网络安全防火墙技术讲解课件.ppt

1、第第5 5章章 防火墙技术防火墙技术第5章 防火墙技术l 防火墙及相关概念l 包过滤与代理l 防火墙的体系结构l 分布式防火墙与嵌入式防火墙5.1 防火墙概述l 防火墙是一种解决网络之间访问控制解决网络之间访问控制的有效方法。l 防火墙是一种综合性的技术，涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织（ISO）的安全规范以及安全操作系统等多方面。l 从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来，到目前为止，世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。5.1 防火墙概述1 1、防火墙的概念、防

2、火墙的概念l 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一 道防御系统，它能挡住来自外部网络的攻击和入侵，保障着 内部网络的安全。内部网服务器工作站工作站工作站Internet.防火墙1、防火墙的概念l外部网络（外网）外部网络（外网）:F防火墙之外的网络，一般为Internet，默认为风险区域。l内部网络（内网）：内部网络（内网）：F防火墙之内的网络，一般为局域网，默认为安全区域。l非军事化区（非军事化区（DMZDMZ）：）：F为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网

3、段便是非军事化区。l代理服务器代理服务器:F是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。2 2、几个常用概念、几个常用概念 l包过滤包过滤:F也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。l状态检查技术：状态检查技术：F第三代网络安全技术。状态检测模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策依据。l虚拟专用网（虚拟专用网（VPNVPN）：）：F在公用中配置的专用网络。l漏洞：漏洞：F是

4、系统中的安全缺陷。2 2、几个常用概念、几个常用概念 l 数据驱动攻击：数据驱动攻击：F入侵者把一些具有破坏数据藏匿在正常数据中。当这些数据被激活时，发生的攻击。比如。F一个站点的地址为：http:/web.gges.tp.edu.tw/asp/wishwish/wishshow.asp?id=117。在wish后，用“%5c“%5c”替换“/”，地址就变成了http:/web.gges.tp.edu.tw/asp/wish%5cwish%5c wishshow.asp?id=117，这样就可以暴出对方数据库了。根据错误提示，数据库是db.mdb，而且还可以直接下载。l IPIP地址欺骗：地址

5、欺骗：F入侵者利用伪造的IP地址，产生的虚假的数据包，乔装成来处内部的数据。3.防火墙安全策略 为网络建立防火墙，首先要决定防火墙将采取何种安全控制基本准则。一个防火墙应该使用以下两种基本策略中的一种：l（1 1）除非明确允许，否则就禁止）除非明确允许，否则就禁止F这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。F因此，应该逐个定义逐个定义每一个允许的服务和应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。F这是一个最安全的方法，但从用户的角度来看，这样可能会有很多限制，不是很方便。一般在防火墙配置中都会使用这种策略。3.防火墙安全策略l（2

6、2）除非明确禁止，否则就允许）除非明确禁止，否则就允许F这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。F因此，每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。F虽然这对用户是一个灵活和方便的方法，它却可能存在严重的安全隐患。l 总之，从安全性的角度考虑，第一种准则更可取一些，而从灵活性和使用方便性的角度考虑，第二种准则更适合。5.1.2 防火墙的作用 从总体上看，防火墙应具有以下基本功能：从总体上看，防火墙应具有以下基本功能：l 可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户；l 防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警；l 限

7、制内部用户访问特殊站点；l 记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。5.1.3 防火墙的优、缺点1优点优点 防火墙是加强网络安全的一种有效手段，它有以下优点：（1）防火墙能强化安全策略（2）防火墙能有效地记录Internet上的活动（3）防火墙是一个安全策略的检查站2 2缺点缺点 有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点：l 不能防范恶意的内部用户 如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻

8、击的一半以上。l 不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。l 不能防范全部的威胁可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。l 防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。2缺点5.2 5.2 防火墙技术分类防火墙技术分类 根据工作在网络中作用层的不同，防火墙可以分为 包过滤防火墙和代理服务器两类：l 包过滤防火墙包过滤防火墙

