[精选]第2章 网络安全防护1.pptx

《[精选]第2章 网络安全防护1.pptx》由会员分享，可在线阅读，更多相关《[精选]第2章 网络安全防护1.pptx（182页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第2章网络安全防护教学要求：网络安全从其本质上来讲就是网络上的信网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资息安全。即最大限度向合法访问者提供资源，最大限度限制非法访问者访问资源。源，最大限度限制非法访问者访问资源。网络安全涉及的内容有三个方面网络安全涉及的内容有三个方面:包括安全包括安全管理、安全技术、安全设备。管理、安全技术、安全设备。本章重点讲述防火墙的相关知识以及网络黑客攻防技术，目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等。2主要内容：防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教

2、学重点：防火墙技术的概述、实用技术、黑客攻防等。3网络安全基础访问控制访问控制技术就是通过不同的手段和策略实现网络上主体对客体的访问权限。访问控制访问控制在访问控制中，对其访问必须进行控制的资源称为客体，在访问控制中，对其访问必须进行控制的资源称为客体，同理，控制它对客体的访问的活动资源，称为主体。同理，控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进程、程序或用户。客体包主体即访问的发起者，通常为进程、程序或用户。客体包括各种资源，如文件、设备、信号量等。括各种资源，如文件、设备、信号量等。访问控制中第三个元素是保护规则，它定义了主体与客体访问控制中第三个元素是保护规则，

3、它定义了主体与客体可能的相互作用途径可能的相互作用途径。根据控制手段和目的的不同把控制访问分类：l入网访问控制l网络权限控制l目录、文件、设备的访问控制入网访问控制入网访问控制入网访问控制为网络访问提供了第一层访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到效劳器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。网络的权限控制网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保网络的权限控制是针对网络非法操作所提出的一种安全保护措施护措施。

4、用户和用户组被赋予一定的权限，网络控制用户用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽IRM可作为两种实现方式。受托者指派控制用户和用户组如何使用网络效劳器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权访问权限将用户分为以下几类：特殊用户即系统管理员；一限将用户分为以下几类：特殊用户即系统管理员；一般用户，系统

5、管理员根据他们的实际需要为他们分配操作般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描审计。用户对网络资源的访问权限可以用访问控制表来描述。述。目录、文件、设备的访问目录、文件、设备的访问控制控制网络应允许控制用户对目录、文件、设备的访问网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创立

6、权限、删除权限、修改权限、文件查找权限、访问控制权限。根据安全级别可分为两类：l自主访问控制l强制访问控制自主访问控制自主访问控制访问控制分为访问控制分为“自主访问控制和自主访问控制和“强制访问控制两种。强制访问控制两种。自主访问控制自主访问控制DAC：discretionary access control是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其他用户共享他的文件，用户有自主的决定权。自主访问控制的一个最大问题是主体权限太大，无意间就自主访问控制的一个最大问题是主体权限太大，无意间就可能泄露信息，而

7、且不能防范特洛伊木马的攻击。可能泄露信息，而且不能防范特洛伊木马的攻击。强制访问控制强制访问控制强制访问控制DMC：mandatory access control就就是指用户与文件都有一个固定的安全属性。是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加作系统根据限定的规则确定的，用户或用户的程序不能加以修改。以修改。强制访问控制可以防范特洛伊木马和用户滥用权限，具有强制访问控制可以防范特洛伊木马和用户滥

8、用权限，具有更高的安全性更高的安全性。访问控制的目的访问控制的目的是为了限制访问主体用户、进程、效劳等对访问访问控制的目的是为了限制访问主体用户、进程、效劳等对访问客体文件、系统等的访问权限，从而使计算机系统在合法范围内客体文件、系统等的访问权限，从而使计算机系统在合法范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。访问控制的产品访问控制的产品u防火墙u路由器u专用访问控制效劳器教学要求：网络安全从其本质上来讲就是网络上的信网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资息安全。即最大限度

