防火墙 防火墙技术.ppt

《防火墙 防火墙技术.ppt》由会员分享，可在线阅读，更多相关《防火墙 防火墙技术.ppt（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 防火墙技术防火墙技术2内容提要内容提要防火墙的基本概念防火墙的基本概念常见防火墙类型常见防火墙类型使用规则集实现防火墙使用规则集实现防火墙常见防火墙系统模型常见防火墙系统模型3防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。可以防止火灾发生的时候蔓延到别的房屋。防火墙4防火墙是指隔离在本地网络与外界网络之间的一道防御系统。防火墙是指隔离在本地网络与外界网络之间的一道防御系统。通过防火墙可以隔离风险区域（通过防火墙可以隔离风险区域（InternetInternet或有一定风险的网络）或有一定风险的网络）

2、与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。域的访问。防火墙的定义5防火墙嵌入在局域网和防火墙嵌入在局域网和防火墙嵌入在局域网和防火墙嵌入在局域网和InternetInternetInternetInternet连接的网关上连接的网关上连接的网关上连接的网关上所所所所有有有有从从从从内内内内到到到到外外外外和和和和从从从从外外外外到到到到内内内内的的的的数数数数据据据据都都都都必必必必须须须须通通通通过过过过防防防防火火火火墙墙墙墙（物物物物理上阻塞其它所有访问）理上阻塞其它所有访问）理上阻塞其它所有访问）理上阻塞其

3、它所有访问）只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙防火墙特征6确确确确保保保保一一一一个个个个单单单单位位位位内内内内的的的的网网网网络络络络与与与与因因因因特特特特网网网网的的的的通通通通信信信信符符符符合合合合该该该该单单单单位位位位的的的的安安安安全全全全方方方方针针针针，简简简简单单单单地地地地说说说说，就就就就是是是是要要要要为为为为管管管管理理理理人人人人员员员员提提提提供供供供下下下下列列列列问问问问题题题题的的的的答案：答案：答案：答案：谁在使用网络？谁在使用网络？

4、谁在使用网络？谁在使用网络？他们在网络上做什么？他们在网络上做什么？他们在网络上做什么？他们在网络上做什么？他们什么时间使用了网络？他们什么时间使用了网络？他们什么时间使用了网络？他们什么时间使用了网络？他们上网去了何处？他们上网去了何处？他们上网去了何处？他们上网去了何处？谁试图上网但没有成功？谁试图上网但没有成功？谁试图上网但没有成功？谁试图上网但没有成功？防火墙的作用7根据不同的需要，防火墙的功能有比较大差异，但是一根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全可以限制未授权的用户进入内部

5、网络，过滤掉不安全的服务和非法用户的服务和非法用户防止入侵者接近网络防御设施防止入侵者接近网络防御设施限制内部用户访问特殊站点限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如立的网络，例如IntranetIntranet等种类相对集中的网络。等种类相对集中的网络。InternetInternet上的上的WebWeb网站中，超过三分之一的站点都是有某网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。火墙之后。防火墙的功能8

6、防防火火墙墙对对企企业业内内部部网网实实现现了了集集中中的的安安全全管管理理，可可以以强强化化网网络络安安全全策策略略，比分散的主机管理更经济易行比分散的主机管理更经济易行防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵由由于于所所有有的的访访问问都都经经过过防防火火墙墙，防防火火墙墙成成为为审审计计和和记记录录网网络络的的访访问问和和使用的最佳地点，可以方便地监视网络的安全性并报警。使用的最佳地点，可以方便地监视网络的安全性并报警。可可以以作作为为部部署署网网络络地地址址转转换换（Network Network Addres

7、s Address TranslationTranslation）的的地地点，利用点，利用NATNAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。技术，可以缓解地址空间的短缺，隐藏内部网的结构。利利用用防防火火墙墙对对内内部部网网络络的的划划分分，可可以以实实现现重重点点网网段段的的分分离离，从从而而限限制制安全问题的扩散。安全问题的扩散。防火墙可以作为防火墙可以作为IPSecIPSec的平台，可以基于隧道模式实现的平台，可以基于隧道模式实现VPNVPN。防火墙的优点9为为为为了了了了提提提提高高高高安安安安全全全全性性性性，限限限限制制制制或或或或关关关关闭闭闭闭了了了了一一一一些些些些

