[精选]计算机安全技术第9章15081.pptx

《[精选]计算机安全技术第9章15081.pptx》由会员分享，可在线阅读，更多相关《[精选]计算机安全技术第9章15081.pptx（27页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第九章第九章第九章第九章防防 火火 墙墙 技技 术术 9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述 随随随随着着着着InternetInternetInternetInternet的的的的迅迅迅迅速速速速发发发发展展展展，越越越越来来来来越越越越多多多多的的的的公公公公司司司司或或或或个个个个人人人人加加加加入入入入到到到到其其其其中中中中，使使使使InternetInternetInternetInternet本本本本身身身身成成成成为为为为了了了了世世世世界界界界上上上上空空空空前前前前庞庞庞庞大大大大以以以以至至至至于于于于无无无无法法法法确确确确切切切切统统

2、统统计计计计的的的的网网网网络络络络系系系系统统统统。当当当当一一一一个个个个机机机机构构构构将将将将其其其其内内内内部部部部网网网网络络络络与与与与InternetInternetInternetInternet连连连连接接接接之之之之后后后后，所所所所关关关关心心心心的的的的一一一一个个个个重重重重要要要要问问问问题题题题就就就就是是是是安安安安全全全全。人人人人们们们们需需需需要要要要一一一一种种种种安安安安全全全全策策策策略略略略，既既既既可可可可以以以以防防防防止止止止非非非非法法法法用用用用户户户户访访访访问问问问内内内内部部部部网网网网络络络络上上上上的的的的资资资资源源源源，又

3、又又又可可可可以以以以阻阻阻阻止止止止用用用用户户户户非非非非法法法法向向向向外外外外传传传传递递递递内部信息。在这种情况下，防火墙技术便应运而生了。内部信息。在这种情况下，防火墙技术便应运而生了。内部信息。在这种情况下，防火墙技术便应运而生了。内部信息。在这种情况下，防火墙技术便应运而生了。防防防防火火火火墙墙墙墙（FirewallFirewallFirewallFirewall）是是是是一一一一种种种种能能能能将将将将内内内内部部部部网网网网和和和和公公公公众众众众网网网网分分分分开开开开的的的的方方方方法法法法。它它它它能能能能限限限限制制制制被被被被保保保保护护护护的的的的网网网网络络

4、络络与与与与互互互互联联联联网网网网络络络络及及及及其其其其他他他他网网网网络络络络之之之之间间间间进进进进行行行行的的的的信信信信息息息息存存存存取取取取、传传传传递递递递等等等等操操操操作作作作。在在在在构构构构建建建建安安安安全全全全的的的的网网网网络络络络环环环环境境境境过过过过程程程程中中中中，防防防防火火火火墙墙墙墙作作作作为为为为第第第第一道安全防线，正受到越来越多用户的关注。一道安全防线，正受到越来越多用户的关注。一道安全防线，正受到越来越多用户的关注。一道安全防线，正受到越来越多用户的关注。9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述9.1.1 9

5、.1.1 防火墙的定义防火墙的定义防火墙的定义防火墙的定义 用用用用于于于于保保保保护护护护计计计计算算算算机机机机网网网网络络络络中中中中敏敏敏敏感感感感数数数数据据据据不不不不被被被被窃窃窃窃取取取取和和和和篡篡篡篡改改改改的的的的计计计计算算算算机机机机软软软软硬硬硬硬件件件件系系系系统统统统叫叫叫叫做做做做“防防防防火火火火墙墙墙墙”。简简简简单单单单的的的的说说说说,防防防防火火火火墙墙墙墙实实实实际际际际上上上上是是是是一一一一种种种种访访访访问问问问控控控控制制制制技技技技术术术术，它它它它在在在在一一一一个个个个被被被被认认认认为为为为是是是是安安安安全全全全和和和和可可可可信