9、向合法访问者提供资源，最大限度限制非法访问者访问资源。源，最大限度限制非法访问者访问资源。网络安全涉及的内容有三个方面网络安全涉及的内容有三个方面:包括安全包括安全管理、安全技术、安全设备。管理、安全技术、安全设备。本章重点讲述防火墙的相关知识以及网络黑客攻防技术，目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等。15主要内容：防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教学重点：防火墙技术的概述、实用技术、黑客攻防等。162.1防火墙概述防火墙已经成为了网络安全的不可或缺的一局部，随着网络安全形式的日益严峻。防火墙也越发

10、显得重要，已经成为网络安全防护的代名词，防火墙和入侵检测技术、防火墙和入侵检测技术、防病毒技术、加密技术已经成为目前网络防病毒技术、加密技术已经成为目前网络安全的四大主流技术。安全的四大主流技术。172.1.1防火墙概念所谓“防火墙，是指一种将内部安全网络和公众访问网如Internet或者其它不安全的网络分开的方法，实际上是一种隔离技术。防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合，对内部网络和外部网络之间的通信进行控制，通过监测和限制经过防火墙的数据通过监测和限制经过防火墙的数据流，尽可能地对外部屏蔽网络内部的结构、信息和运流，尽可能地对外部屏蔽网络内部的结构、信息和运

11、行情况，用于防止发生不可预测的、潜在破坏性的入行情况，用于防止发生不可预测的、潜在破坏性的入侵或攻击侵或攻击，这是一种行之有效的网络安全防护技术。18IT领域的防火墙概念：领域的防火墙概念：一种高级访问控制设备。置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道。能根据企业有关的安全策略控制允许、拒绝、监视、记录进行网站访问控制。防火墙示意图通常情况下，防火墙是运行在计算机上的软件防火墙是运行在计算机上的软件，主要保护内部网络的重要信息不被非授权访问、非法窃取或破坏，并记录了内部网络和外部网络进行通信的有关安全日志信息，如通信发生的时间和允许通过数据包和被过滤掉的数

12、据包信息等。硬件防火墙示意图：2.1.2防火墙的开展阶段防火墙技术的开展在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的开展，可将其分为四个阶段：u基于路由器的防火墙u用户化的防火墙工具套u建立在通用操作系统上的防火墙u具有安全操作系统的防火墙第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙 由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：利用路由器本身对分组的解析，

13、以访问控制表accesslist方式实现对分组的过滤；过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。第一代防火墙产品的缺乏之处十清楚显：路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部效劳器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的

14、逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。路由器防火墙的最大隐患是：攻击者可以假冒地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。可以说：基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。第二阶段：用户化的防火墙工具套为了

15、弥补路由器防火墙的缺乏，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化防火墙工具套的出现。作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包；软件可通过网络发送，用户可自己动手构造防火墙；与第一代防火墙相比，安全性提高了，价格降低了。由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现、安全性和处理速度均有局限；实践说明，使用中出现过失的情况很多。第三阶段：建立在通

16、用操作系统上的防火墙基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这一代产品，它具有以下特点：是批量上市的专用防火墙产品；包括分组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广阔用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比方：作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。由于大多数防火

17、墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。第四阶段：具有安全操作系统的防火墙防火墙技术和产品随着网络攻击和安全防护手段的开展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个开展阶段。具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的方法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性，由此

18、建立的防火墙系统具有以下特点：防火墙厂商具有操作系统的源代码，并可实现安全内核；对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；对每个效劳器、子系统都作了安全处理，一旦黑客攻破了一个效劳器，它将会被隔离在此效劳器内，不会对网络的其它部份构成威胁；在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；透明性好，易于使用。防火墙的防火墙的核心技术核心技术简单包过滤技术简单包过滤技术 包过滤工作在网络层，对数据包的源包过滤工作在网络层，对数据包的源及目地及目地IP具有识别和控制用，对于传输层，具有识别和控制用，对于传输层，也只能识别数据包是也只能识别数据包是

