第4-1讲 防火墙技术及Windows防火墙技术.ppt

《第4-1讲 防火墙技术及Windows防火墙技术.ppt》由会员分享，可在线阅读，更多相关《第4-1讲 防火墙技术及Windows防火墙技术.ppt（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息安全技术l l防火墙技术及防火墙技术及防火墙技术及防火墙技术及WindowsWindows防火墙配置防火墙配置防火墙配置防火墙配置l l网络隔离技术与网闸应用网络隔离技术与网闸应用网络隔离技术与网闸应用网络隔离技术与网闸应用 第第 4 4 讲讲 防火墙与网络隔离技术防火墙与网络隔离技术l l传统情况下，当构筑和使用木结构房屋的时候，传统情况下，当构筑和使用木结构房屋的时候，传统情况下，当构筑和使用木结构房屋的时候，传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆为防止火灾的发生和蔓延，人们将坚固的石块堆为防止火灾的发生和蔓延，人们将坚固的石块

2、堆为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为砌在房屋周围作为屏障，这种防护构筑物被称为砌在房屋周围作为屏障，这种防护构筑物被称为砌在房屋周围作为屏障，这种防护构筑物被称为防火墙防火墙防火墙防火墙。l l如今，人们借助这个概念，使用如今，人们借助这个概念，使用如今，人们借助这个概念，使用如今，人们借助这个概念，使用“防火墙防火墙防火墙防火墙”来保来保来保来保护敏感的数据不被窃取和篡改，不过，这些防火护敏感的数据不被窃取和篡改，不过，这些防火护敏感的数据不被窃取和篡改，不过，这些防火护敏感的数据不被窃取和篡改，不过，这些防火墙是由先进的计算机系统构成的。墙

3、是由先进的计算机系统构成的。墙是由先进的计算机系统构成的。墙是由先进的计算机系统构成的。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l防火墙尤如一道护栏隔在被保护的内部网与不安防火墙尤如一道护栏隔在被保护的内部网与不安防火墙尤如一道护栏隔在被保护的内部网与不安防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间，用来保护计算机网络免受全的非信任网络之间，用来保护计算机网络免受全的非信任网络之间，用来保护计算机网络免受全的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。非授权人员的骚扰

4、与黑客的入侵。非授权人员的骚扰与黑客的入侵。非授权人员的骚扰与黑客的入侵。l l防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。并过滤所有内部网和外部网之间的信息交换。并过滤所有内部网和外部网之间的信息交换。并过滤所有内部网和外部网之间的信息交换。第第第第 4-1 4-1

5、 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l防火墙通常是运行在一台单独计算机之上的一个防火墙通常是运行在一台单独计算机之上的一个防火墙通常是运行在一台单独计算机之上的一个防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，它可以识别并屏蔽非法的请求，特别的服务软件，它可以识别并屏蔽非法的请求，特别的服务软件，它可以识别并屏蔽非法的请求，特别的服务软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不被偷窃和破坏，并记保护内部网络敏感的数据不

6、被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l防火墙技术是一种有效的网络安全机制，它主防火墙技术是一种有效的网络安全机制，它主防火墙技术是一种有效的网络安全机制，它主防火墙技术是一种有效的网络安全机制，它主要用于确定哪些内部服务允许外部访问，以及要用

7、于确定哪些内部服务允许外部访问，以及要用于确定哪些内部服务允许外部访问，以及要用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。允许哪些外部服务访问内部服务。允许哪些外部服务访问内部服务。允许哪些外部服务访问内部服务。l l其基本准则就是：其基本准则就是：其基本准则就是：其基本准则就是：l l一切未被允许的就是禁止的；一切未被禁止的就是一切未被允许的就是禁止的；一切未被禁止的就是一切未被允许的就是禁止的；一切未被禁止的就是一切未被允许的就是禁止的；一切未被禁止的就是允许的。允许的。允许的。允许的。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及Wi

