第6章-：防火墙技术课件.ppt

《第6章-：防火墙技术课件.ppt》由会员分享，可在线阅读，更多相关《第6章-：防火墙技术课件.ppt（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第6章 防火墙技术 本章主要内容：本章主要内容：6.1 6.1 防火墙简介防火墙简介 6.2 6.2 防火墙的类型防火墙的类型 6.3 6.3 防火墙配置防火墙配置 6.4 6.4 防火墙系统防火墙系统 6.5 6.5 防火墙的选购和使用防火墙的选购和使用6.6 6.6 防火墙产品介绍防火墙产品介绍 l*l1知识点防火墙的概念功能特点和安全性防火墙的分类防火墙的配置和防火墙系统防火墙的选购、安装和维护l*l2难 点 防火墙系统 l*l3要求熟练掌握以下内容：防火墙的概念、功能特点和安全性 防火墙分类、配置 防火墙的选购、安装和维护了解以下内容：防火墙系统和防火墙产品l*l4 提起防火墙，大家比

2、较熟悉，大凡有计算机的人都用过。所以对这个名字并不陌生，“防火墙”这个术语来自建筑结构中的安全术语，过去人们常在寓所之间建起一道砖墙，一旦某个单元起火，它就能够防止火势蔓延到其他单元起到防火的作用。现在的防火墙和古代寓意已不同。本章将从防火墙的主要功能、基本类型及其体系结构等方面介绍防火墙的有关知识。l*l56.1 防火墙简介防火墙的概念防火墙的功能特点防火墙的安全性设计l*l66.1.1 防火墙的概念防火墙原意是古典建筑在房屋之间的一道墙。当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。Rich Kosinski(Internet Securit

3、y公司总裁）指出防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。防火墙是一种广泛应用的一种技术,是控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。防火墙定义为置于两个网络之间的保障网络安全的一组构件或一个系统。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，安全、管理、速度是防火墙的三大要素。防火墙在系统中的位置如图6-1所示。l*l76.1.1 防火墙的概念防火墙可以嵌入到某种硬件产品中，以硬件设备形

4、式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。l*l8l内部网络l外部网络l防火墙6.1.2 防火墙的功能特点防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙主要功能有：1.防止易受攻击的服务 防火墙能过滤不安全的服务。防火墙能防止非授权用户进入内部网络。大大提高了企业内部网的安全性。l*l96.1.2 防火墙的功能特点2.防火墙对内部实现了集中的安全管理 对一个企业而言，使用防火墙比不使用防火墙可能更

5、加经济一些。这是因为如果使用了防火墙可以对软件、附件统一到防火墙上集中管理。如果不使用防火墙，软件分散到个主机上单独管理。3.控制访问网点 利用防火墙对内部网段的划分，可以实现重点网段分离，限制安全问题的扩散。4.对网络存取和访问进行监控审计 可以方便监视网络的安全并及时报警.所有访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。l*l106.1.2 防火墙的功能特点5.提供网络地址翻译NAT功能，可以实现网络地址转换 利用NAT技术可以缓解地址资源短缺，隐藏内部网的结构。Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换

6、）的逻辑地址。因此防火墙可以保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，缓解地址空间短缺的问题.l*l116.1.3 防火墙的安全性设计1防火墙经典安全模型防火墙技术的思想源于经典安全，经典模型策略是为了保护计算机安全。该安全模型是一个抽象，用来定义实体和实体之间是如何允许进行交互的。经典安全模型中包括识别和验证、访问控制、审计三大部件，通过参考监视器的参考和授权功能来控制主题针对对象的访问。参考监视器提供两个功能：第一功能是参考功能，用于评价由主体发出的访问请求，而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求；而第二个功能就是控制对授权数据

