Internet提供的部份DNS 信息。在匿名 FTP 方面，服务器只提供对有限的受保护的部份目

26、录的只读访问。在WWW 服务器中，只支持静态的网页，而不允许图形或CGI 代码等在防火墙内运行，在Finger 服务器中，对外部访问， 防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。 SMTP 与 POP 邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident 服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP 的新闻开设了专门的磁盘空间。安全服务器网络（SSN）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

27、- - - - - 第 8 页，共 20 页 - - - - - - - - - 为适应越来越多的用户向Internet 上提供服务时对服务器保护的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理， 对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（ SSN）技术，对 SSN 上的主机既可单独管理，也可设置成通过FTP、Telnet 等方式从内部网上管理。SSN 的方法提供的安全性要比传统的隔离区（ DMZ ） 方法好得多，因为SSN 与外部网之间有防火墙保护，SSN 与内部网之间也有防火墙的保护，而DM

28、Z 只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN 受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ 受到破坏，内部网络便暴露于攻击之下。用户鉴别与加密为了降低防火墙产品在Telnet、FTP 等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。用户定制服务为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站 UDP 、FTP、SMTP 等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。审计和告警新一代防火墙

29、产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、 核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP 代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个 TCP 或 UDP 探寻，并能以发出邮件、声响等多种方式报警。此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色。设置防火墙的要素网络策略影响 Firewall 系统设计、 安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall 如何限制和过滤在高级策略中定义的服务。服务访问策

30、略服务访问策略集中在Internet 访问服务以及外部网络访问（如拨入策略、 SLIP/PPP 连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet 访问某些内部主机和服务；允许内部用户访问指定的Internet 主机和服务。防火墙设计策略防火墙设计策略基于特定的Firewall ，定义完成服务访问策略的规则。通常有两种基本的设计策略： 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计

31、策略。而多数防火墙都在两种之间采取折衷。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - 增强的认证许多在 Internet 上发生的入侵事件源于脆弱的传统用户/口令机制。 多年来， 用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在Internet 上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征（指纹）以及基于软件（ RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术

32、，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard 和认证令牌） 。防火墙主要技术先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP 转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。透明的访问方式以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS 等库路径修改客户机的应用。 新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。灵活的代理系统代理系统是一种

33、将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制， 一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT ）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。多级的过滤技术为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP 源地址；在应用级网关一级，能利用 FTP、SMTP 等各种网关，控制和监测Internet 提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。网络

34、地址转换技术（NAT ）新一代防火墙利用NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP 地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT 的另一个显而易见的用途是解决IP 地址匮乏问题。Internet 网关技术由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet 互连的所有服务，同时还要防止与Internet 服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger

35、、mail、Ident、News、WWW 等）来实现网关功能。为确保服务器的安全性，对所有名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - 的文件和命令均要利?quot;改变根系统调用（chroot）作物理上的隔离。在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS 服务器，主要处理内部网络的DNS 信息，另一种是外部DNS 服务器，专门用于处理机构内部向Internet提供的部份DNS 信息。在匿名 FT

36、P 方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW 服务器中，只支持静态的网页，而不允许图形或CGI 代码等在防火墙内运行，在Finger 服务器中，对外部访问， 防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。 SMTP 与 POP 邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident 服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP 的新闻开设了专门的磁盘空间。安全服务器网络（SSN）为适应越来越多的用户向Internet 上提供服务时对服务器保护的需要，新一代防火墙采用分别

37、保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理， 对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（ SSN）技术，对 SSN 上的主机既可单独管理，也可设置成通过FTP、Telnet 等方式从内部网上管理。SSN 的方法提供的安全性要比传统的隔离区（ DMZ ） 方法好得多，因为SSN 与外部网之间有防火墙保护，SSN 与内部网之间也有防火墙的保护，而DMZ 只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN 受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ 受到破坏，内部网络便暴露于攻击之下。用户鉴

38、别与加密为了降低防火墙产品在Telnet、FTP 等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。用户定制服务为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站 UDP 、FTP、SMTP 等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。审计和告警新一代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、 核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站

39、代理、FTP 代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个 TCP 或 UDP 探寻，并能以发出邮件、声响等多种方式报警。此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色。设置防火墙的要素网络策略影响 Firewall 系统设计、 安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall 如何限制和过滤在高级策略中定义的服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页

40、- - - - - - - - - 服务访问策略服务访问策略集中在Internet 访问服务以及外部网络访问（如拨入策略、 SLIP/PPP 连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet 访问某些内部主机和服务；允许内部用户访问指定的Internet 主机和服务。防火墙设计策略防火墙设计策略基于特定的Firewall ，定义完成服务访问策略的规则。通常有两种基本的设计策略： 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，

41、第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。增强的认证许多在 Internet 上发生的入侵事件源于脆弱的传统用户/口令机制。 多年来， 用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在Internet 上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征（指纹）以及基于软件（ RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard 和认证令牌） 。防火墙主要技术先进的防火墙产

42、品将网关与安全系统合二为一，具有以下技术与功能。双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP 转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。透明的访问方式以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS 等库路径修改客户机的应用。 新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制， 一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络

43、地址转换（NAT ）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。多级的过滤技术为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP 源地址；在应用级网关一级，能利用 FTP、SMTP 等各种网关，控制和监测Internet 提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 2

44、0 页 - - - - - - - - - 网络地址转换技术（NAT ）新一代防火墙利用NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP 地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT 的另一个显而易见的用途是解决IP 地址匮乏问题。Internet 网关技术由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet 互连的所有服务，同时还要防止与Internet 服务有关的安全漏洞。故它要能

45、以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW 等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利?quot;改变根系统调用（chroot）作物理上的隔离。在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS 服务器，主要处理内部网络的DNS 信息，另一种是外部DNS 服务器，专门用于处理机构内部向Internet提供的部份DNS 信息。在匿名 FTP 方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW 服务器中，只支持静态的网页，而不允许图形或CGI 代码等在防火墙内运行，在Finger 服务器中，对外部

46、访问， 防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。 SMTP 与 POP 邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident 服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP 的新闻开设了专门的磁盘空间。安全服务器网络（SSN）为适应越来越多的用户向Internet 上提供服务时对服务器保护的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理， 对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（ SS

47、N）技术，对 SSN 上的主机既可单独管理，也可设置成通过FTP、Telnet 等方式从内部网上管理。SSN 的方法提供的安全性要比传统的隔离区（ DMZ ） 方法好得多，因为SSN 与外部网之间有防火墙保护，SSN 与内部网之间也有防火墙的保护，而DMZ 只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN 受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ 受到破坏，内部网络便暴露于攻击之下。用户鉴别与加密为了降低防火墙产品在Telnet、FTP 等服务和远程管理上的安全风险，鉴别功能必不可少，新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件

48、的加密。用户定制服务为满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站 UDP 、FTP、SMTP 等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - 审计和告警新一代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、 核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、

49、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP 代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个 TCP 或 UDP 探寻，并能以发出邮件、声响等多种方式报警。此外新一代防火墙还在网络诊断，数据备份与保全等方面具有特色。设置防火墙的要素网络策略影响 Firewall 系统设计、 安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall 如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet 访问服务以及外部网络访问（如拨入策略、 SLIP/PPP 连接等）。服务访问策略必须是可

50、行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet 访问某些内部主机和服务；允许内部用户访问指定的Internet 主机和服务。防火墙设计策略防火墙设计策略基于特定的Firewall ，定义完成服务访问策略的规则。通常有两种基本的设计策略： 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。增强的认证许多在 Internet 上发生的入侵事件源于脆弱的传统用户/口令机制。 多