8、ndowsWindows防防火墙配置火墙配置l l1.1.防火墙技术防火墙技术防火墙技术防火墙技术l l防火墙是建立在现代通信网络技术和信息安全技术基防火墙是建立在现代通信网络技术和信息安全技术基防火墙是建立在现代通信网络技术和信息安全技术基防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，并越来越多地应用于专用与础上的应用性安全技术，并越来越多地应用于专用与础上的应用性安全技术，并越来越多地应用于专用与础上的应用性安全技术，并越来越多地应用于专用与公用网络的互联环境之中。公用网络的互联环境之中。公用网络的互联环境之中。公用网络的互联环境之中。第第第第 4-1 4-1 4-1

9、 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l(1)(1)防火墙的作用防火墙的作用防火墙的作用防火墙的作用l l防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入口，能根据企业的安全政策控制出入口，能根据企业的安全政策控制出入口，能根据企业的安全政策控制 (允许、拒绝、监允许、拒绝、监允许、拒绝、监允许、拒绝、监测测测测)出入网络的信息流，且本身具有较强的抗攻击能力，出入网络

10、的信息流，且本身具有较强的抗攻击能力，出入网络的信息流，且本身具有较强的抗攻击能力，出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设是提供信息安全服务，实现网络和信息安全的基础设是提供信息安全服务，实现网络和信息安全的基础设是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，施。在逻辑上，防火墙是一个分离器，一个限制器，施。在逻辑上，防火墙是一个分离器，一个限制器，施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控着内部网和因特网之也是一个分析器，它有效地监控着内部网和因特网之也是一个分

11、析器，它有效地监控着内部网和因特网之也是一个分析器，它有效地监控着内部网和因特网之间的任何活动，保证了内部网络的安全。间的任何活动，保证了内部网络的安全。间的任何活动，保证了内部网络的安全。间的任何活动，保证了内部网络的安全。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置图图图图4.1 4.1 防火墙示意图防火墙示意图防火墙示意图防火墙示意图l l1)1)防火墙是网络安全的屏障。防火墙是网络安全的屏障。防火墙是网络安全的屏障。防火墙是网络安全的屏障。l l由于只有经过精心选择的应用协议才能通过防火墙，由于只有经过精心

12、选择的应用协议才能通过防火墙，由于只有经过精心选择的应用协议才能通过防火墙，由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙所以防火墙所以防火墙所以防火墙 (作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点)能极大地提高内部能极大地提高内部能极大地提高内部能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，网络的安全性，并通过过滤不安全的服务而降低风险，网络的安全性，并通过过滤不安全的服务而降低风险，网络的安全性，并通过过滤不安全的服务而降低风险，使网络环境变得更安全。防火墙同时可以保护网络免使网络环境变得更安全。防火墙同时可以保护网络免使网络环境变

13、得更安全。防火墙同时可以保护网络免使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如受基于路由的攻击，如受基于路由的攻击，如受基于路由的攻击，如IPIP选项中的源路由攻击和选项中的源路由攻击和选项中的源路由攻击和选项中的源路由攻击和ICMPICMP重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l2)2)防火墙可以强化网络安全策略。防火墙可以强化网络安全策略。防火墙可以强化网络安全策略。防火墙可以强化网络

14、安全策略。l l通过以防火墙为中心的安全方案配置，能将所有安全通过以防火墙为中心的安全方案配置，能将所有安全通过以防火墙为中心的安全方案配置，能将所有安全通过以防火墙为中心的安全方案配置，能将所有安全软件软件软件软件 (如口令、加密、身份认证、审计等如口令、加密、身份认证、审计等如口令、加密、身份认证、审计等如口令、加密、身份认证、审计等)配置在防火配置在防火配置在防火配置在防火墙上。与将网络安全问题分散到各个主机上相比，防墙上。与将网络安全问题分散到各个主机上相比，防墙上。与将网络安全问题分散到各个主机上相比，防墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网

15、络访问时，一火墙的集中安全管理更经济。例如在网络访问时，一火墙的集中安全管理更经济。例如在网络访问时，一火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以集中次一密口令系统和其他的身份认证系统完全可以集中次一密口令系统和其他的身份认证系统完全可以集中次一密口令系统和其他的身份认证系统完全可以集中于防火墙一身。于防火墙一身。于防火墙一身。于防火墙一身。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l3)3)对网络存取和访问进行监控审计。对网络存取和访问进行监控审计。对网络存取和