7、库改变的授权功能，通过改变授权数据库的配置来改变主体的访问权限。识别和验证部件的作用就是确定主体的身份。访问控制部件的作用就是控制主体的访问对象，由参考监视器、授权数据库构成；而审计部件的功能就是监测访问控制的具体执行情况，由审计子系统构成。l*l126.1.3 防火墙的安全性设计2.用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员的认证。3.域名服务防火墙可以对内部网内外用户提供修改名字的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机的名字；而对于来自内部网内的主机的请求，防火

8、墙提供寻址名字，以分辨Internet上的主机。l*l136.1.3 防火墙的安全性设计4.IP层的安全IP层的安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的。此外，认证机构还要保证该书剧组在传送中未被篡改。保密性保证通信节点对所传消息进行加密，防止第三者窃听。5.邮件处理电子邮件是内部网络与Internet连通的一项主要业务。是互联网上用户之间交换信息时广泛采用的手段。一般采用简单邮件传输协议SMTP。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过他与防火墙连通，在与internet上用户连通。l*l146.2 防

9、火墙的类型防火墙的类型防火墙的概念防火墙的功能特点防火墙的安全性设计l*l156.2 防火墙的类型防火墙的类型 6.2.1 包过滤防火墙l*l166.2.1 包过滤防火墙包过滤防火墙1.包过滤防火墙的工作原理包过滤防火墙的信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。静态包过滤防火墙工作在TCP/IP协议的IP层，如图6-2所示。包过滤的内容有：l*l176.2.1 包过滤防火墙包过滤防火墙数据包协议类型：TCP、UDP、ICMP、IGMP等；源、

10、目的IP地址；源、目的端口：FTP、HTTP、DNS等；IP选项：源路由、记录路由等；TCP选项：SYN、ACK、FIN、RST等；其他协议选项：ICMP、ECHO等；数据包流向：in或out；数据包流经网络接口：eth0、eth1。l*l186.2.1 包过滤防火墙包过滤防火墙2.包过滤操作过程 （1）包过滤规则必须被存储作为包过滤设备的端口上。（2）当数据包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等包头中的域。（3）包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。（4）如果一条规则阻止传输，包就被弃掉。（5）如果一条规则允许传输，包就被通过。（6）如

11、果一个包不满足任意规则，它就被弃掉。l*l196.2.1 包过滤防火墙包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。l*l206.2.1

12、 包过滤防火墙包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。l*l216.2.2 代理服务器防火墙2.代理型防火墙的优缺点代理防火墙的优

13、点：代理服务可以识别并实施高层协议，如http,ftp；可提供部分传输层、全部应用层和部分会话层的信息；用于禁止访问特定的网络服务，并允许其他服务；能处理数据包；不允许外部和内部主机间直接通信，代理服务可转送和屏蔽内部服务；代理服务具有良好的日志纪录，可以有效的追踪。代理型防火墙的缺点：不可以在防火墙服务器上开设本级的网络服务；代理服务有延迟；需要为通过防火墙的每个协议添加一个新的代理；应用级防火墙不提供udp,rpc特殊协议的代理；代理防火墙培植起来比较麻烦；以来操作系统和应用协议；代理需要附加口令和验证，从而造成延迟；最大的缺点就是速度比较慢，会成为内外网络之间的瓶颈。l*l226.2.3

14、 状态检测防火墙1.状态检测防火墙工作原理状态检测防火墙是基于动态包过滤技术，又称动态包过滤技术，采用一个网关上执行网络安全引擎，即监测模块。监测模块工作在网络层和链路层之间，对网络通信各层实时监测分析，提取相关的通信和状态信息，并动态存储和更新连接表中的状态，为下一通信检查积累数据。状态检测技术是包过滤技术的延伸，使用各种状态表（state tables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。状态检测防火墙工作示意图如图6-4所示。l*l236.2.3 状态检测防火墙状态检测技术防火墙是对包

15、过滤技术、电路层网关和代理服务技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。l*l246.2.3 状态检测防火墙2.状态检测防火墙的优缺点 状态检测防火墙优点：为基于无连接的协议和动态分配协议的应用提供安全支持，减少了端口的开放时间，能支持所有服务。状态检测防火墙缺点：允许外部客户和内部主机直接相连，不提供用户鉴别。l*l256.3 防火墙配置WinRoute Pro(版本WinRoute Pro 4.2.5)是一个集路由器、DHCP 服务器、DNS 服务器、NAT、防火墙