6、信信信的的的的内内内内部部部部网网网网络络络络和和和和一一一一个个个个被被被被认认认认为为为为是是是是不不不不那那那那么么么么安安安安全全全全和和和和可可可可信信信信的的的的外外外外部部部部网网网网络络络络之之之之间间间间设设设设置置置置障障障障碍碍碍碍，阻阻阻阻止止止止对对对对信信信信息息息息资资资资源源源源的的的的非非非非法法法法访访访访问问问问,也也也也可可可可以以以以阻阻阻阻止止止止保保保保密密密密信息从受保信息从受保信息从受保信息从受保护护护护网网网网络络络络上被非法上被非法上被非法上被非法输输输输出。出。出。出。下图为防火墙示意图：下图为防火墙示意图：下图为防火墙示意图：下图为防火

7、墙示意图：9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述9.1.2 9.1.2 防火墙的作用防火墙的作用防火墙的作用防火墙的作用 应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不应用防火墙的主要目的是要强制执行一定的安全策略，能够过滤掉不安全服务和非法用户、控制对特殊站点的访问，并提供监视系统安全和安全服务和非法用户、控制对特殊站点的访问，并提供监视系统安全和安全服务和非法用户、控制对特殊站点的访问，并提供监视系统安全和安全服务和非法用户

8、、控制对特殊站点的访问，并提供监视系统安全和预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面：预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面：预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面：预警的方便端点。具体来说，防火墙的作用主要体现在以下几个方面：（1 1）防火墙是网络安全的屏障）防火墙是网络安全的屏障）防火墙是网络安全的屏障）防火墙是网络安全的屏障 （2 2 2 2）防火墙可以强化网络安全策略）防火墙可以强化网络安全策略）防火墙可以强化网络安全策略）防火墙可以强化网络安全策略 （3 3）防火墙可以对网络的存取和访问进行监控、审计）防火墙可以对网络的

9、存取和访问进行监控、审计）防火墙可以对网络的存取和访问进行监控、审计）防火墙可以对网络的存取和访问进行监控、审计 （4 4）防火墙可以防止内部信息的外泄）防火墙可以防止内部信息的外泄）防火墙可以防止内部信息的外泄）防火墙可以防止内部信息的外泄 （5 5）防火墙可以限制网络暴露）防火墙可以限制网络暴露）防火墙可以限制网络暴露）防火墙可以限制网络暴露 除除除除了了了了安安安安全全全全作作作作用用用用，防防防防火火火火墙墙墙墙还还还还支支支支持持持持具具具具有有有有InternetInternetInternetInternet服服服服务务务务特特特特性性性性的的的的企企企企业业业业内内内内部部部部

10、网网网网络络络络技技技技术术术术体体体体系系系系VPNVPNVPNVPN（虚虚虚虚拟拟拟拟专专专专用用用用网网网网）。通通通通过过过过VPNVPNVPNVPN，可可可可以以以以将将将将企企企企事事事事业业业业单单单单位位位位在在在在地地地地域域域域上上上上分分分分布布布布在在在在全全全全世世世世界界界界各各各各地地地地的的的的LANLANLANLAN或或或或专专专专用用用用子子子子网网网网，有有有有机机机机地地地地联联联联成成成成一一一一个个个个整整整整体体体体。不不不不仅仅仅仅省省省省去去去去了了了了专专专专用通信线路，而且为信息共享提供了技术保障。用通信线路，而且为信息共享提供了技术保障。

11、用通信线路，而且为信息共享提供了技术保障。用通信线路，而且为信息共享提供了技术保障。9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述9.1.3 9.1.3 防火墙的局限性防火墙的局限性防火墙的局限性防火墙的局限性 尽尽尽尽管管管管防防防防火火火火墙墙墙墙有有有有许许许许多多多多防防防防范范范范功功功功能能能能，但但但但由由由由于于于于互互互互连连连连网网网网的的的的开开开开放放放放性性性性，它它它它也也也也有有有有一些力不能及的地方，具体表现在以下几个方面：一些力不能及的地方，具体表现在以下几个方面：一些力不能及的地方，具体表现在以下几个方面：一些力不能及的地方，具体表

12、现在以下几个方面：（1 1）防火墙不能防范不经过防火墙的攻击。）防火墙不能防范不经过防火墙的攻击。）防火墙不能防范不经过防火墙的攻击。）防火墙不能防范不经过防火墙的攻击。（2 2）防火墙不能防止感染了病毒的软件或文件的传输。）防火墙不能防止感染了病毒的软件或文件的传输。）防火墙不能防止感染了病毒的软件或文件的传输。）防火墙不能防止感染了病毒的软件或文件的传输。（3 3）防火墙不能防止数据驱动式攻击。）防火墙不能防止数据驱动式攻击。）防火墙不能防止数据驱动式攻击。）防火墙不能防止数据驱动式攻击。（4 4）防火墙不能防止来自内部变节者和用户带来的威胁。）防火墙不能防止来自内部变节者和用户带来的威胁