16、访问进行监控审计。对网络存取和访问进行监控审计。l l如果所有的访问都经过防火墙，那么，防火墙就能记如果所有的访问都经过防火墙，那么，防火墙就能记如果所有的访问都经过防火墙，那么，防火墙就能记如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使录下这些访问并做出日志记录，同时也能提供网络使录下这些访问并做出日志记录，同时也能提供网络使录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进用情况的统计数据。当发生可疑动作时，防火墙能进用情况的统计数据。当发生可疑动作时，防火墙能进用情况的统计数据。当发生可疑动作时，防火

17、墙能进行适当的报警，并提供网络是否受到监测和攻击的详行适当的报警，并提供网络是否受到监测和攻击的详行适当的报警，并提供网络是否受到监测和攻击的详行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是细信息。另外，收集一个网络的使用和误用情况也是细信息。另外，收集一个网络的使用和误用情况也是细信息。另外，收集一个网络的使用和误用情况也是非常重要的，这样可以清楚防火墙是否能够抵挡攻击非常重要的，这样可以清楚防火墙是否能够抵挡攻击非常重要的，这样可以清楚防火墙是否能够抵挡攻击非常重要的，这样可以清楚防火墙是否能够抵挡攻击者的探测和攻击，清楚防火墙的控制是否充分。

18、而网者的探测和攻击，清楚防火墙的控制是否充分。而网者的探测和攻击，清楚防火墙的控制是否充分。而网者的探测和攻击，清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非络使用统计对网络需求分析和威胁分析等而言也是非络使用统计对网络需求分析和威胁分析等而言也是非络使用统计对网络需求分析和威胁分析等而言也是非常重要的。常重要的。常重要的。常重要的。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l4)4)防止内部信息的外泄。防止内部信息的外泄。防止内部信息的外泄。防止内部信息的外泄。l l通过利用防

19、火墙对内部网络的划分，可实现内部网重通过利用防火墙对内部网络的划分，可实现内部网重通过利用防火墙对内部网络的划分，可实现内部网重通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制局部重点或敏感网络安全问点网段的隔离，从而限制局部重点或敏感网络安全问点网段的隔离，从而限制局部重点或敏感网络安全问点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非题对全局网络造成的影响。再者，隐私是内部网络非题对全局网络造成的影响。再者，隐私是内部网络非题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可常关心的问题

20、，一个内部网络中不引人注意的细节可常关心的问题，一个内部网络中不引人注意的细节可常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，能包含了有关安全的线索而引起外部攻击者的兴趣，能包含了有关安全的线索而引起外部攻击者的兴趣，能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防甚至因此而暴露了内部网络的某些安全漏洞。使用防甚至因此而暴露了内部网络的某些安全漏洞。使用防甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的例如火墙就可以隐蔽那些透漏内部细节的例如火墙就可以隐蔽那些透漏内部细节的例

21、如火墙就可以隐蔽那些透漏内部细节的例如FingerFinger，DNSDNS等服务。等服务。等服务。等服务。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l lFingerFinger显示了主机的所有用户的注册名、真名、最后登显示了主机的所有用户的注册名、真名、最后登显示了主机的所有用户的注册名、真名、最后登显示了主机的所有用户的注册名、真名、最后登录时间和使用录时间和使用录时间和使用录时间和使用shellshell类型等。但是类型等。但是类型等。但是类型等。但是FingerFinger显示的信息非常显示的信息非常显

22、示的信息非常显示的信息非常容易被攻击者所获悉。攻击者可以由此而知道一个系容易被攻击者所获悉。攻击者可以由此而知道一个系容易被攻击者所获悉。攻击者可以由此而知道一个系容易被攻击者所获悉。攻击者可以由此而知道一个系统使用的频繁程度，这个系统是否有用户正在连线上统使用的频繁程度，这个系统是否有用户正在连线上统使用的频繁程度，这个系统是否有用户正在连线上统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙网，这个系统是否在被攻击时引起注意等等。防火墙网，这个系统是否在被攻击时引起注意等等。防火墙网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网