9、F又称网络层防火墙网络层防火墙。数据包过滤是防火墙中最基本、最简单的一种。F用来防止整个网络出现的外来非法的入侵。F该类防火墙运行在TCP/IP协议的网络层上，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。5.2 5.2 防火墙技术分类防火墙技术分类 l 代理服务器代理服务器F又叫应用层防火墙，又叫应用层防火墙，这种防火墙是目前较通用的一种；F从应用程序来进行接入控制。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。F其基本工作过程是：当客户机需要使用外网的服务器上的数据时，首先将数据请求发给代理服务器；代理

10、服务器根据请求向服务器索取数据；然后再由代理服务器将数据传输给客户机。同样，代理服务器在外网向内网外网向内网申请服务时也发挥了中间转接的作用。5.2.1 包过滤技术1 1、包过滤（、包过滤（Packet FilteringPacket Filtering）技术）技术l 在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。l 使用包过滤技术的防火墙叫做包过滤防火墙（Packet filter），因为它工作在网络层，又叫网络层防火墙（Network level firewall）。l 包过滤防火墙的主要构件

11、：屏蔽路由器（Screening Router，也称为过滤路由器）是在普通路由器基础上加入IP过滤功能而实现的，是防火墙最基本的构件。分组过滤示意图 l包过滤技术的工作原理：包过滤技术的工作原理：F包过滤技术主要是在IP层实现的。F包过滤防火墙基于一定的过滤规则，通过检测、分析流经的数据包头信息（包括源、目标IP地址，协议类型，源、目标端口等）以及数据包传输方向等来判断是否允许通过：如果数据包信息与用户制定的通行规则相匹配，防火墙就 允许其通过，并通过路由转发；如果按照规则属于不该放行的，防火墙就阻止该数据包 通行；不与包过滤规则匹配的，防火墙就丢弃该数据包。l包过滤技术的工作过程：F包过滤防

12、火墙读取包头信息，与信息过滤规则比较，顺 序检查规则表中每一条规则，直至发现包中的信息与某 条规则相符。F如果有一条规则不允许发送某个包，路由器就将它丢弃；如果有一条规则允许发送某个包，路由器就将它发送；F如果没有任何一条规则能符合，路由器就会使用默认规则 ，一般情况下，默认规则就是禁止该包通过。l过滤规则通常以表格的形式表示，其中包括以某种次序排 列的条件和动作序列。l当收到一个数据包时，则按照从前至后的顺序与表格中每 行的条件比较，直到满足某一行的条件，然后执行相应的 动作（转发或丢弃）。过滤规则的表示形式l 表5-1所列便是数据包过滤规则的示例，根据这些规则，便可对表5-2中列出的各项实

13、际通信的数据包进行过滤，有的数据包能通过，有的则遭到拒绝。表9-1规则表列规则规则来源来源IPIP地址地址目的目的IPIP地址地址类型类型来源端来源端口号口号目的端口号目的端口号动作动作120.210.21.72任意任意任意任意拒绝2140.130.149.*140.112.*.*TCP任意23(Telnet)通过3140.112.*.*140.130.149.*TCP23任意通过4140.*.*.*140.*.*.*TCP任意25(Email)通过5任意任意任意任意任意拒绝表5-2过滤表列包 来源IP地址目的IP地址类型来源端口目 的端口规则结果120.210.21.72140.130.14

14、9.60TCP2558231拒绝2140.130.149.28140.130.149.48TCP6726254通过3120.132.78.54140.130.149.60UDP1692535拒绝4140.112.68.35140.130.149.210 TCP2343963通过5140.130.149.186 140.112.127.3TCP18162232通过l建立规则集要十分细心，一个小错误，都可能整个导致整个规则的不安全l建立规则集也是一项比较烦琐的工作，要建立正确的、完善的过滤规则集并不是一件容易的事。l 一个屏蔽路由器能保护整个网络一个屏蔽路由器能保护整个网络F用一个恰当配置的屏蔽路

15、由器，连接内部网络与外部网络，进行数据包过滤，就可以取得较好的网络安全效果。l 包过滤对用户透明包过滤对用户透明F包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。l 屏蔽路由器速度快、效率高屏蔽路由器速度快、效率高F屏蔽路由器只检查包头信息，一般不查看数据部分，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。l 通常防火墙作为网络安全的第一道防线。通常防火墙作为网络安全的第一道防线。2.包过滤防火墙的优点 屏蔽路由器的缺点也是很明显的：屏蔽路由器的缺点也是很明显的：l 通常它没有用户的使用记录F这样就不能从访问记录中发现