16、于一身的代理服务器软件，同时它还是一个可以 应 用 于 局 域 网 内 部 的 邮 件 服 务 器 软 件。WinRoute由三个管理工具组成：1、WinRoute引擎；2、WinRoute引擎监视器；3、WinRoute管理程序。其中WinRoute引擎执行所有路由和地址分析操作（包括信息包过滤、端口映射等等），WinRoute引 擎 监 视 器 用 来 开 始 和 停 止 你 的WinRoute引 擎。WinRoute引 擎 监 视 器 监 听WinRoute引擎是否处于激活状态，它会在系统的桌面下角任务栏上显示出蓝白色的图标。l*l266.3.1 服务器置于防火墙之内1.防火墙布局布置防

17、火墙的主机安装两个网络接口卡，分别为eth0和ethl。其中，eth0连接在外网，其IP地址为10.10.35.56；ethl连接在内网，其IP地址为192.168.0.10。Web服务器主机位于内网，其IP地址为192.168.0.8，如图6-6所示。通过防火墙的NAT功能和端口映射功能，可以使外网的Web客户机对10.10.35.56的Web访问请求转给192.168.0.8，从而外网的Web客户机就可以正常访问内网中的Web服务器。l*l276.3.1 服务器置于防火墙之内2配置过程 在网络上下载WinRoute Pro 4.2.5,执行setup，安装完毕，重启电脑后，开始运行WinR

18、oute。在系统的桌面下角任务栏上显示出一个小圆型的蓝白色图标如图6-7所示，这表示WinRoute引擎正在运行。如是有红圆型的图标则表明WinRoute处于停止。在图标上简单点击鼠标右键，在弹出菜单项选择“Start WinRoute Engine”。l*l28 6.3.1 服务器置于防火墙之内启动后显示图6-8所示对话框，设置winroute主机的ip地址，用户名，如果输入admin 则不必输入密码，点击“OK”。1）设置NAT设置NAT的步骤如下：(1)在WinRoute运行界面Kerio WinRoute Administration窗口中选择Settings-interface Ta

19、ble 命令，打开Interfaces/NAT 对话框，如图6-10所示。l*l29 6.3.1 服务器置于防火墙之内(2)选择内部网络接口，即选择IP地址为192.168.0.10的网卡，单击Properties按钮，弹出Interface Propertioes 对话框，在Settings选项区中，选中Perform NAT with the IP address of this interface on all communication passing 复选框，对所有经过该接口的通信执行NAT。如图6-11所示。l*l306.3.1 服务器置于防火墙之内本框中输入目的IP地址，也就是本

20、地网络中对外提供服务的服务器的IP地址，这里输入192.168.0.8;在Destination Port 文本框中输入目的端口号，即本地网络中服务器提供服务的端口，通常与监听的端口是一致的，这里输入80。以上设置如图6-12所示。单击OK按钮，返回到如图6-13所示的对话框。在该对话框中可以根据情况对新添加的映射项列表进行修改和删除。l*l31 6.3.2 服务器置于防火墙之外防火墙只能对内网的主机提供一定的保护功能。如果将Web服务器放置在防火墙之外，防火墙就不会对该服务器有任何的防护作用。因此，在防火墙主机上也不需要有任何的设置了。l*l326.3.3 服务器置于防火墙之上布置防火墙的主

21、机安装两个网络接口，分别为eth0 和eth1。其中，eth0连接在外网，其IP地址为10.10.35.56;eth1连接在内网，其IP地址为192.168.0.1。将Web服务器绑定在内网的接口卡上，如图6-15所示。将Web服务器放置在防火墙上，可以按照如下的策略来设置。l*l336.3.3 服务器置于防火墙之上布置防火墙的主机安装两个网络接口，分别为eth0 和eth1。其中，eth0连接在外网，其IP地址为10.10.35.56;eth1连接在内网，其IP地址为192.168.0.1。将Web服务器绑定在内网的接口卡上，如图6-15所示。将Web服务器放置在防火墙上，可以按照如下的策略