13、。）防火墙不能防止来自内部变节者和用户带来的威胁。）防火墙不能防止来自内部变节者和用户带来的威胁。总总总总的的的的来来来来说说说说，防防防防火火火火墙墙墙墙只只只只是是是是整整整整体体体体安安安安全全全全防防防防范范范范政政政政策策策策的的的的一一一一部部部部分分分分。整整整整个个个个网网网网络络络络易易易易受受受受攻攻攻攻击击击击的的的的各各各各个个个个点点点点必必必必须须须须以以以以相相相相同同同同程程程程度度度度的的的的安安安安全全全全防防防防护护护护措措措措施施施施加加加加以以以以保保保保护护护护。在在在在没没没没有有有有全全全全面面面面的的的的安安安安全全全全政政政政策策策策情情情情

14、况况况况下下下下设设设设置置置置防防防防火火火火墙墙墙墙，就就就就如如如如同同同同在在在在一一一一顶顶顶顶帐帐帐帐篷篷篷篷上上上上安安安安装一个防盗门。装一个防盗门。装一个防盗门。装一个防盗门。9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述9.1.4 9.1.4 防火墙技术的现状及发展趋势防火墙技术的现状及发展趋势防火墙技术的现状及发展趋势防火墙技术的现状及发展趋势 纵纵纵纵观观观观防防防防火火火火墙墙墙墙技技技技术术术术的的的的发发发发展展展展，可可可可将将将将其其其其分分分分为为为为以以以以下下下下四四四四个个个个阶阶阶阶段段段段：第第第第一一一一代代代代防防防防

15、火火火火墙墙墙墙，又又又又称称称称包包包包过过过过滤滤滤滤防防防防火火火火墙墙墙墙。第第第第二二二二代代代代防防防防火火火火墙墙墙墙，也也也也称称称称代代代代理理理理防防防防火火火火墙墙墙墙 。第第第第三三三三代代代代防防防防火火火火墙墙墙墙，称称称称为为为为状状状状态态态态监监监监控控控控功功功功能能能能防防防防火火火火墙墙墙墙 。第第第第四四四四代代代代防防防防火火火火墙墙墙墙已已已已超超超超出出出出了了了了原原原原来来来来传传传传统统统统意意意意义义义义上上上上防防防防火火火火墙墙墙墙的的的的范范范范畴畴畴畴，演演演演变变变变成成成成为为为为了了了了一一一一个个个个全全全全方方方方位位位

16、位的的的的安安安安全全全全技技技技术集成系统。术集成系统。术集成系统。术集成系统。归纳起来，一个好的防火墙系统应具有以下的一些特性：归纳起来，一个好的防火墙系统应具有以下的一些特性：归纳起来，一个好的防火墙系统应具有以下的一些特性：归纳起来，一个好的防火墙系统应具有以下的一些特性：（1 1 1 1）所所所所有有有有在在在在内内内内部部部部网网网网络络络络和和和和外外外外部部部部网网网网络络络络之之之之间间间间传传传传输输输输的的的的数数数数据据据据都都都都必必必必须须须须经经经经过过过过防防防防火墙。火墙。火墙。火墙。（2 2 2 2）只只只只有有有有被被被被授授授授权权权权的的的的合合合合法

17、法法法数数数数据据据据，即即即即防防防防火火火火墙墙墙墙系系系系统统统统中中中中安安安安全全全全策策策策略略略略允允允允许许许许的的的的数据，可以通过防火墙。数据，可以通过防火墙。数据，可以通过防火墙。数据，可以通过防火墙。（3 3 3 3）防火墙本身应能抵御各种攻击的影响。）防火墙本身应能抵御各种攻击的影响。）防火墙本身应能抵御各种攻击的影响。）防火墙本身应能抵御各种攻击的影响。（4 4 4 4）防火墙应使用目前较先进的信息安全技术。）防火墙应使用目前较先进的信息安全技术。）防火墙应使用目前较先进的信息安全技术。）防火墙应使用目前较先进的信息安全技术。（5 5 5 5）防火墙应具有良好的人机