8、有有有有用用用用但但但但存存存存在在在在安安安安全全全全缺缺缺缺陷陷陷陷的的的的网网网网络络络络服服服服务，给用户带来使用的不便。务，给用户带来使用的不便。务，给用户带来使用的不便。务，给用户带来使用的不便。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。受性能限制，防火墙对病毒传输保护能力弱。受性能限制，防火墙对病毒传输保护

9、能力弱。受性能限制，防火墙对病毒传输保护能力弱。受性能限制，防火墙对病毒传输保护能力弱。防防防防火火火火墙墙墙墙对对对对用用用用户户户户不不不不完完完完全全全全透透透透明明明明，可可可可能能能能带带带带来来来来传传传传输输输输延延延延迟迟迟迟、性性性性能能能能瓶瓶瓶瓶颈颈颈颈及及及及单单单单点点点点失失失失效。效。效。效。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。作作作作为为为为一一一一种种种种被被被被动动动动的的的的防防防防护护护护手手手手段段段段，防防防防火火火火墙墙墙墙不

10、不不不能能能能自自自自动动动动防防防防范范范范因因因因特特特特网网网网上上上上不不不不断断断断出出出出现现现现的新的威胁和攻击。的新的威胁和攻击。的新的威胁和攻击。的新的威胁和攻击。防火墙的局限性10在构筑防火墙之前在构筑防火墙之前,需要制定一套完整有效的安全战略需要制定一套完整有效的安全战略网络服务访问策略网络服务访问策略 一一种种高高层层次次的的具具体体到到事事件件的的策策略略，主主要要用用于于定定义义在在网网络络中中允允许许或禁止的服务。或禁止的服务。防火墙安全规则设计策略防火墙安全规则设计策略 一一种种是是“一一切切未未被被允允许许的的就就是是禁禁止止的的”，一一种种是是“一一切切未未

11、被被禁禁止止的的都都是是允允许许的的”。第第一一种种的的特特点点是是安安全全性性好好，但但是是用用户户所所能能使使用用的的服服务务范范围围受受到到严严格格限限制制。第第二二种种的的特特点点是是可可以以为为用用户户提提供供更更多多的的服服务务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。防火墙策略11常见的防火墙有三种类型：常见的防火墙有三种类型：分组（包）过滤防火墙；分组（包）过滤防火墙；应用代理防火墙；应用代理防火墙；状态检测防火墙。状态检测防火墙。防火墙的分类12分组过滤（分组过滤（Packet Filtering

12、Packet Filtering）：包过滤；）：包过滤；作用在协议组的网络层和传输层；作用在协议组的网络层和传输层；根据分组包头源地址、目的地址和端口号、协议类型等标根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过；志确定是否允许数据包通过；只有满足过滤逻辑的数据包才被转发到相应的目的地的出只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。口端，其余的数据包则从数据流中丢弃。防火墙的分类-分组过滤13应用代理（应用代理（Application ProxyApplication Proxy）：也叫应用网关）：也叫应用网关（Applic

13、ation GatewayApplication Gateway）；）；它作用在应用层，其特点是完全它作用在应用层，其特点是完全“阻隔阻隔”网络通信流，通网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用层通信流的作用。实际中的应用网关通常由专用工作站实现。实际中的应用网关通常由专用工作站实现。防火墙的分类-应用代理14状态检测（状态检测（Status DetectionStatus Detection）：）：直接对分组里的数据进行处理，并且结合前后分组的数据直接对分组里的数据进行处理，并且结合前后分组的数

14、据进行综合判断，然后决定是否允许该数据包通过。进行综合判断，然后决定是否允许该数据包通过。防火墙的分类-状态检测15数据包过滤可以在网络层截获数据。使用一些规则来确数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃入，那么数据包将被丢弃 分组过滤防火墙16分组过滤防火墙的工作机制过滤防火墙的工作机制17对对对对每每每每个个个个经经经经过过过过的的的的IPIPIPIP包包包包应应应应用用用用安安安安全全全全规规规规则则则则