23、络中的可以同样阻塞有关内部网络中的可以同样阻塞有关内部网络中的可以同样阻塞有关内部网络中的DNSDNS信息，这样一台信息，这样一台信息，这样一台信息，这样一台主机的域名和主机的域名和主机的域名和主机的域名和IPIP地址就不会被外界所了解。除了安全地址就不会被外界所了解。除了安全地址就不会被外界所了解。除了安全地址就不会被外界所了解。除了安全作用，防火墙还支持具有因特网服务特性的企业内部作用，防火墙还支持具有因特网服务特性的企业内部作用，防火墙还支持具有因特网服务特性的企业内部作用，防火墙还支持具有因特网服务特性的企业内部网络技术体系网络技术体系网络技术体系网络技术体系VPN(VPN(虚拟专用网

24、络虚拟专用网络虚拟专用网络虚拟专用网络)。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l(2)(2)防火墙的种类防火墙的种类防火墙的种类防火墙的种类l l根据防范的方式和侧重点的不同，防火墙技术可分成根据防范的方式和侧重点的不同，防火墙技术可分成根据防范的方式和侧重点的不同，防火墙技术可分成根据防范的方式和侧重点的不同，防火墙技术可分成很多类型，但总体来讲还是两大类：分组过滤和应用很多类型，但总体来讲还是两大类：分组过滤和应用很多类型，但总体来讲还是两大类：分组过滤和应用很多类型，但总体来讲还是两大类：分组过滤

25、和应用代理。代理。代理。代理。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l1)1)分组过滤或包过滤技术分组过滤或包过滤技术分组过滤或包过滤技术分组过滤或包过滤技术 (Packet filtering)(Packet filtering)。l l作用于网络层和传输层，通常安装在路由器上，对数作用于网络层和传输层，通常安装在路由器上，对数作用于网络层和传输层，通常安装在路由器上，对数作用于网络层和传输层，通常安装在路由器上，对数据进行选择，它根据分组包头源地址，目的地址和端据进行选择，它根据分组包头源地址，目的地

26、址和端据进行选择，它根据分组包头源地址，目的地址和端据进行选择，它根据分组包头源地址，目的地址和端口号、协议类型口号、协议类型口号、协议类型口号、协议类型 (TCP/UDP/ICMP/(TCP/UDP/ICMP/IPtunnelIPtunnel)等标志，确等标志，确等标志，确等标志，确定是否允许数据包通过。只有满足过滤逻辑的数据包定是否允许数据包通过。只有满足过滤逻辑的数据包定是否允许数据包通过。只有满足过滤逻辑的数据包定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从才被转发到相应的目的地出口端，其余数据包则被从才被转发到相应的目的地出口端，其余数据

27、包则被从才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。数据流中丢弃。数据流中丢弃。数据流中丢弃。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l包过滤的优点是不用改动客户机和主机上的应用程序，包过滤的优点是不用改动客户机和主机上的应用程序，包过滤的优点是不用改动客户机和主机上的应用程序，包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其因为它工作在网络层和传输层，与应用层无关。但其因为它工作在网络层和传输层，与应用层无关。但其因为它工作在网络层和传输层，与

28、应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输弱点也是明显的：据以过滤判别的只有网络层和传输弱点也是明显的：据以过滤判别的只有网络层和传输弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能得到充分满层的有限信息，因而各种安全要求不可能得到充分满层的有限信息，因而各种安全要求不可能得到充分满层的有限信息，因而各种安全要求不可能得到充分满足；在许多过滤器中，过滤规则的数目是有限制的，足；在许多过滤器中，过滤规则的数目是有限制的，足；在许多过滤器中，过滤规则的数目是有限制的，足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到

29、很大影响；由于且随着规则数目的增加，性能会受到很大影响；由于且随着规则数目的增加，性能会受到很大影响；由于且随着规则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如缺少上下文关联信息，不能有效地过滤如缺少上下文关联信息，不能有效地过滤如缺少上下文关联信息，不能有效地过滤如UDPUDP、RPCRPC一类的协议；一类的协议；一类的协议；一类的协议；第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l另外，大多数过滤器中缺少审计和报警机制，且管理另外，大多数过滤器中缺少审计和报警机制，且管理另外，大