22、来设置。l*l346.3.3 服务器置于防火墙之上1.在IIS上设置Web服务器的绑定地址和监听端口右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口。在左边窗口中依依展开“服务和应用程序”-“Internet信息服务(IIS)管理器”-“网站”，选择需要设置的网站，这里选择默认网站。单击右键，在弹出的快捷菜单中选择“属性”命令，打开“默认属性”对话框。在“网站标识”选项区中的“IP地址”文本框中输入绑定的网络接口地址，这里输入192.168.0.10，在“TCP端口”文本框中输入80，如图6-16所示。单击“确定”按钮，完成Web服务器的配置。l*l356.3.

23、3 服务器置于防火墙之上2.设置防火墙 在WinRoute防火墙上运行Internet服务器，比如Web服务器等，由于WinRoute的侦测模块在数据包到达任何一个应用程序之前就进行了NAT操作，因此，应该像访问内部网络中的Web服务器一样设置端口映射。如果没有对外部接口启用NAT功能，就可以直接使用该WinRoute服务器的外部地址或公用域名来访问。具体配置如下：在如图6-17所示的Edit Item对话框中，从Protocol下拉列表框中选择TCP选项；在Listen IP下拉列表框中选择选项；在Listen Port文本框中输入80；在Destination 1P文本框中输入192.16

24、8.O.10；在Destination Port文本框中输入80。注意：将Web服务器布置在防火墙之上的做法是不值得推荐的，因为一旦堡垒主机被攻破，Web服务器就完全暴露在黑客的攻击之下了。l*l366.4 防火墙系统屏蔽主机（Screened Host）防火墙屏蔽子网（Screened Subnet）防火墙l*l376.4.1 屏蔽主机防火墙屏蔽主机防火墙 屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络

25、。屏蔽主机模式(Screened Host Firewall)由包过滤器和堡垒主机组成，堡垒主机安装在内部网络上，确保内部网络不受外部攻击。屏蔽主机模式分为单宿堡垒主机和双宿堡垒主机。l*l386.4.1 屏蔽主机防火墙屏蔽主机防火墙单宿堡垒主机由一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接如图6-17所示。双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器，如图6-18所示。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。l*l396.4.1 屏蔽主机防火墙屏蔽主机防火墙在实际的网

26、络管理中，有时某些主机提供特别的服务，比如银行的服务器，需要进行特别的安全保护，使外网的主机无法知道它的存在。这时，就可以使用防火墙来屏蔽该主机(假设IP地址为192.168.0.50)。具体的办法就是，将网络数据包中凡是源地址为192.168.0.50的进人防火墙的数据包和目的地址为192.168.0.50的从防火墙外出的数据包都丢弃。可以在WinRoute防火墙中添加如下的规则，实现对内部主机192.168.O.50的屏蔽。l*l406.4.1 屏蔽主机防火墙屏蔽主机防火墙1设置丢弃进入的数据包规则打开Kerio WinRoute Administration窗口，选择Settings-A

27、dvanced-Packet Filter命令，弹出Packet Filter对话框。单击Incoming选项卡，选中内部网络接口。这里选择ethl。单击Add按钮，弹出Edit Item对话框。在Edit Item对话框中，从Protocol下拉列表框中选择TCP选项；在Source选项区Type下拉列表框中选择Host选项，在随后出现的IP Address文本框中输入要屏蔽的主机的IP，这里输人192.168.0.50；在TCP Flags选项区中选中Only establishing TCP con-nections复选框；在Action选项区中，选中Drop单选按钮；在Log Pack