16、黑客的攻击记录。l 配置繁琐F没有一定的经验，是不可能将过滤规则配置得完美。有的时候，因为配置错误，防火墙根本就不起作用。l 不能在用户级别上进行过滤F只能认为内部用户是可信任的、外部用户是可疑的。l 单纯由屏蔽路由器构成的防火墙并不十分安全F危险地带包括路由器本身及路由器允许访问的主机，一旦屏蔽路由器被攻陷就会对整个网络产生威胁。3.包过滤防火墙的缺点包过滤防火墙的缺点4包过滤防火墙的发展阶段l 第一代：静态包过滤防火墙F 根据数据包头进行过滤l 第二代：动态包过滤（Dynamic Packet Filter）防火墙F动态包过滤防火墙只在用户请求下打开端口，并在服务完毕后关闭这个端口，这样就

17、避免了普通包过滤防火墙那种因静态地开放端口，而受到攻击的可能性。l 第三代：全状态检测（Stateful Inspection）防火墙lInternet上传输的数据都必须遵循TCP/IP协议，根据TCP协议，每个可靠连接的建立需要经过：“客户端请求”；“服务器应答”；“客户端再应答”三个阶段。l常用的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。l状态检测技术采用的是一种基于连接的状态基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连连接状态表接状态表；l通过规则

18、表与状态表的共同配合，对表中的各个连接状态因素加以识别，以决定是否允许包通过。第三代：全状态检测（Stateful Inspection）防火墙l当一个初始化连接会话的第一个数据包到达防火墙时，状态检测引擎会检测到这是一个发起连接的初始数据包（由SYN标志判断），然后它就会把这个数据包中的信息与防火墙规则作比较。l如果没有相应规则允许，防火墙就会拒绝这次连接；l如果规则允许，它就允许数据包发送并且在状态表状态表中新建一条会话；l 通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息，对于TCP连接，它还应该会包含序列号和标志位等信息。l当后续数据包到达时，如果这个数据包

19、不含SYN标志，也就是说这个数据包不是发起一个新的连接时，状态检测引擎就会直接把它的信息与状态表状态表中的会话条目进行比较：F如果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率，F如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。l状态检测防火墙允许会话数据包传递时，会动态打开端口，传输完毕后又动态地关闭这个端口，这样就避免了普通包过滤防火墙那种静态地开放端口的危险做法，同时由于有会话超时的限制，它也能够有效地避免外部的DoS攻击。l状态检测技术提供了更完整的对网络层和传输层的控制能力。4包过滤防火

20、墙的发展阶段l 第四代：深度包检测（Deep Packet Inspection）防火墙 它融合了入侵检测技术和攻击防范的功能。功能更强大、安全性更强，可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等5.2.2 5.2.2 代理技术代理技术 l 所谓代理服务器 是指代表内网用户向外网服务器进行连接请求的服务程序。l 代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。l 代理服务器的基本工作过程是：当客户机需要使用外网服务器上的数据时，F首先将请求发给代理服务器，F代理服务器再

21、根据这一请求向服务器索取数据，F然后再由代理服务器将数据传输给客户机。F代理服务器在外部网络向内部网络申请服务时也发挥了中间转接的作用。代理服务器代理服务器应用代理示意图 手动更新可以在诺顿杀毒软件窗口中点击“Live Update”命令按钮，启动手动更新点击“下一步”，只要计算机连接到Internet并且有新的病毒库，计算机便会进行更新.应用代理示意图应用代理示意图 l 代理易于配置代理易于配置 代理因为是一个软件，所以它比过滤路由器容易配置。l 代理能生成各项记录代理能生成各项记录 因代理在应用层检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检

22、验是十分重要和宝贵的。l 代理能灵活、完全地控制进出信息代理能灵活、完全地控制进出信息 通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。l 代理能过滤数据内容代理能过滤数据内容 可以把一些过滤规则应用于代理，在应用层实现过滤功能。2.代理的优点3.3.代理的缺点代理的缺点l 代理速度比路由器慢l 代理对用户不透明l 对于每项服务，代理可能要求不同的服务器l 代理服务通常要求对客户或过程进行限制l 代理服务受协议弱点的限制l 代理不能改进底层协议的安全性（1）应用层代理（Application Proxy）l 代理服务是运行在防火墙主机上的专门的应用程序或者