15、集集集集合合合合检检检检查查查查，决决决决定定定定是是是是转转转转发发发发或或或或者者者者丢丢丢丢弃弃弃弃该该该该包包包包过滤包是双向的过滤包是双向的过滤包是双向的过滤包是双向的过过过过滤滤滤滤规规规规则则则则基基基基于于于于与与与与IPIPIPIP或或或或TCPTCPTCPTCP包包包包头头头头中中中中字字字字段段段段的的的的匹匹匹匹配配配配（如如如如四四四四元元元元组组组组：源源源源IPIPIPIP地地地地址址址址、目的目的目的目的IPIPIPIP地址、源端口、目的端口）地址、源端口、目的端口）地址、源端口、目的端口）地址、源端口、目的端口）两种缺省策略（丢弃或允许）两种缺省策略（丢弃或允

16、许）两种缺省策略（丢弃或允许）两种缺省策略（丢弃或允许）分组过滤防火墙18优点：优点：优点：优点：1.1.1.1.简单简单简单简单2.2.2.2.对用户透明对用户透明对用户透明对用户透明3.3.3.3.高速高速高速高速缺点：缺点：缺点：缺点：1.1.1.1.对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范2.2.2.2.配置安全规则比较困难配置安全规则比较困难配置安全规则比较困难配置安全规则比较困难3.3.3.3.缺少鉴别，不支持高级用户认证缺少鉴别，不支持高级用户认证缺少鉴别，不支持高级用

17、户认证缺少鉴别，不支持高级用户认证4.4.4.4.日志功能有限日志功能有限日志功能有限日志功能有限分组过滤防火墙19IPIPIPIP地地地地址址址址欺欺欺欺骗骗骗骗：丢丢丢丢弃弃弃弃那那那那些些些些从从从从外外外外部部部部接接接接口口口口到到到到达达达达的的的的，但但但但却却却却具具具具有有有有内部内部内部内部IPIPIPIP地址的包地址的包地址的包地址的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包微微微微小小小小分分分分片片片片攻攻攻攻击击击击：丢丢丢丢弃弃弃弃协协协协议议议议类类类类型型型

18、型是是是是TCPTCPTCPTCP并并并并且且且且IPIPIPIP分分分分片片片片标标标标志志志志为为为为1 1 1 1的分片包的分片包的分片包的分片包可能的攻击和相应对策20一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。第一条规则：主机第一条规则：主机10.1.1.110.1.1.1任何端口访问任何主机的任何端口，基于任何端口访问任何主机的任何端口，基于TCPTCP协协议的数据包都允许通过。议的数据包都允许通过。第二条规则：任何主机的第二条规则：任何主机的2020端口访问主机端口访问主机10.1.1.110.1

19、.1.1的任何端口，基于的任何端口，基于TCPTCP协协议的数据包允许通过。议的数据包允许通过。第三条规则：任何主机的第三条规则：任何主机的2020端口访问主机端口访问主机10.1.1.110.1.1.1小于小于10241024的端口，如果基的端口，如果基于于TCPTCP协议的数据包都禁止通过。协议的数据包都禁止通过。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1允允许许10.1.1.1*TCP2允允许许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security LogsSecurity Logs”Logs”，察看日志纪录如图所示。，

20、察看日志纪录如图所示。33FTPFTP服务用服务用TCPTCP协议，协议，FTPFTP占用占用TCPTCP的的2121端口，主机的端口，主机的IPIP地地址是址是“172.18.25.109”172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所示。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1禁止禁止*172.18.25.109*21TCP案例：用WinRoute禁用FTP访问 34利用利用WinRouteWinRoute建立访问规则，如图所示。建立访问规则，如图所示。35设置访问规则以后，再访问主机设置访问规则以后，再访问主机“17

21、2.18.25.109”172.18.25.109”的的FTPFTP服务，将遭到拒绝，如图所示。服务，将遭到拒绝，如图所示。36访问违反了访问规则，会在主机的安全日志中记录下访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。来，如图所示。37HTTPHTTP服务用服务用TCPTCP协议，占用协议，占用TCPTCP协议的协议的8080端口，主机的端口，主机的IPIP地址是地址是“172.18.25.109”172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所示。组序号组序号动作动作源源IPIP目的目的IPIP源端口源端口目的端目的端口口协议类协议类型型1 1禁止禁止

22、*172.18.25.109172.18.25.109*8080TCPTCP案例：用WinRoute禁用HTTP访问 38利用利用WinRouteWinRoute建立访问规则，如图所示。建立访问规则，如图所示。39打开本地的打开本地的IEIE连接远程主机的连接远程主机的HTTPHTTP服务，将遭到拒绝，服务，将遭到拒绝，如图所示。如图所示。40访问违反了访问规则，所以在主机的安全日志中记录访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。下来，如图所示。41应用代理（应用代理（Application ProxyApplication Proxy）是运行在防火墙上的一种服务器程）是运