19、TCP还是还是UDP及所用及所用的端口信息，由于只对数据包的的端口信息，由于只对数据包的IP地址、地址、TCP/UDP协议和端口进行分析协议和端口进行分析.包过滤防火墙的处理速度较快，并且包过滤防火墙的处理速度较快，并且易于配置。易于配置。包过滤型防火墙中的包过滤器一般安装在路由器上，工作在网络层IP。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。实际上，它一般容许网络内部的主机直接

20、访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制。包过滤防火墙的工作原理包过滤防火墙的工作原理在互联网上提供某些特定效劳的效劳器一在互联网上提供某些特定效劳的效劳器一般都使用相对固定的端口号。因此路由器般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定：对于某些端口在设置包过滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数号允许数据包与该端口交换，或者阻断数据包与它们的连接。据包与它们的连接。过滤规则例如：在上表中，规则1允许所有的IP访问效劳器192.168.0.1的协议，规则2则允许所有的IP访问效劳器的域名解析效劳。简单包过滤防火墙的优点：1.处理包的速

21、度比代理效劳器快，过滤路由器为用户提供了一种透明的效劳，用户不用改变客户端程序活高便自己的行为。2.实现包过滤几乎不在需要费用或极少的费用，因为因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量始终并定义较少过滤器时对路由器的性能几乎没有影响。3.包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。包过滤防火墙具有根本的缺陷：包过滤防火墙具有根本的缺陷：1不能防范黑客攻击。包过滤防火墙的工不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是知道哪些作基于一个前提，就是知道哪些IP是可信网是可信网络

22、，哪些是不可信网络的络，哪些是不可信网络的IP地址。但是随着地址。但是随着远程办公等新应用的出现，不可能区分出可远程办公等新应用的出现，不可能区分出可信网络与不可信网络的界限，对于黑客来说，信网络与不可信网络的界限，对于黑客来说，只需将源只需将源IP包改成合法包改成合法IP即可轻松通过包过即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平滤防火墙，进入内网，而任何一个初级水平的黑客都能进行的黑客都能进行IP地址欺骗。地址欺骗。即只能阻止一种类型的即只能阻止一种类型的IP欺骗，外部主欺骗，外部主机伪装内部主机的机伪装内部主机的IP，对于外部主机伪装其，对于外部主机伪装其他可信任的外部主机的他

23、可信任的外部主机的IP却不可阻止。却不可阻止。2不不支支持持应应用用层层协协议议。包包过过滤滤防防火火墙墙无无能能为为力力，因因为为它它不不认认识识数数据据包包中中的的应应用用层层协议，访问控制粒度太粗糙。协议，访问控制粒度太粗糙。3.防火墙的维护比较困，定义数据包过滤防火墙的维护比较困，定义数据包过滤器会比较复杂，因为网络管理员需要对各种器会比较复杂，因为网络管理员需要对各种Internet效劳、包头格式以及每个域的意义效劳、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量有非常深入的理解，才能将过滤规则集尽量定义完善。定义完善。4不能处理新的安全威胁。它不能跟不能处理新的安全

24、威胁。它不能跟踪踪TCP状态，所以对状态，所以对TCP层的控制有漏层的控制有漏洞。如当它配置了仅允许从内到外的洞。如当它配置了仅允许从内到外的TCP访问时，一些以访问时，一些以TCP应答包的形式应答包的形式从外部对内网进行的攻击仍可以穿透防从外部对内网进行的攻击仍可以穿透防火墙火墙。等等。等等。综上可见，包过滤防火墙技术面太过初综上可见，包过滤防火墙技术面太过初级，难以履行保护内网安全的职责。级，难以履行保护内网安全的职责。防火墙的防火墙的核心技术核心技术代理技术代理技术 应用代理彻底隔断内网与外网的直接通应用代理彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙信，内网用户对外网的