28、et选项区中，将两个复选框全部选中；其他的选项保持默认值，如图6-20所示。l*l41 6.4.1 屏蔽主机防火墙屏蔽主机防火墙 采用同样的方法设置主机的UDP进入数据包屏蔽规则。在Edit Item对话框中，从Protocol下拉列表框中选择UDP选项；在Source选项区中，在Type下拉列表框中选择Host选项，在随后出现的IP Address文本框中输入192.168.O.50；在Action选项区中，选中Drop单选按钮；在LogPacket选项区中，两个复选框全部选中。设置完主机的TCP和UDP进入数据包屏蔽规则后，单击OK按钮，返回到Packet Filter对话框中，如图6-2

29、1所示。单击“确定”按钮完成设置。l*l42 6.4.1 屏蔽主机防火墙屏蔽主机防火墙2设置丢弃外出的数据包规则 设置丢弃外出的数据包规则的在Packet Filter对话框中，单击Outgoing选项卡，其他步骤和设置丢弃进入的数据包规则类似。l*l43 6.4.2 屏蔽子网防火墙屏蔽子网结构，如图6-24所示，采用了两个包过滤防火墙和一个堡垒主机，建立隔离的子网，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽

30、主机的安全性。l*l44 6.5 防火墙的选购和使用6.5.1 防火墙的选购策略6.5.2 防火墙的安装6.5.3 防火墙的维护 l*l45 6.5.1 防火墙的选购策略防火墙的选购策略1防火墙自身的安全性 防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。l*l46 6.5.1 防火墙的选购策略防火墙的选购策略2系统的稳定性 目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定

31、性可想而知。防火墙的稳定性可以通过几种方法判断：从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。实际调查，这是最有效的办法：考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对于该防火墙的评价。自己试用。在自己的网络上进行一段时间的试用（一个月左右）。厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。l*l47 6.5.1 防火墙的选购策略防火墙的选购策略3是否高效 高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性

32、能较大幅度的下降，就意味着安全代价过高。4是否可靠 可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。所以要求设备本身部件的强健性，这要求有较高的生产标准和设计冗余度。l*l48 6.5.1 防火墙的选购策略防火墙的选购策略5是否功能灵活 对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的产品。6是否配置方便 支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。l*l49 6.5.1 防火墙的选购策略防火墙的选购策略7是否管理简便 对于防火墙类访问控制设备，不但要调整由于安全事件导致的安全控制注

33、意，还要不断地的调整业务系统访问控制，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。8是否可扩展、可升级 用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。l*l50 6.5.2 防火墙的安装防火墙的安装1.安装防火墙前应该进行的工作对不同类型的防火墙，安装的难易程度有所差别。但为了完成企业内部网的防火墙的安装，网管人员必须制定详细的计

34、划和进行精心的安排。对于内行来说，可能花费的时间和精力会少些，对于新手，可能要话费很长时间来进行精心的准备。l*l51 6.5.2 防火墙的安装防火墙的安装2.防火墙的安装方法安装防火墙最简单的方法是使用可编程路由器作为包过滤，此法是目前用的最普遍的的网络互联安全结构。路由器根据源/目的地址或包头部的信息，有选择的使数据包通过或阻塞。安装防火墙的另一种方法是把防火墙安装在一台双端口的主机系统中，连接内部网络。而不管是内部网络还是外部网络均可访问这台主机，但内部网上的主机不能直接进行通信。l*l52 6.5.2 防火墙的安装防火墙的安装还有一种方法是把防火墙安装在一个公共子网中，其作用相当于一台

35、双端口的主机。采用应用与线路入口及信息包过滤来安装防火墙也是常用的方法之一。所谓应用与线路的入口，就是把所有的包都按地址送给入口上的用户级应用程序，入口在两点间传送这些包。对于多数应用入口，需要一个附加的包过滤机制来控制、筛选入口和网络之间的信息流。典型的配置包括两个路由器，其中之一作为设防主站，起两者间的应用入口的作用。而应用入口对用户、对应用程序、对运行的入口主站均不透明。对用户而言，必须对他们使用的每一个应用程序安装一个特定的客户机应用程序，而带入口的每一个应用程序均是一段独立的专用软件，需要一组自己的管理工具和许可才行。l*l53 6.5.3 防火墙的维护1.建立防火墙的安全策略安全策