18、界面，方便用户配置及管理。）防火墙应具有良好的人机界面，方便用户配置及管理。）防火墙应具有良好的人机界面，方便用户配置及管理。）防火墙应具有良好的人机界面，方便用户配置及管理。9.1 9.1 防火墙技术概述防火墙技术概述防火墙技术概述防火墙技术概述 从从从从防防防防火火火火墙墙墙墙的的的的发发发发展展展展趋趋趋趋势势势势来来来来看看看看，未未未未来来来来的的的的防防防防火火火火墙墙墙墙将将将将变变变变得得得得更更更更加加加加能能能能够够够够识识识识别别别别通通通通过过过过的的的的信信信信息息息息，同同同同时时时时在在在在目目目目前前前前的的的的功功功功能能能能上上上上向向向向“透透透透明明明明

19、”、“低级低级低级低级”方面发展。主要有以下的一些发展趋势：方面发展。主要有以下的一些发展趋势：方面发展。主要有以下的一些发展趋势：方面发展。主要有以下的一些发展趋势：（）防火墙的性能将更加优良。（）防火墙的性能将更加优良。（）防火墙的性能将更加优良。（）防火墙的性能将更加优良。（）防火墙具有可扩展的结构和功能。（）防火墙具有可扩展的结构和功能。（）防火墙具有可扩展的结构和功能。（）防火墙具有可扩展的结构和功能。（）防火墙要有简化的安装与管理。（）防火墙要有简化的安装与管理。（）防火墙要有简化的安装与管理。（）防火墙要有简化的安装与管理。（）防火墙要有主动过滤的能力。（）防火墙要有主动过滤的能

20、力。（）防火墙要有主动过滤的能力。（）防火墙要有主动过滤的能力。（）防火墙应有防病毒与黑客的能力。（）防火墙应有防病毒与黑客的能力。（）防火墙应有防病毒与黑客的能力。（）防火墙应有防病毒与黑客的能力。最终防火墙将成为一个快速注册稽查系统，可保最终防火墙将成为一个快速注册稽查系统，可保最终防火墙将成为一个快速注册稽查系统，可保最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节护数据以加密方式通过，使所有组织可以放心地在节护数据以加密方式通过，使所有组织可以放心地在节护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。点间传送数据。点间传送数据。点间传

21、送数据。.防火墙技术的分类防火墙技术的分类防火墙技术的分类防火墙技术的分类 防防防防火火火火墙墙墙墙技技技技术术术术可可可可根根根根据据据据防防防防范范范范的的的的方方方方式式式式和和和和侧侧侧侧重重重重点点点点的的的的不不不不同同同同而而而而分分分分为为为为很很很很多多多多种种种种类类类类型型型型。按按按按照照照照防防防防火火火火墙墙墙墙对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。对数据的处理方法，大致分为二大类：包过滤防火墙和代理防火墙。.包包包包过滤过滤

22、过滤过滤防火防火防火防火墙墙墙墙技技技技术术术术 数据包过滤技术作为防火墙的应用有三种。数据包过滤技术作为防火墙的应用有三种。数据包过滤技术作为防火墙的应用有三种。数据包过滤技术作为防火墙的应用有三种。第一种是路由设备在完成路由选第一种是路由设备在完成路由选第一种是路由设备在完成路由选第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第择和数据转发的同时进行包过滤。第二种是在工作站上使用软件进行包过滤。第三种是

23、在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式三种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。是第一种。是第一种。是第一种。包过滤作用在网络层和传输层，以包过滤作用在网络层和传输层，以包过滤作用在网络层和传输层，以包过滤作用在网络层和传输层，以IPIP包信息为基础，对通过防火墙的包信息为基础，对通过防火墙的包信息为基础，对通过防火墙的包信息为基础，对通过防火墙的IPIP包的包的包的包的源、目的地址、源、目的