25、访问变成防火墙对外网的访问，然后再由防火墙转发给对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与理软件转发，访问者任何时候都不能与效劳器建立直接的效劳器建立直接的TCP连接，应用层的连接，应用层的协议会话过程必须符合代理的安全策略协议会话过程必须符合代理的安全策略要求。要求。优点是可以检查应用层、传输层和网络层优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。的协议特征，对数据包的检测能力比较强。缺点也非常突出，主要有：缺点也非常突出，主要有：l难于配置。由于每个应用都要求单独的代理

26、进难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的于理解，容易出现配置失误，最终影响内网的安全防范能力。安全防范能力。l处理速度非常慢。断掉所有的连接，由防火墙处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个因为对于内网的每个We

27、b访问请求，应用代理访问请求，应用代理都需要开一个单独的代理进程，它要保护内网都需要开一个单独的代理进程，它要保护内网的的Web效劳器、数据库效劳器、文件效劳器、效劳器、数据库效劳器、文件效劳器、邮件效劳器，及业务程序等，就需要建立一个邮件效劳器，及业务程序等，就需要建立一个个的效劳代理，以处理客户端的访问请求。这个的效劳代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的样，应用代理的处理延迟会很大，内网用户的正常正常Web访问不能及时得到响应。访问不能及时得到响应。防火墙的防火墙的核心技术核心技术状态检测包过滤技术状态检测包过滤技术状态检测摒弃了包过滤仅考查数据包的状态

28、检测摒弃了包过滤仅考查数据包的IP地址等几个参地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙数，而不关心数据包连接状态变化的缺点，在防火墙的核心局部建立状态连接表，并将进出网络的数据当的核心局部建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力的对传输层的控制能力。优优 点：由于不需要对每个数据包进行规则

29、检查，而是一个连接的后点：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包通常是大量的数据包通过散列算法，直接进行状态检查，续数据包通常是大量的数据包通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步号以上的端口，使得安全性得到进一步地提高。地提高。l复合型防火墙技术防火墙的防火墙的核心技术核心技术由于希望防火墙在功能上能进行融合，保证完善的应用。许多厂家提出了混合型饭防火请的概念。他们认为混合型

30、防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供效劳的到底是用了哪些技术，而防火墙根据不同的效劳要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。该防火墙结合了包过滤防火墙和应用级防火墙的特点。它同包过滤防火墙一样能够通过ip地址和端口号，过滤进出的数据包，也能够检查syn和ack标记和序列数字是否逻辑有序。另一方面，它也能象应用级防火墙一样，在应用层上检查数据包的内容，查看这些内容是否能符合既定的网络安全规则。目前在市场上技术领先的防火墙大多属于混合型防火墙，因为该防火墙对于用户透明，在应用层上加密数据，不需要修改客户端的

31、程序，也不需对每个需要在防火墙上翻开的效劳额外增加代理。l核检测防火墙技术防火墙的防火墙的核心技术核心技术包过滤防火墙工作原理图状态检测防火墙工作原理图代理防火墙工作原理图复/混合型防火墙工作原理图核检测防火墙工作原理图检查整检查整个会话个会话第六代-智能防火墙的特点1、智能访问控制技术2、安全防御内核3、三维访问控制技术4、高可用性技术5、广泛的应用支持6、自主可控的安全操作系统7、强大的管理、健康和审计功能2.1.3防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄572.1.5防火墙的局限性防火墙防外不防内防火墙难以管理和配置，容易

32、造成安全漏洞防火墙不能防范绕过防火墙的攻击防火墙不能防止数据驱动式攻击582.2实用防火墙技术2.2.1网络地址转换NATNAT英文全称是NetworkAddressTranslation，它是一个IETF标准，是用于将一个地址域如：专用Intranet映射到另一个地址域如：Internet的标准方法。59网络地址转换NATNAT功能通常被集成到路由器、功能通常被集成到路由器、Modem、防火墙、防火墙、ISDN路由器或者单独的NAT设备中，当然，现在比较流行的操作系统或其他软件主要是代理软件，如WINROUTE，大多也有着NAT的功能。NAT有三种类型：静态有三种类型：静态NATStatic