36、略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。2.对网络维护人员培训必须对网管人员经过一定的业务培训，使他们对自己的计算机网络，包括防火墙的内部结构配置要清楚。l*l54 6.5.3 防火墙的维护3.实施定期安全检查网管人员要实施定期的扫描和检查，发现系统结构出了问题能及时排除和恢复。4网络服务访问策略网络服务访问策略主要用于定义在网络中答应的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他

37、的方法，所以其他的途径也应受到保护。比如，假如一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。l*l55 6.5.3 防火墙的维护5.保证通信线路畅通网管人员要保证系统监控计防火墙之间的通信线路畅通无阻，以便对安全问题进行报警、恢复、处理其他安装信息等。l*l56 6.6 防火墙产品介绍（最新版本）6.5.1 Check Point Firewall-1FireWall-1是Check Point公司推出的一个基于策略的网络安全解决方案，它对访问控制、授权、加密、网络地址转换、内容安全服务和服务器负载平衡提供集中的管理。Fi

38、reWall-1使得企业可以在提供完全的、透明的互联服务的情况下定义和实施统一的全面的安全策略。下面对Check Point FireWall-1 防火墙的主要技术特点及其相关技术做一介绍。l*l57 6.6 防火墙产品介绍（最新版本）1.状态监测技术FireWall-1使用了Check Point的专利技术状态监测技术（Stateful Inspection Technology），状态监测技术保证了高级别的网络安全和性能，一个功能强大的监测模块检查每一个通过网络的关键处（如Internet网关、服务器、工作站、路由器或交换机）的包，并能阻止所有非法的通信企图，只有遵循企业安全策略的包才能进

39、入网络。1）FireWall-1监测模块FireWall-1监测模块在OSI七层模型中所处的位置，并简单描述了它的工作流程。状态监测模块截获、分析并处理所有试图通过防火墙的数据包，据此判断该通信是否符合安全策略，以保证网络的高度安全和数据完整。一旦某个通信违反安全策略，安全警报器就会拒绝该通信，并作记录，向系统管理器报告网络状态。如图6-35所示。l*l58 6.6 防火墙产品介绍（最新版本）2）全面的状态记录FireWall-1检查从整个七层模型的每层传送来的数据，并分析其中状态信息，以监测所有状态，并将网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。

40、安全策略是用FireWall-1的图形用户界面来定义的。根据安全策略，FireWall-1生成一个INSPECT语言写成的脚本文件，这个脚本被编译后，加载到安装有状态监测模块的系统上，脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。监测模块检查IP地址、端口号以及其他决定其是否符合企业安全策略的信息。监测模块保存和更新动态连接表中的状态和内容信息，这些表不断更新，为FireWall-1检查后继的通信提供积累的先验数据。l*l59 6.6 防火墙产品介绍（最新版本）2.FireWall-1的体系结构与组成FireWall-1具有可伸缩性、模块化的体系结构，采用的是集中控制下的分布式

41、客户机/服务器结构，性能好，配置灵活。企业网安装了FireWall-1后，可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。企业安全策略只须在中心管理控制台定义一次，并被自动下载到网络的多个安全策略执行点上，而不需逐一配制。FireWall-1由图形用户接口（GUI）、管理模块（Management Module）和防火墙模块(FireWall Module)三部分组成。l*l60 6.6 防火墙产品介绍（最新版本）1）图形用户接口FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。FireWall-1的图形用户接口包括安全策略编辑器、日志管理器和系