23、服务器程序。应用层代理为某个特定应用服务提供代理，它对应用协议进行解析并解释应用协议的命令。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。l 应用层代理的优点是能解释应用协议，支持用户认证，从而能对应用层的数据进行更细粒度的控制。缺点是效率低，不能支持大规模的并发连接，只适用于单一协议。4代理防火墙的发展阶段l 也称为电路级代理服务器。在电路层网关中，包被 提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。l 它适用于多个协议，但无法解释应用协议，需要通过其他方式来获得信息。所以，电路级代理服务器通常要求修改过的用户程序。其中，套接

24、字服务器（Sockets Server）就是电路级代理服务器。l 对用户来说，内网与外网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifideAPI”，内部网络用户访问外部网所使用的IP地址也都是防火墙的IP地址。（2）电路层代理（Circuit Proxy）（3）自适应代理（Adaptive Proxy）l 自适应代理防火墙允许用户根据具体需求，定义防火墙策略，而不会牺牲速度或安全性。如果对安全要求较高，那么最初的安全检查仍在应用层进行，保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节，其后

25、的数据包就可以直接经过速度更快的网络层。l 自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分，自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时，根据防火墙管理员事先确定的安全策略，自动“适应”防火墙级别。5.2.3 5.2.3 防火墙技术的发展趋势防火墙技术的发展趋势 l 1功能融合 F与VPN技术融合。F与入侵检测技术和攻击防御技术的融合 F提供对应用层攻击行为的检测和对应用层内容的过滤功能。F提供防病毒的功能。l 2集成化管理 l 3分布式体系结构 5.3 5.3 防火墙体系结构防火墙体系结构 l（1

26、）双重宿主主机结构；l（2）被屏蔽主机结构；l（3）被屏蔽子网结构。5.3.1.双重宿主主机结构l双宿主机（Dual-homed host），又称堡垒主机（Bastion host），是一台至少配有两个网络接口的主机两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。l一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。双重宿主主机双重宿主主机1双宿主机网关双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称为堡垒主机。堡垒主机上运行着防火墙软件（

27、通常是代理服务器），可以转发应用程序，提供服务等。1双宿主机网关8.3.2屏蔽主机结构l 屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，如图5-3所示，l 屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。l 通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机。l 入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。屏蔽主机结构屏蔽主机结构2屏蔽主机网关 堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务 2 2屏蔽主机屏蔽主机结构结构5.3

28、.3 屏蔽子网结构l 屏蔽子网结构是在屏蔽主机结构的基础上添加额外 的安全层，即屏蔽子网，更进一步地把内部网络与外部网络隔离开。l 屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端，在子网内构成一个安全性区域，通常叫做“非军事区”DMZ。l 两个路由器一个控制内网的数据流，另一个控制外网的数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。3 3屏蔽子网屏蔽子网结构3 3屏蔽子网屏蔽子网3屏蔽子网屏蔽子网是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。

29、两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。屏蔽子网结构屏蔽子网结构5.34 5.34 防火墙的组合结构防火墙的组合结构 建造防火墙时，一般很少采用单一的结构，通常是多种结构的组合。一般有以下几种形式：l 使用多堡垒主机；l 合并内部路由器与外部路由器；l 合并堡垒主机与外部路由器；l 合并堡垒主机与内部路由器；l 使用多台内部路由器；l 使用多台外部路由器；l 使用多个周边网络；l 使用双重宿主主机与屏蔽子网。8.4

30、8.4 内部防火墙内部防火墙l 8.4.1 分布式防火墙（Distributed Firewall）l 8.4.2 嵌入式防火墙（Embedded Firewall）l 8.4.3 个人防火墙8.4 8.4 内部防火墙内部防火墙l 边界防火墙（Perimeter Firewall）因为传统的防火墙设置在网络边界，处于内、外部互联网之间，所以称为边界防火墙（Perimeter Firewall）。l 边界防火墙的不足随着人们对网络安全防护要求的提高，边界防火墙明显感觉到力不从心，因为给网络带来安全威胁的不仅是外网，更多的是来自内网。边界防火墙无法对内网实现有效地保护。l 新型的防火墙技术分布式防