23、行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为称为“应用网关应用网关”。应用代理防火墙42应用级网关应用级网关43应用级网关的工作机制应用级网关的工作机

24、制44优点：优点：1.网网关关理理解解应应用用协协议议，可可以以实实施施更更细细粒粒度度的的访访问问控控制制，因因此此比比包包过过滤滤更更安全安全2.易于配置，界面友好易于配置，界面友好3.不允许内外网主机的直接连接不允许内外网主机的直接连接4.4.只需要详细检查几个允许的应用程序只需要详细检查几个允许的应用程序5.5.对进出数据进行日志和审计比较容易对进出数据进行日志和审计比较容易缺点：缺点：1.1.额外的处理负载，处理速度比包过滤慢额外的处理负载，处理速度比包过滤慢2.对每一类应用，都需要一个专门的代理对每一类应用，都需要一个专门的代理3.灵活性不够灵活性不够应用级网关45常见防火墙系统模

25、型 常见防火墙系统一般按照四种模型构建：常见防火墙系统一般按照四种模型构建：筛选路由器模型；筛选路由器模型；单宿主堡垒主机（屏蔽主机防火墙）模型；单宿主堡垒主机（屏蔽主机防火墙）模型；双宿主堡垒主机（屏蔽防火墙系统）模型；双宿主堡垒主机（屏蔽防火墙系统）模型；屏蔽子网模型。屏蔽子网模型。46堡垒主机堡垒主机:Bastion Host:Bastion Host堡堡垒垒主主机机是是一一种种配配置置了了安安全全防防范范措措施施的的网网络络上上的的计计算算机机，堡堡垒垒主主机机为为网网络络之之间间的的通通信信提提供供了了一一个个阻阻塞塞点点，也也就就是说如果没有堡垒主机，网络之间将不能相互访问。是说如

26、果没有堡垒主机，网络之间将不能相互访问。双宿主机双宿主机:Dual-homed Host:Dual-homed Host有有两两个个网网络络接接口口的的计计算算机机系系统统,一一个个接接口口接接内内部部网网,一一个接口接外部网。个接口接外部网。一些概念47安装安全操作系统安装安全操作系统安装安全操作系统安装安全操作系统只安装重要服务，如只安装重要服务，如只安装重要服务，如只安装重要服务，如TelnetTelnetTelnetTelnet、DNSDNSDNSDNS、FTPFTPFTPFTP、SMTPSMTPSMTPSMTP等等等等需要进行鉴别需要进行鉴别需要进行鉴别需要进行鉴别每个代理配置成只支

27、持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机所有连接、通信都执行日志审计所有连接、通信都执行日志审计所有连接、通信都执行日志审计所有连接、通信都执行日志审计各代理间相互独立各代理间相互独立各代理间相互独立各代理间相互独立每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中堡垒主机特

28、征48筛选路由器模型 筛选路由器模型是网络的第一道防线，功能是实施包过滤。如果筛筛选路由器模型是网络的第一道防线，功能是实施包过滤。如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。能够隐藏你的内部网络的信息、不具备监视和日志记录功能。49单宿主堡垒主机模型 单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要主机组成。该防火墙系统提供的安全等级比包过滤防

29、火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。两种不同的安全系统。50双宿主堡垒主机模型 双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去之间直接转发信息的功能

30、被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。往内部网络的信息经过堡垒主机。51屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了防火墙系统之一，因为在定义了“中立区中立区”(DMZ(DMZ，Demilitarized Demilitarized Zone)Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、机、信息服务器、ModemModem组，以及其它公用服务器放在组，以及其它公

31、用服务器放在DMZDMZ网络中。如网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。果黑客想突破该防火墙那么必须攻破以上三个单独的设备。52防火墙配置之一防火墙配置之一（单地址堡垒主机）（单地址堡垒主机）53典型的路由器安全规则配置：典型的路由器安全规则配置：1.1.对对于于来来自自InternetInternet的的数数据据包包，只只有有目目标标指指定定为为堡堡垒垒主主机机的的IPIP包包才才允允许许进入进入2.2.对于来自内部网的数据包，只有来自堡垒主机的对于来自内部网的数据包，只有来自堡垒主机的IPIP包才允许发出包才允许发出堡垒主机执行鉴别和代理服务堡垒主机执行鉴别和代理服