42、统状态查看器。安全策略编辑器维护被保护对象，维护规则库，添加、编辑、删除规则，加载规则到已安装了状态检测模块的系统上。日志管理器提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功能。系统状态查看器提供实时的系统状态、审计和报警功能。l*l61 6.6 防火墙产品介绍（最新版本）2)管理模块管理模块对一个或多个安全策略执行点提供集中的、图形化的安全管理功能。安全策略存在管理服务器上，管理服务器维护FireWall-1的数据库，包括网络实体的定义、用户的定义、安全策略和所有防火墙软件执行点的日志文件。图形用户接口和管理服务器可以同时装在一台机器上，也可以采

43、用客户机/服务器的结构。l*l62 6.6 防火墙产品介绍（最新版本）3）防火墙模块FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。安全服务器为FTP、HTTP、TELNET和RLOGIN用户提供认证。FireWall-1还有一个独创功能，即客户认证。还具有NAT的功能。FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTT

44、P、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。FireWall-1管理员通过一个防火墙管理工作站管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态监测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证，然后通过加密信道传输。l*l63 6.6 防火墙产品介绍（最新版本）6.5.2 AXENT RaptorAXENT公司的Raptor 防火墙是代理防火墙中功能最强大的。在很多情况下，它检查通过防火墙的数据的能力非

45、常接近于Check Point的FireWall-1。虽然Raptor界面不如FireWall-1的漂亮，但也是易于理解且易于操作的。Raptor的实时日志仅次于FireWall-1。Raptor强大实力在于其代理的深度和广度。它是唯一为运行在Microsoft网络上的NT服务器提供保护的产品。Raptor是唯一带有SQL*Net 代理的产品，可以控制对数据库表格的访问（读和更新）。Raptor是唯一能检测到邮件头部缓冲区溢出攻击并在它探测到危害安全的企图时允许你执行跟踪命令的防火墙产品。l*l64 6.6 防火墙产品介绍（最新版本）6.5.2 AXENT RaptorRaptor的HTTP

46、代理非常安全的。，当我们激活NAT的时候没有感到任何性能降低的迹象。Raptor的日志信息相当详细，给出了源和目的IP地址和端口，以及带有时间戳的试图连接的状态。Raptor的特色是ICSA认证的IPSec兼容VPN（virtual private network，虚拟专用网）能力。不幸的是，Raptor没有使用硬件支持卡，所以你在启动这个大量加密连接的功能时要小心从事，因为它非常消耗CPU资源。l*l65 6.6 防火墙产品介绍（最新版本）6.5.3 CyberGuard FirewallCyberGuard Firewall 是由CyberGuard公司制作的。CyberGuard防火墙和

47、AXENT的产品一样也是基于代理技术的。其主要结构是基于CX/SX多层式安全操作系统。CyberGuard包括允许对直接通过的信息包进行过滤的选项。它的用户界面清晰且简明。CyberGuard还是唯一通过美国国防部国家计算机安全中心（Department of Defenses National Computer Security Center）认证的产品。CyberGuard Firewall跟其他防火墙产品不同的地方在于它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台，顶部的菜单条上列着所有的基本应用程序。使用这个菜单能轻松地访问通用系统管理作业。l*l66 6.6 防火墙产品介绍（

48、最新版本）6.5.4 Cisco PIX Firewall 520PIX在所有产品中性能最好，它的吞吐速率高达150Mbps。更非同凡响的是即使激活NAT也不会降低它的性能。但他的管理功能不理想。PIX可以阻止有危害的SMTP命令。对ftp的上传下载操作控制不方便。PIX的大多数管理最好通过命令行进行。PIX的很多命令和操作与Cisco路由器上的非常相似。使用命令行设置NAT非常简单，甚至比使用大多数GUI更方便。PIX的日志和监视功能也比其他产品逊色不少，它没有实时日志功能，而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样，根据系统日志发出警报还是可以做到的。l*l67 小结：防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的潜在的破坏性的侵入。本章主要介绍了防火墙的基本知识，包括防火墙的概念、防火墙的类型、功能特点、防火墙的配置、防火墙的选购、安装和维护，并介绍了几种防火墙产品。l*l68