31、火墙（Distributed Firewalls）技术分布式防火墙的设计理念分布式防火墙的设计理念l 边界防火墙边界防火墙所有边界防火墙，都是基于一个共同的假设假设：那就是防火墙把内网一端的用户看成是可信任的，而外网一端的用户则都被作为潜在的攻击者来对待。l 分布式防火墙分布式防火墙F分布式防火墙是一种主机驻留式主机驻留式的安全系统，它是以主机为保护对象，它的设计理念设计理念是：主机以外的任何用户都是不可信任的，对来自他们的访问都需要进行过滤，无论是来自Internet，还是来自内部网络。F它们对个人计算机进行保护的方式如同边界防火墙对整个内部网络进行保护一样。8.4.1 8.4.1 分布式防

32、火墙分布式防火墙l 分布式防火墙是一种全新的防火墙概念，是比较完善的一种防火墙技术，它是在边界防火墙的基础上开发的，目前主要主要以软件形式出现。l 分布式防火墙是一个完整的系统，其保护对象包括：F 网络边界，即内、外网的接口；F 内网中的各个子网；F 网络内部各节点，包括：服务器、桌面主机 分布式防火墙体系结构分布式防火墙体系结构l 分布式防火墙包含以下三个部分：分布式防火墙包含以下三个部分：F网络防火墙（Network Firewall）F主机防火墙（Host Firewall）F中心管理（Central Management）分布式防火墙体系结构分布式防火墙体系结构l 网络防火墙（Netw

33、ork Firewall）：F网络防火墙有软件与硬件两种产品F作用：作用：用于内部网与外部网之间，以及内部网各子网之间的防护。F在功能与传统的边界式防火墙类似。与传统边界式防火墙相比，它多了个对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。分布式防火墙体系结构分布式防火墙体系结构l 主机防火墙（主机防火墙（Host FirewallHost Firewall）：）：F有软件和硬件两种产品；F作用：作用：用于对网络中的服务器和桌面主机进行防护，以确保内部网络服务器和桌面机的安全。F分布式防火墙的作用：用于内部与外部网之间的防护；用于内部网各子网之间；同一内部子网工

34、作站与服务器之间。分布式防火墙可以说达到了应用层应用层的安全防护。F是对传统边界式防火墙在安全体系方面的一个极大完善。分布式防火墙体系结构分布式防火墙体系结构l 中心管理（中心管理（Central ManagermentCentral Managerment）：）：F是一个服务器软件，负责总体安全策略：-策划-管理-分发-日志的汇总F这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。8.4.1 分布式防火墙分布式防火墙分布式防火墙的主要特点分布式防火墙的主要特点 l 主机驻留 l 嵌入操作系统内核 l 类似于个人防火墙 l 适用于服务器托管（1）主机驻留l 分布式防火墙的

35、最主要特点主要特点就是采用主机驻留主机驻留方式，所以称之为主机防火墙，它的重要特征是驻留在被保护的主机上，该主机以外该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，l 因此可以针对该主机上运行的具体应用具体应用和对外提供的服务对外提供的服务设定针对性很强的安全策略。l 主机防火墙对分布式防火墙体系结构的突出贡献突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。（2 2）嵌入操作系统内核）嵌入操作系统内核l 操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在该主机上，所以防火墙自身也会受到因操作系统漏

36、洞而带来的威胁。l 为确保自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。l 为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开的内部技术接口。（3 3）类似于个人防火墙）类似于个人防火墙l 主机防火墙与个人防火墙的相似之处：F它们都对应于个人系统，都可以保护单个主机。l 主机防火墙与个人防火墙的差别之处：F管理方式迥然不同：管理方式迥然不同：-个人防火墙的安全策略由使用者自己设置，而主机防火墙的安全策略由整