32、务比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：1.1.既实现了包一级又实现了应用级的过滤既实现了包一级又实现了应用级的过滤2.2.一个入侵者必须同时渗透两个单独的系统一个入侵者必须同时渗透两个单独的系统同同时时也也为为支支持持直直接接的的InternetInternet访访问问提提供供了了灵灵活活性性（如如配配置置WebWeb服服务务器器，可可以以将路由器配置成允许直接通信）将路由器配置成允许直接通信）单地址堡垒主机单地址堡垒主机54防火墙配置之二防火墙配置之二（双地址堡垒主机）（双地址堡垒主机）55设设设设置置置置成

33、成成成双双双双地地地地址址址址后后后后，所所所所有有有有的的的的专专专专用用用用网网网网主主主主机机机机（如如如如WebWebWebWeb服服服服务务务务器器器器）与与与与InternetInternetInternetInternet的的的的通通通通信信信信都都都都必必必必须须须须通通通通过过过过堡堡堡堡垒垒垒垒主主主主机机机机，比单地址方式对安全的要求更为严格比单地址方式对安全的要求更为严格比单地址方式对安全的要求更为严格比单地址方式对安全的要求更为严格双地址堡垒主机双地址堡垒主机56防火墙配置之三防火墙配置之三（屏蔽的子网防火墙）（屏蔽的子网防火墙）采采用用了了两两个个包包过过滤滤路路由

34、由器器和和一一个个堡堡垒垒主主机机，在在内内外外网网络络之之间间建建立立了了一一个个被被隔隔离离的的子子网网，定定义义为为“非非军军事事化化区区（de-militarized zonede-militarized zone；DMZDMZ）”57网网网网络络络络管管管管理理理理员员员员将将将将堡堡堡堡垒垒垒垒主主主主机机机机，WEBWEBWEBWEB服服服服务务务务器器器器、MailMailMailMail服服服服务务务务器器器器等等等等公公公公用用用用服服服服务务务务器器器器放放放放在在在在DMZDMZDMZDMZ中中中中。内内内内部部部部网网网网络络络络和和和和外外外外部部部部网网网网络络络

35、络均均均均可可可可访访访访问问问问DMZDMZDMZDMZ，但但但但禁禁禁禁止止止止它它它它们们们们穿穿穿穿过过过过DMZDMZDMZDMZ直直直直接接接接进行通信。这种模式是三种配置中最安全的，具有以下优点：进行通信。这种模式是三种配置中最安全的，具有以下优点：进行通信。这种模式是三种配置中最安全的，具有以下优点：进行通信。这种模式是三种配置中最安全的，具有以下优点：1.1.1.1.具具具具有有有有三三三三级级级级防防防防卫卫卫卫措措措措施施施施。即即即即使使使使堡堡堡堡垒垒垒垒主主主主机机机机被被被被入入入入侵侵侵侵者者者者控控控控制制制制，内内内内部部部部网网网网仍仍仍仍受到内部包过滤路

36、由器的保护。受到内部包过滤路由器的保护。受到内部包过滤路由器的保护。受到内部包过滤路由器的保护。2.2.2.2.存在存在存在存在DMZDMZDMZDMZ，使得内部网络对于，使得内部网络对于，使得内部网络对于，使得内部网络对于InternetInternetInternetInternet不可见不可见不可见不可见3.3.3.3.同同同同样样样样由由由由于于于于存存存存在在在在DMZDMZDMZDMZ区区区区，内内内内部部部部网网网网络络络络中中中中的的的的系系系系统统统统不不不不能能能能构构构构造造造造到到到到InternetInternetInternetInternet的直接路由的直接路由的直接路由的直接路由屏蔽的子网防火墙屏蔽的子网防火墙58创建防火墙的步骤创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步：成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略；第一步：制定安全策略；第二步：搭建安全体系结构；第二步：搭建安全体系结构；第三步：制定规则次序；第三步：制定规则次序；第四步：落实规则集；第四步：落实规则集；第五步：注意更换控制；第五步：注意更换控制；第六步：做好审计工作。第六步：做好审计工作。