33、 NAT、NAT池池Pooled NAT、网络地址端口转换、网络地址端口转换NAPTPortLevel NAT。静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址;NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络;NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。60网络地址转换NAT2.2.2应用代理效劳器即应用网关技术当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制

34、用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。622.2.3回路级代理效劳器回路级代理效劳器即通常意义的代理效劳器回路级代理效劳器即通常意义的代理效劳器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理效劳器通常要求修改正的用户程序。套接字效劳器Sockets Server就是回路级代理效劳器。套接字Sockets是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套效在防火墙上的套效劳器检查客户的劳器检查客户的User IDUser ID、IPIP源地址和源

35、地址和IPIP目的地址，经过确目的地址，经过确认后，套效劳器才与外部的效劳器建立连接。认后，套效劳器才与外部的效劳器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“Socketsified API，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。632.2.4IP通道IPTunnels如果一个公司的多个子公司之间距离比较远，为了互相之间能够通过Internet通信，这时，可以在他们之间建立IPTunnels来防止信息被黑客截取，同时一旦通道建立，所有在这个通道上传输的数据包都被自

36、通道建立，所有在这个通道上传输的数据包都被自动的加密，从而在动的加密，从而在Internet上形成一个虚拟的企业网。这实际是上形成一个虚拟的企业网。这实际是VPN的一种应用，用于构建的一种应用，用于构建extranet。642.2.5隔离域名效劳器这种技术是通通过过防防火火墙墙将将受受保保护护网网络络的的域域名名效效劳劳器器与与外外部部网网的的域域名名效效劳劳器器隔隔离离，使使外外部部网网的的域域名名效效劳劳器器只只能能看看到到防防火火墙墙的的IP地地址址，无无法法了了解解内内部部受受保保护护网网络络的的具具体体情情况况，这样可以保证受保护网络的IP地址不被外部网络得悉。652.2.6电子邮件

37、转发技术当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从从外外部部网网络络发发来来的的邮邮件件，就就只只能能送送到到防防火火墙墙上上。这这时时防防火火墙墙对对邮邮件件进进行行检检查查，只只有有当当发发送送邮邮件件的的源源主主机机是是被被允允许许通通过过的的，防防火火墙墙才才对对邮邮件件的的目目的的地地址址进进行行转转换换，送送到到内部的邮件效劳器，由其进行转发。内部的邮件效劳器，由其进行转发。662.3防火墙的选购和配置企业防火墙的选购企业防火墙的配置个人防火墙的选购个人防火墙的配置67防火墙产品的选择：l灵活的访问控制功能是否具备基于IP报头，TCP报头、基于用

38、户、基于时间、基于流量的访问控制功能l完善的应用代理功能是否是有、FTP、等常用协议的代理功能l状态检测功能对异常行为进行检测l多种附加功能，身份验证、计费、入侵检测、审计、VPN等功能l灵活的组网方式透明模式、路由模式、混合模式l灵活的安全策略l等等2企业的特殊要求网络地址转换功能网络地址转换功能NAT 双重双重DNS 虚拟专用网络虚拟专用网络VPN：VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。扫毒功能扫毒功能特殊控制需求特殊控制需求：如限制特定使用者才能发送E-mail，FTP只能下载文件

39、不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。3与用户网络结合管理的难易度管理的难易度-不能到达完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。自身的安全性自身的安全性-防火墙也是网络上的主机之一，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。完整的安全检查完整的安全检查防火墙还应该向使用者提供相对完整的安全检查功能结合用户情况结合用户情况网络受威胁的程度；假设入侵者闯入网络，将要受到的潜在的损失；其他已经用来保护网络及其资源的安全措施；由于硬件或软件失