37、个系统的管理员统一设置；-个人防火墙只防外部攻击，主机防火墙除了防外部攻击外，也可以对该桌面机的对外访问加以控制；-主机防火墙的安全机制是桌面机的使用者不可见和不可改动的。F其次，其次，个人防火墙面向个人用户，主机防火墙是面向企业级客户的，是由一个安全策略中心统一管理，安全检查机制分分散布置的散布置的分布式防火墙体系结构。（4 4）适用于服务器托管）适用于服务器托管l 服务器托管：企业或个人的服务器托人代管；l 托管的服务器逻辑上是其企业网的一部分，但物理上不在企业内部，对于这种应用，边界防火墙就显得力不从心；l 主机防火墙对被托管服务器的防护就游刃有余：F对于纯软件式的分布式防火墙则用户只需

38、在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略，并可以利用中心管理软件对该服务器进行远程监控。F对于硬件式的分布式防火墙因其通常采用PCIPCI卡式的卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面。8.4.1 8.4.1 分布式防火墙分布式防火墙分布式防火墙的优势分布式防火墙的优势 l 增强的系统安全性 F增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，对整个网络实施全方位的安全策略。l 提高了系统性能 F消除了结构性瓶颈；对服务器、个人主机单独设置。l 系统的扩展性 F分布式防火墙随系统扩充提供了安全防护无限扩充的能力。l 应用更为广泛，支持VPN

39、通信 F它能够保护物理拓朴上不属于内部网络，但位于逻辑上的内部网络的那些主机，这种需求随着VPN的发展越来越多8.4.2 8.4.2 嵌入式防火墙嵌入式防火墙l 将分布式防火墙技术分布式防火墙技术集成在硬件上（一般可以兼有 网卡的功能），通常称之为嵌入式防火墙l 目前分布式防火墙主要是以软件形式出现的，也有一些网络设备开发商（如3COM、CISCO等）开发生产了硬件分布式防火墙，做成PCI卡或PCMCIA卡的形式，。l 嵌入式防火墙的代表产品是3Com公司的3Com 10/100安全服务器网卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全网卡（3Co

40、m 10/100 Secure NIC）以及3Com公司嵌入式防火墙策略服务器（3Com Embedded Firewall Policy Server）。8.4.3 个人防火墙个人防火墙l 个人防火墙是安装在个人计算机里的一段程序，是防止个个人电脑中的信息被外部侵袭的一项技术，把个人计算机和Internet分隔开。l 个人防火墙在个人主机的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。l 目前在Windows操作系统下比较著名的防火墙有：F国外的有：Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Z

41、one Lab的 free ZoneAlarm 等F国内的有：天网防火墙、360木马防火墙、瑞星个人防火墙、江民黑客防火墙和金山网标等产品。8.5 8.5 防火墙产品介绍防火墙产品介绍l 8.5.1 FireWall-1防火墙 l 8.5.2 Cisco PIX 515E防火墙 l 8.5.3 天网防火墙8.5.1 FireWall-1l Check Point公司的系列防火墙产品可用于各种平台上，其中Firewall-1是最为流行、市场占有率最高的一种。l 据IDC的最近统计，FireWall-1防火墙在市场占有率上已超过32%，财富排名前100的大企业里近80%选用了FireWall-1防

42、火墙。8.5.2 8.5.2 Cisco安全防火墙服务模块(FWSM）l Cisco防火墙服务模块（FWSM）是一款高性能的状态化检测防火墙，它可以集成在Cisc0 6500交换机以及7600路由器机箱中。l Cisco FWSM防火墙是一种高速的集成化的防火墙，可以提供业界最快的防火墙数据传输速率：5 Gb的吞吐量，以及1000000个并发连接。在一个设备中最多可以安装4个FWSM防火墙模块，因而每个设备最高可以提供高达20Gb的吞吐量。l FWSM还支持“虚拟防火墙”功能，通过适当配置，一块FWSM最多可以虚拟为100个独立工作的防火墙，网管人员可以根据需要为每个部门设立独立的防火墙，更好