30、多数过滤器中缺少审计和报警机制，且管理另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，方式和用户界面较差；对安全管理人员素质要求高，方式和用户界面较差；对安全管理人员素质要求高，方式和用户界面较差；对安全管理人员素质要求高，因为建立安全规则时，必须对协议本身及其在不同应因为建立安全规则时，必须对协议本身及其在不同应因为建立安全规则时，必须对协议本身及其在不同应因为建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常用程序中的作用有较深入的理解。因此，过滤器通常用程序中的作用有较深入的理解。因此，过滤器通常用程序中的

31、作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。是和应用网关配合使用，共同组成防火墙系统。是和应用网关配合使用，共同组成防火墙系统。是和应用网关配合使用，共同组成防火墙系统。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l2)2)代理服务技术。代理服务技术。代理服务技术。代理服务技术。l l也叫应用代理也叫应用代理也叫应用代理也叫应用代理 (Application Proxy)(Application Proxy)和应用网关和应用网关和应用网关和应用网关 (Application G

32、ateway)(Application Gateway)，它作用在应用层，其特点是，它作用在应用层，其特点是，它作用在应用层，其特点是，它作用在应用层，其特点是完全完全完全完全“阻隔阻隔阻隔阻隔”了网络通信流，通过对每种应用服务编了网络通信流，通过对每种应用服务编了网络通信流，通过对每种应用服务编了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的制专门的代理程序，实现监视和控制应用层通信流的制专门的代理程序，实现监视和控制应用层通信流的制专门的代理程序，实现监视和控制应用层通信流的作用。与包过滤防火墙不同之处在于内部网和外部网作用。与包过滤防火墙不同之处在于内部网

33、和外部网作用。与包过滤防火墙不同之处在于内部网和外部网作用。与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。实之间不存在直接连接，同时提供审计和日志服务。实之间不存在直接连接，同时提供审计和日志服务。实之间不存在直接连接，同时提供审计和日志服务。实际中的应用网关通常由专用工作站实现。际中的应用网关通常由专用工作站实现。际中的应用网关通常由专用工作站实现。际中的应用网关通常由专用工作站实现。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置图图图图4.2 4.2 应用代理型防火墙应用代理

34、型防火墙应用代理型防火墙应用代理型防火墙l l应用代理型防火墙是内部网与外部网的隔离点，工作应用代理型防火墙是内部网与外部网的隔离点，工作应用代理型防火墙是内部网与外部网的隔离点，工作应用代理型防火墙是内部网与外部网的隔离点，工作在在在在OSIOSI模型的最高层，掌握着应用系统中可用作安全决模型的最高层，掌握着应用系统中可用作安全决模型的最高层，掌握着应用系统中可用作安全决模型的最高层，掌握着应用系统中可用作安全决策的全部信息，起着监视和隔绝应用层通信流的作用。策的全部信息，起着监视和隔绝应用层通信流的作用。策的全部信息，起着监视和隔绝应用层通信流的作用。策的全部信息，起着监视和隔绝应用层通信

35、流的作用。同时也常结合过滤器的功能。同时也常结合过滤器的功能。同时也常结合过滤器的功能。同时也常结合过滤器的功能。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l3)3)复合型技术。复合型技术。复合型技术。复合型技术。l l针对更高安全性的要求，常把基于包过滤的方法与基针对更高安全性的要求，常把基于包过滤的方法与基针对更高安全性的要求，常把基于包过滤的方法与基针对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。于应用代理的方法结合起来，形成复合型防火墙产品。于应用代理的方

36、法结合起来，形成复合型防火墙产品。于应用代理的方法结合起来，形成复合型防火墙产品。所用主机称为堡垒主机，负责提供代理服务。这种结所用主机称为堡垒主机，负责提供代理服务。这种结所用主机称为堡垒主机，负责提供代理服务。这种结所用主机称为堡垒主机，负责提供代理服务。这种结合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构合通常有屏蔽主机和屏蔽子网这两种防火墙体系结构方案。方案。方案。方案。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l