40、效，或防火墙遭到“拒绝效劳攻击，而导致用户不能访问Internet，造成的整个机构的损失；机构所希望提供给Internet的效劳，希望能从Internet得到的效劳以及可以同时通过防火墙的用户数目；网络是否有经验丰富的管理员；今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet效劳。2.3.2个人防火墙的选购什么是个人防火墙个人版防火墙是安装在你的PC机系统里的一段代码墙把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。也就是说，在不阻碍你正常上网浏览的在不阻碍你正常上网浏览的同时，阻止同时，阻止IN

41、TERNET上的其他用户对你的计算机进行的上的其他用户对你的计算机进行的非法访问。非法访问。天网个人防火墙天网个人防火墙用户也可以到:/免费下载测试版。该网站提供安全检测效劳，免费为用户检测计算机系统的安全情况，并做出相应的指导。提供的帮助文件与在线使用手册内容丰富。特点：特点：软件提供多种预先设置的安全策略软件提供多种预先设置的安全策略，用户用户可以自行选择安全级别，也支持用户自定义应用可以自行选择安全级别，也支持用户自定义应用程序的安全规则、系统的安全策略，或自行对内程序的安全规则、系统的安全策略，或自行对内部网络指定另外的安全策略。部网络指定另外的安全策略。优点：优点：软件运行时占用的系

42、统资源较少，提供特软件运行时占用的系统资源较少，提供特洛伊木马和入侵检测功能。洛伊木马和入侵检测功能。缺点：缺点：软件的可升级性较差，稳定性也一般。软件的可升级性较差，稳定性也一般。蓝盾防火墙个人版蓝盾曾在2001年中美网络攻击事件中扬名，当时有网站报称使用该品牌的网站防火墙后，未受黑客攻击。特点：特点：“蓝盾防火墙个人版使用智能防御系统，蓝盾防火墙个人版使用智能防御系统，可以有效地拦截各种探测、攻击手段，支持用户可以有效地拦截各种探测、攻击手段，支持用户自定义安全规则，具有强大的反追踪功能。当受自定义安全规则，具有强大的反追踪功能。当受到攻击和探测时，能追踪攻击方计算机名、用户到攻击和探测时

43、，能追踪攻击方计算机名、用户名、名、MAC IP地址等。地址等。缺点：缺点：软件的使用界面一般，设置与管理功能较软件的使用界面一般，设置与管理功能较少，不具备扩展性与升级能力，帮助文件和使用少，不具备扩展性与升级能力，帮助文件和使用手册也不够详细手册也不够详细。诺顿个人防火墙“诺顿个人防火墙是“诺顿互连网特警的一个局部，它曾在国外的评比中获得最正确个人安全防护系统的荣誉。特点：特点：该软件性能稳定，提供自动识别程序，帮助用户设该软件性能稳定，提供自动识别程序，帮助用户设置计算机系统上应用程序的安全规则，允许用户为不同的置计算机系统上应用程序的安全规则，允许用户为不同的网络区域指定安全策略，方便

44、的在线升级功能，可以使诺网络区域指定安全策略，方便的在线升级功能，可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵。顿个人防火墙更好地检测特洛伊木马和黑客入侵。优点优点:软件的设置与管理方便，警报与帮助文件以及使用软件的设置与管理方便，警报与帮助文件以及使用手册内容详细。一旦受到某个手册内容详细。一旦受到某个IP地址的攻击，会在地址的攻击，会在30分钟分钟内自动禁止所有来自该地址的连接请求，使对方无法试图内自动禁止所有来自该地址的连接请求，使对方无法试图使用其他方式攻击。使用其他方式攻击。缺点：缺点：软件占用的系统资源较大，而且由于需要对应用程软件占用的系统资源较大，而且由于需要对应用程序逐