24、地址、源、目的地址、源、目的地址、TCP/UDPTCP/UDP的端口标识符及的端口标识符及的端口标识符及的端口标识符及ICMPICMP等进行检查。等进行检查。等进行检查。等进行检查。包过滤规则检查数据流中每个数据包后包过滤规则检查数据流中每个数据包后包过滤规则检查数据流中每个数据包后包过滤规则检查数据流中每个数据包后,根据规则来确定是否允许数据包通根据规则来确定是否允许数据包通根据规则来确定是否允许数据包通根据规则来确定是否允许数据包通过，其核心是过滤算法的设计。过，其核心是过滤算法的设计。过，其核心是过滤算法的设计。过，其核心是过滤算法的设计。数据包过滤在网络中起着举足轻重的作用，它允许你在

25、某个地方为整个网络数据包过滤在网络中起着举足轻重的作用，它允许你在某个地方为整个网络数据包过滤在网络中起着举足轻重的作用，它允许你在某个地方为整个网络数据包过滤在网络中起着举足轻重的作用，它允许你在某个地方为整个网络提供特别的保护。提供特别的保护。提供特别的保护。提供特别的保护。包包包包过过过过滤滤滤滤的的的的操操操操作作作作可可可可以以以以在在在在路路路路由由由由器器器器上上上上进进进进行行行行，也也也也可可可可以以以以在在在在网网网网桥桥桥桥，甚甚甚甚至至至至在在在在一一一一个个个个单单单单独独独独的的的的主主主主机机机机上上上上进行。大多数数据包过滤系统不处理数据本身，它们不根据数据包的

26、内容做决定。进行。大多数数据包过滤系统不处理数据本身，它们不根据数据包的内容做决定。进行。大多数数据包过滤系统不处理数据本身，它们不根据数据包的内容做决定。进行。大多数数据包过滤系统不处理数据本身，它们不根据数据包的内容做决定。.防火墙技术的分类防火墙技术的分类防火墙技术的分类防火墙技术的分类.包过滤防火墙技术的优缺点包过滤防火墙技术的优缺点包过滤防火墙技术的优缺点包过滤防火墙技术的优缺点 数数数数据据据据包包包包过过过过滤滤滤滤防防防防火火火火墙墙墙墙技技技技术术术术有有有有很很很很多多多多优优优优点点点点，主主主主要要要要体体体体现现现现在在在在以以以以下下下下几几几几点点点点：（）应应应

27、应用用用用包包包包过过过过滤滤滤滤技技技技术术术术不不不不用用用用改改改改动动动动客客客客户户户户机机机机和和和和主主主主机机机机上上上上的的的的应应应应用用用用程程程程序序序序，因因因因为为为为过过过过滤滤滤滤发发发发生生生生在在在在网网网网络络络络层层层层和和和和传传传传输输输输层层层层，与与与与应应应应用用用用层层层层无无无无关关关关。（）一一一一个个个个单单单单独独独独的的的的、放放放放置置置置恰恰恰恰当当当当的的的的数数数数据据据据包包包包过过过过滤滤滤滤路路路路由由由由器器器器有有有有助助助助于于于于保保保保护护护护整整整整个个个个网网网网络络络络。（）数数数数据据据据包包包包过过

28、过过滤滤滤滤技技技技术术术术对对对对用用用用户户户户没没没没有有有有特特特特别别别别的的的的要要要要求求求求。（）大大大大多多多多数数数数路路路路由由由由器器器器都都都都具具具具有数据包过滤功能。有数据包过滤功能。有数据包过滤功能。有数据包过滤功能。虽然数据包过滤有很多优点，但同时它也存在着一些缺陷。虽然数据包过滤有很多优点，但同时它也存在着一些缺陷。虽然数据包过滤有很多优点，但同时它也存在着一些缺陷。虽然数据包过滤有很多优点，但同时它也存在着一些缺陷。（）在过滤过（）在过滤过（）在过滤过（）在过滤过程中判别的只有网络层和传输层的有限信息，而不能在用户级别上进行过滤，不程中判别的只有网络层和传