37、 l在屏蔽主机防火墙体系结构中，分组过滤路由器或防在屏蔽主机防火墙体系结构中，分组过滤路由器或防在屏蔽主机防火墙体系结构中，分组过滤路由器或防在屏蔽主机防火墙体系结构中，分组过滤路由器或防火墙与因特网相连，同时一个堡垒机安装在内部网络，火墙与因特网相连，同时一个堡垒机安装在内部网络，火墙与因特网相连，同时一个堡垒机安装在内部网络，火墙与因特网相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，通过在分组过滤路由器或防火墙上过滤规则的设置，通过在分组过滤路由器或防火墙上过滤规则的设置，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为因特网上其他节点所能到达

38、的唯一节点，使堡垒机成为因特网上其他节点所能到达的唯一节点，使堡垒机成为因特网上其他节点所能到达的唯一节点，使堡垒机成为因特网上其他节点所能到达的唯一节点，确保内部网络不受未授权外部用户的攻击。确保内部网络不受未授权外部用户的攻击。确保内部网络不受未授权外部用户的攻击。确保内部网络不受未授权外部用户的攻击。l l在屏蔽子网防火墙体系结构中，堡垒机放在一个子网在屏蔽子网防火墙体系结构中，堡垒机放在一个子网在屏蔽子网防火墙体系结构中，堡垒机放在一个子网在屏蔽子网防火墙体系结构中，堡垒机放在一个子网内，两个分组过滤路由器放在这一子网的两端，使这内，两个分组过滤路由器放在这一子网的两端，使这内，两个分

39、组过滤路由器放在这一子网的两端，使这内，两个分组过滤路由器放在这一子网的两端，使这一子网与因特网及内部网分离，堡垒主机和分组过滤一子网与因特网及内部网分离，堡垒主机和分组过滤一子网与因特网及内部网分离，堡垒主机和分组过滤一子网与因特网及内部网分离，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。路由器共同构成了整个防火墙的安全基础。路由器共同构成了整个防火墙的安全基础。路由器共同构成了整个防火墙的安全基础。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l4)4)审计技术。审计技术。审计技术。审计技术。l

40、l通过对网络上发生的各种访问过程进行记录和产生日通过对网络上发生的各种访问过程进行记录和产生日通过对网络上发生的各种访问过程进行记录和产生日通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进志，并对日志进行统计分析，从而对资源使用情况进志，并对日志进行统计分析，从而对资源使用情况进志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行追踪监视。行分析，对异常现象进行追踪监视。行分析，对异常现象进行追踪监视。行分析，对异常现象进行追踪监视。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindow

41、s防防火墙配置火墙配置l l(3)(3)防火墙操作系统防火墙操作系统防火墙操作系统防火墙操作系统l l防火墙应该建立在安全的操作系统之上，而安全的操防火墙应该建立在安全的操作系统之上，而安全的操防火墙应该建立在安全的操作系统之上，而安全的操防火墙应该建立在安全的操作系统之上，而安全的操作系统来自对专用操作系统的安全加固和改造。作系统来自对专用操作系统的安全加固和改造。作系统来自对专用操作系统的安全加固和改造。作系统来自对专用操作系统的安全加固和改造。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l从现有的诸多产品

42、看，对安全操作系统内核的固从现有的诸多产品看，对安全操作系统内核的固从现有的诸多产品看，对安全操作系统内核的固从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行：化与改造主要从以下几方面进行：化与改造主要从以下几方面进行：化与改造主要从以下几方面进行：l l1)1)取消危险的系统调用；取消危险的系统调用；取消危险的系统调用；取消危险的系统调用；l l2)2)限制命令的执行权限；限制命令的执行权限；限制命令的执行权限；限制命令的执行权限；l l3)3)取消取消取消取消IPIP的转发功能；的转发功能；的转发功能；的转发功能；l l4)4)检查每个分组的接口；检查每个分组的接口；

43、检查每个分组的接口；检查每个分组的接口；l l5)5)采用随机连接序号；采用随机连接序号；采用随机连接序号；采用随机连接序号；l l6)6)驻留分组过滤模块；驻留分组过滤模块；驻留分组过滤模块；驻留分组过滤模块；l l7)7)取消动态路由功能；取消动态路由功能；取消动态路由功能；取消动态路由功能；l l8)8)采用多个安全内核，等等。采用多个安全内核，等等。采用多个安全内核，等等。采用多个安全内核，等等。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l作为一种安全防护设备，防火墙在网络中自然是作为一种安全防护设备