45、一指定安全规则，容易对用户造成困扰。序逐一指定安全规则，容易对用户造成困扰。CheckItCheckIt是一个专业防火墙，基于规则定义，通过应用程序安全规则与计算机系统安全策略、端口防护、信任IP防护和协议防护等多种方式，保护计算机网络的安全。特点：特点：该软件性能高、功能多，可以通过电子邮件向用户该软件性能高、功能多，可以通过电子邮件向用户发送安全警报，可以查看计算机系统上所运行的效劳。发送安全警报，可以查看计算机系统上所运行的效劳。优点：优点：软件的网站提供一个系统测试效劳，可以从多方面软件的网站提供一个系统测试效劳，可以从多方面测试计算机系统的安全情况。测试计算机系统的安全情况。软件的稳

46、定性强，占用的系统资源也不多软件的稳定性强，占用的系统资源也不多。缺点：缺点：应用程序的安全规则定义起来比较麻烦，不支持自应用程序的安全规则定义起来比较麻烦，不支持自动识别功能，软件使用界面的友好性也较差动识别功能，软件使用界面的友好性也较差。BlackICEDefender“BlackICEDefender是国外有名的防火墙，特点：特点：软件使用智能防御系统，集成有非常强大软件使用智能防御系统，集成有非常强大的入侵检测和分析引擎，可以识别多种入侵技巧。的入侵检测和分析引擎，可以识别多种入侵技巧。通过监测网络端口和通过监测网络端口和TCP/IP协议，可以拦截可疑协议，可以拦截可疑的网络入侵。的

47、网络入侵。优点：优点：该软件的稳定强，警报的灵敏度和准确率该软件的稳定强，警报的灵敏度和准确率非常高，系统资源占用率极少，支持在线更新。非常高，系统资源占用率极少，支持在线更新。缺点：缺点：由于使用智能防御系统，用户设置与管理由于使用智能防御系统，用户设置与管理的功能较少。不具备应用程序安全规则等安全防的功能较少。不具备应用程序安全规则等安全防护手段。护手段。个人防火墙一般情况下，用户应该选择智能化程度较高，能够自动识别可信任的网用户应该选择智能化程度较高，能够自动识别可信任的网络应用程序络应用程序，能够更新特洛伊木马和入侵检测功能资料库的防火墙，以防止频繁地设置安全规则，处理安全警报。在选择

48、一个适宜的个人防火墙以后，一般需要进行设置，才能够起到安全防保作用。这需要用户具备一定的网络知识，如需要用户具备一定的网络知识，如TCP/IP协议的基础知协议的基础知识识等。只有在对各种协议所提供的效劳有一定了解之后，才能判断出应用程序或网络连接请求的危险程度，从而正确处理，正确设置安全规则。要知道，即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙，也防止不了自定义安全规则的工作。用户还需要了解一些黑客知识，如各种常见的攻击手段和名词，才能够用户还需要了解一些黑客知识，如各种常见的攻击手段和名词，才能够正确的理解警报信息所报告的事件正确的理解警报信息所报告的事件。而且，在处

49、理安全警报时要有足够的耐心，仔细查看有关的事件内容，做出正确的判断。如果不加以了解，就允许应用程序访问网络或允许他人访问，也就失去了安装防火墙的意义。个人防火墙为了使您的计算机网络系统足够安全，在使用装防火墙时，还需要配合病毒防护软件需要配合病毒防护软件，以保护自己的计算机系统，不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。经常阅读分析日志文件也是保证网络安全的重要方面经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件，可以确定是否有人在探测您，或使用一定规则的扫描器，在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙

50、安全规则，以便过滤或是追踪这些探测行为，并采取相应的行动。阅读内容2.3.3常见防火墙产品介绍企业级防火墙,略2.3.4防火墙配置范例略天网防火墙天网防火墙的设置包含四个方面：系统设置、安全系统设置、安全级别设置、级别设置、IP规则管理和规则管理和应用程序规则管理。应用程序规则管理。其中，前两个设置比较简单，重点讲述后两种。天网防火墙的IP规则IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则，用户可针对个人不同的网络状态，设置自己的IP安全规则，使防御手段更周到、更实用。用户可以点击“自定义IP规则键或者在“安全级别中点击进入IP规则设置界面。“天网防火墙个人版本身已经默认