29、输层的有限信息，而不能在用户级别上进行过滤，不程中判别的只有网络层和传输层的有限信息，而不能在用户级别上进行过滤，不程中判别的只有网络层和传输层的有限信息，而不能在用户级别上进行过滤，不能识别不同的用户和防止地址的盗用，因而各种安全要求不可能充分满足。能识别不同的用户和防止地址的盗用，因而各种安全要求不可能充分满足。能识别不同的用户和防止地址的盗用，因而各种安全要求不可能充分满足。能识别不同的用户和防止地址的盗用，因而各种安全要求不可能充分满足。（）在许多过滤器中，过滤规则的数目是有限制的。（）当前的过滤工具并（）在许多过滤器中，过滤规则的数目是有限制的。（）当前的过滤工具并（）在许多过滤器中

30、，过滤规则的数目是有限制的。（）当前的过滤工具并（）在许多过滤器中，过滤规则的数目是有限制的。（）当前的过滤工具并不完善，或多或少的存在着一些局限性。（）由于缺少上下文关联信息，数据不完善，或多或少的存在着一些局限性。（）由于缺少上下文关联信息，数据不完善，或多或少的存在着一些局限性。（）由于缺少上下文关联信息，数据不完善，或多或少的存在着一些局限性。（）由于缺少上下文关联信息，数据包过滤路由器不能有效地过滤诸如包过滤路由器不能有效地过滤诸如包过滤路由器不能有效地过滤诸如包过滤路由器不能有效地过滤诸如UDPUDPUDPUDP、RPCRPCRPCRPC、FTPFTPFTPFTP一类的协议一类的协

31、议一类的协议一类的协议.（）大多数过滤（）大多数过滤（）大多数过滤（）大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差。（）数据包过滤技术器中缺少审计和报警机制，且管理方式和用户界面较差。（）数据包过滤技术器中缺少审计和报警机制，且管理方式和用户界面较差。（）数据包过滤技术器中缺少审计和报警机制，且管理方式和用户界面较差。（）数据包过滤技术对安全管理人员素质要求较高。对安全管理人员素质要求较高。对安全管理人员素质要求较高。对安全管理人员素质要求较高。由由由由于于于于数数数数据据据据包包包包过过过过滤滤滤滤技技技技术术术术本本本本身身身身的的的的缺缺缺缺陷陷陷陷，在在在在实实实实际际际

32、际应应应应用用用用中中中中，很很很很少少少少把把把把数数数数据据据据包包包包过过过过滤滤滤滤技技技技术术术术当当当当作作作作单单单单独独独独的的的的安安安安全全全全解解解解决决决决方方方方案案案案。过过过过滤滤滤滤路路路路由由由由器器器器通通通通常常常常是是是是和和和和应应应应用用用用网网网网关关关关配配配配合合合合或或或或是是是是与与与与其其其其他他他他防防防防火火火火墙墙墙墙技技技技术术术术揉和使用，共同组成防火墙系统。揉和使用，共同组成防火墙系统。揉和使用，共同组成防火墙系统。揉和使用，共同组成防火墙系统。.防火墙技术的分类防火墙技术的分类防火墙技术的分类防火墙技术的分类.代理防火墙技术

33、代理防火墙技术代理防火墙技术代理防火墙技术 代理防火墙作用在应用层，用来提供应用层服务的控制。其代理防火墙作用在应用层，用来提供应用层服务的控制。其代理防火墙作用在应用层，用来提供应用层服务的控制。其代理防火墙作用在应用层，用来提供应用层服务的控制。其特点是完全特点是完全特点是完全特点是完全“阻隔阻隔阻隔阻隔”了网络通信流，通过对每种应用服务编制专了网络通信流，通过对每种应用服务编制专了网络通信流，通过对每种应用服务编制专了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。所以代理门的代理程序，实现监视和控制应用层通信流的作用。所以代理门的代理程序，实现监视和

34、控制应用层通信流的作用。所以代理门的代理程序，实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。防火墙又被称为应用代理或应用层网关型防火墙。防火墙又被称为应用代理或应用层网关型防火墙。防火墙又被称为应用代理或应用层网关型防火墙。应用层网关型防火墙控制的内部网络只接受代理服务器提出应用层网关型防火墙控制的内部网络只接受代理服务器提出应用层网关型防火墙控制的内部网络只接受代理服务器提出应用层网关型防火墙控制的内部网络只接受代理服务器提出的服务请求，拒绝外部网络其它接点的直接请求。它同时提供了的服务请求，拒绝外部网络其它接点的直接请求。它同时提供了的服务请求，拒绝