44、，防火墙在网络中自然是作为一种安全防护设备，防火墙在网络中自然是作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。必备功能。必备功能。必备功能。l l防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范防火墙也有局限性，存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的的安全威胁，如防火墙不能防范不经过防火墙的的安全威胁，如防火墙不能防范

45、不经过防火墙的的安全威胁，如防火墙不能防范不经过防火墙的攻击攻击攻击攻击 (例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接拨号，一些用户就可能形成与因特网的直接连接)。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁等。以及病毒的威胁等。以及病

46、毒的威胁等。以及病毒的威胁等。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l2.2.防火墙的功能指标防火墙的功能指标防火墙的功能指标防火墙的功能指标l l防火墙的功能指标主要包括：防火墙的功能指标主要包括：防火墙的功能指标主要包括：防火墙的功能指标主要包括：l l1)1)产品类型。从产品和技术发展来看，防火墙分为产品类型。从产品和技术发展来看，防火墙分为产品类型。从产品和技术发展来看，防火墙分为产品类型。从产品和技术发展来看，防火墙分为基于路由器的包过滤防火墙、基于通用操作系统的基于路由器的包过滤防火墙、基于通

47、用操作系统的基于路由器的包过滤防火墙、基于通用操作系统的基于路由器的包过滤防火墙、基于通用操作系统的防火墙和基于专用安全操作系统的防火墙。防火墙和基于专用安全操作系统的防火墙。防火墙和基于专用安全操作系统的防火墙。防火墙和基于专用安全操作系统的防火墙。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l2)2)局域网局域网局域网局域网 (LAN)(LAN)接口。指防火墙所能保护的网络类接口。指防火墙所能保护的网络类接口。指防火墙所能保护的网络类接口。指防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、型，如

48、以太网、快速以太网、千兆以太网、型，如以太网、快速以太网、千兆以太网、型，如以太网、快速以太网、千兆以太网、ATMATM、令牌环及令牌环及令牌环及令牌环及FDDIFDDI等。等。等。等。l l支持的最大支持的最大支持的最大支持的最大LANLAN接口数：指防火墙所支持的局域网接口数：指防火墙所支持的局域网接口数：指防火墙所支持的局域网接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。络接口数目，也是其能够保护的不同内网数目。络接口数目，也是其能够保护的不同内网数目。络接口数目，也是其能够保护的不同内网数目。l l服务器平台：防火墙所运行的操作系统平台服务器平台：防火墙所运行

49、的操作系统平台服务器平台：防火墙所运行的操作系统平台服务器平台：防火墙所运行的操作系统平台 (如如如如 LinuxLinux、UNIXUNIX、Windows 2000/XPWindows 2000/XP、专用安全操作、专用安全操作、专用安全操作、专用安全操作系统等系统等系统等系统等)。第第第第 4-1 4-1 4-1 4-1 讲讲讲讲 防火墙技术及防火墙技术及WindowsWindows防防火墙配置火墙配置l l3)3)协议支持。除支持协议支持。除支持协议支持。除支持协议支持。除支持IPIP协议之外，又支持协议之外，又支持协议之外，又支持协议之外，又支持AppleTalkAppleTalk、

50、DECnetDECnet、IPXIPX及及及及NETBEUINETBEUI等非等非等非等非IPIP协议。协议。协议。协议。此外还有建立此外还有建立此外还有建立此外还有建立VPNVPN通道的协议、可以在通道的协议、可以在通道的协议、可以在通道的协议、可以在VPNVPN中使用中使用中使用中使用的协议等。的协议等。的协议等。的协议等。l l4)4)加密支持。加密支持。加密支持。加密支持。VPNVPN中支持的加密算法，例如数据加中支持的加密算法，例如数据加中支持的加密算法，例如数据加中支持的加密算法，例如数据加密标准密标准密标准密标准DESDES、3DES3DES、RC4RC4以及国内专用的加密算法以