43、的保证网络安全。8.5.3 天网防火墙天网防火墙l 广州众达天网技术有限公司开发的天网防火墙系列产品功能全面，具有较高的性能。该系列产品提供有强大的访问控制、身份认证、网络地址转换（NAT）、数据过滤、虚拟专用网（VPN）、流量控制、虚拟网桥等功能。8.5.3 天网防火墙天网防火墙l 天网防火墙个人版是目前针对个人用户比较好的中文软件防天网防火墙个人版是目前针对个人用户比较好的中文软件防火墙之一，由天网安全实验室设计开发，用户可以根据软件火墙之一，由天网安全实验室设计开发，用户可以根据软件提供的安全规则自主设置访问控制、信息过滤、入侵检测等提供的安全规则自主设置访问控制、信息过滤、入侵检测等安

44、全策略。天网防火墙自安全策略。天网防火墙自19991999年推出个人版年推出个人版V1.0V1.0以来，先后以来，先后陆续推出了陆续推出了V1.0V1.0、V2.0V2.0、V2.45V2.45、V2.5V2.5、V3.0V3.0等版本。目前，等版本。目前，该软件最新的个人试用版本为该软件最新的个人试用版本为V3.0V3.0版本，用户可以从天网防版本，用户可以从天网防火墙的官方网站火墙的官方网站天网安全实验室（天网安全实验室（）下）下载来安装使用。载来安装使用。5.5.3 5.5.3 天网防火墙的安装天网防火墙的安装l 点击下载目录中的安装图标，选择安装目录，并接收安点击下载目录中的安装图标，

45、选择安装目录，并接收安装协议，如图装协议，如图5-105-10所示。所示。图5-10 天网防火墙安装界面5.5.1 5.5.1 天网防火墙的安装天网防火墙的安装l 在安装的过程在安装的过程中，程序会提中，程序会提醒设置安全级醒设置安全级别，有别，有“低低”、“中中”、“高高”和和“自定义自定义”四个选项，普四个选项，普通用户建议选通用户建议选择默认选项择默认选项“中中”，如图，如图5-115-11所示。所示。图5-11 天网防火墙安全级别设置界面5.5.3 5.5.3 天网防火墙的安装天网防火墙的安装l 单击单击“下一步下一步”，程序提醒局域网信程序提醒局域网信息设置。把默认的息设置。把默认的

46、“开机时候自动启开机时候自动启动防火墙动防火墙”、“我我的电脑在局域网中的电脑在局域网中使用使用”都选上，如都选上，如果网卡地址还有变果网卡地址还有变动，在动，在“我在局域我在局域网中的地址网中的地址”栏手栏手动输入，否则选择动输入，否则选择默认，如图默认，如图5-125-12所所示。示。安装完成后，系统会提示重新启动计算机，按提示要求重启后程序生效。5.5.2 天网防火墙的规则设置普通用户一般在安装的过程中用默认的选项即可，如果还有特殊的安全要求，应自定义安全规则。设置选项主要有“用户自定义”、“应用程序规则”、“IP规则管理”三项。“用户自定义用户自定义”：选项主界面如图5-13所示。用户

47、可以对开机时是否启动防火墙、是否重置规则、是否报警等选项进行设置。图5-13 天网防火墙用户自定义“基本设置”界面“应用程序规则应用程序规则”设置设置：该选项主要是就某一具体程序在主机中运行过程中所涉及到的协议类型、端口号、是否允许通过等选项进行设置，如图5-14所示。图5-14 天网防火墙“应用程序规则”设置界面5.5.2 天网防火墙的规则设置天网防火墙的规则设置 例如，在图5-14所示的应用程序选择中，如果用户选择了某个应用程序“Dr.COM宽带认证客户端程序”，则其设置选项如图5-15所示，用户可以就TCP、UDP信息和TCP协议可访问端口进行设置。图5-15 天网防火墙“应用程序规则”高级设置界面5.5.2 天网防火墙的规则设置“IP规则管理”设置：用户可以根据自身具体要求自定义IP规则，如图5-16所示。比如，选择其中了一项“允许自己用Ping命令探测其他机器”，则双击后出现如图5-17所示界面。图5-16 天网防火墙“IP管理规则”设置界面5.5.2 天网防火墙的规则设置图5-17 天网防火墙“修改IP规则”设置界面在“修改IP规则”中，用户可以就数据包方向（接受还是发送）、数据包协议类型、对方IP地址以及满足相关条件时是选择通行还是阻拦等进行配置。