35、外部网络其它接点的直接请求。它同时提供了的服务请求，拒绝外部网络其它接点的直接请求。它同时提供了多种方法认证用户。当确认了用户名和口令后，服务器根据系统多种方法认证用户。当确认了用户名和口令后，服务器根据系统多种方法认证用户。当确认了用户名和口令后，服务器根据系统多种方法认证用户。当确认了用户名和口令后，服务器根据系统的设置对用户进行进一步的检查，验证其是否可以访问本服务器。的设置对用户进行进一步的检查，验证其是否可以访问本服务器。的设置对用户进行进一步的检查，验证其是否可以访问本服务器。的设置对用户进行进一步的检查，验证其是否可以访问本服务器。应用层网关型防火墙还对进出防火墙的信息进行记录，

36、并可由网应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网络管理员用来监视和管理防火墙的使用情况。实际中的应用网关络管理员用来监视和管理防火墙的使用情况。实际中的应用网关络管理员用来监视和管理防火墙的使用情况。实际中的应用网关络管理员用来监视和管理防火墙的使用情况。实际中的应用网关通常由专用代理服务器实现。下图为代理防火墙的示意图：通常由专用代理服务器实现。下图为代理防火墙的示意图：通常由专用代理服务器实现。下图为代理防火墙的示意图：通常由专用代理服务器实现。下图为代理防火墙的

37、示意图：.防火墙技术的分类防火墙技术的分类防火墙技术的分类防火墙技术的分类 .防火墙技术的分类防火墙技术的分类防火墙技术的分类防火墙技术的分类.代理防火墙技术的优缺点代理防火墙技术的优缺点代理防火墙技术的优缺点代理防火墙技术的优缺点 代理防火墙技术的优点主要有：代理防火墙技术的优点主要有：代理防火墙技术的优点主要有：代理防火墙技术的优点主要有：（）代理易于配置。（）代理易于配置。（）代理易于配置。（）代理易于配置。（）代理能生成各项记录。（）代理能生成各项记录。（）代理能生成各项记录。（）代理能生成各项记录。（）（）（）（）代理能灵活、完全地控制进出流量、内容。代理能灵活、完全地控制进出流量、

38、内容。代理能灵活、完全地控制进出流量、内容。代理能灵活、完全地控制进出流量、内容。（）代理能过滤数（）代理能过滤数（）代理能过滤数（）代理能过滤数据内容。据内容。据内容。据内容。（）代理能为用户提供透明的加密机制。（）代理能为用户提供透明的加密机制。（）代理能为用户提供透明的加密机制。（）代理能为用户提供透明的加密机制。（）代（）代（）代（）代理可以方便地与其它安全手段集成。理可以方便地与其它安全手段集成。理可以方便地与其它安全手段集成。理可以方便地与其它安全手段集成。代理防火墙技术的缺点主要有：代理防火墙技术的缺点主要有：代理防火墙技术的缺点主要有：代理防火墙技术的缺点主要有：（）代理速度较

39、路由器慢。（）代理速度较路由器慢。（）代理速度较路由器慢。（）代理速度较路由器慢。（）（）（）（）代理对用户不透明。代理对用户不透明。代理对用户不透明。代理对用户不透明。（）对于每项服务代理可能要求不同的服务器。（）对于每项服务代理可能要求不同的服务器。（）对于每项服务代理可能要求不同的服务器。（）对于每项服务代理可能要求不同的服务器。（）代理服（）代理服（）代理服（）代理服务通常要求对客户、过程之一或两者进行限制。务通常要求对客户、过程之一或两者进行限制。务通常要求对客户、过程之一或两者进行限制。务通常要求对客户、过程之一或两者进行限制。（）代理服务（）代理服务（）代理服务（）代理服务不能保

40、证免受所有协议弱点的限制。不能保证免受所有协议弱点的限制。不能保证免受所有协议弱点的限制。不能保证免受所有协议弱点的限制。（）代理不能改进底层协（）代理不能改进底层协（）代理不能改进底层协（）代理不能改进底层协议的安全性。议的安全性。议的安全性。议的安全性。在在在在实实实实际际际际应应应应用用用用当当当当中中中中，构构构构筑筑筑筑防防防防火火火火墙墙墙墙的的的的解解解解决决决决方方方方案案案案很很很很少少少少采采采采用用用用单单单单一一一一的的的的技技技技术术术术，大多数防火墙是将数据包过滤和代理服务器结合起来使用的。大多数防火墙是将数据包过滤和代理服务器结合起来使用的。大多数防火墙是将数据包

41、过滤和代理服务器结合起来使用的。大多数防火墙是将数据包过滤和代理服务器结合起来使用的。.防火墙的体系结构防火墙的体系结构防火墙的体系结构防火墙的体系结构 出出出出于于于于对对对对更更更更高高高高安安安安全全全全性性性性的的的的要要要要求求求求，通通通通常常常常的的的的防防防防火火火火墙墙墙墙体体体体系系系系是是是是多多多多种种种种解解解解决决决决不不不不同同同同问问问问题题题题的的的的技技技技术术术术的的的的有有有有机机机机组组组组合合合合。例例例例如如如如，把把把把基基基基于于于于包包包包过过过过滤滤滤滤的的的的方方方方法法法法与与与与基基基基于于于于应应应应用用用用代代代代理理理理的的的的

42、方方方方法法法法结结结结合起来，就形成了复合型防火墙产品。目前常见的配置有以下几种：合起来，就形成了复合型防火墙产品。目前常见的配置有以下几种：合起来，就形成了复合型防火墙产品。目前常见的配置有以下几种：合起来，就形成了复合型防火墙产品。目前常见的配置有以下几种：（）屏蔽路由器（）屏蔽路由器（）屏蔽路由器（）屏蔽路由器（Screening RouterScreening RouterScreening RouterScreening Router）屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器是防火墙最基本的构

43、件，是最简单也是最常见的防火墙。屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于检查。路由器上可以安装基于检查。路由器上可以安装基于检查。路由器上可以安装基于IPIP层的报文过滤软件，实现报文过滤功能。层的报文过滤软件，实现报文过滤功能。层的报文过滤软件，实现报文过滤功能。层的报文过滤软件，实现报文过滤功能。许多

44、路由器本身带有报文过滤配置选项，但一般比较简单。许多路由器本身带有报文过滤配置选项，但一般比较简单。许多路由器本身带有报文过滤配置选项，但一般比较简单。许多路由器本身带有报文过滤配置选项，但一般比较简单。（）双宿主主机网关（）双宿主主机网关（）双宿主主机网关（）双宿主主机网关（Dual Homed GatewayDual Homed GatewayDual Homed GatewayDual Homed Gateway）双宿主主机是一台安装有两块网卡的计算机，每块网卡有各自的双宿主主机是一台安装有两块网卡的计算机，每块网卡有各自的双宿主主机是一台安装有两块网卡的计算机，每块网卡有各自的双宿主主

45、机是一台安装有两块网卡的计算机，每块网卡有各自的IPIP地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信，它就必须与双宿主主机上与外部网络相内部网络上的计算机进行通信，它就必须与双宿主主机上与外部网络相内部网络上的计算机进行通信，它就必须与双宿主主机上与外部网络相内部网络上的计算机进行通信，它就必须与双宿主主机上与外部网络相连的连的连的连的IPIPIPIP地址联系，代理服

46、务器软件再通过另一块网卡与内部网络相连接。地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经过双宿主主机的过滤和控制。如下图所示：过双宿主主机的过滤和控制。如下图所示：过双宿主主机的过滤和控制。如下图所示：过双宿主主机的过滤和控

47、制。如下图所示：.防火墙的体系结构防火墙的体系结构防火墙的体系结构防火墙的体系结构 （）屏蔽主机网关（）屏蔽主机网关（Screened Host GatewayScreened Host Gateway）屏屏蔽蔽主主机机网网关关由由屏屏蔽蔽路路由由器器和和应应用用网网关关组组成成，屏屏蔽蔽路路由由器器的的作作用用是是包包过过滤滤，应应用用网网关关的的作作用用是是代代理理服服务务。这这样样，在在内内部部网网络络和和外外部部网网络络之之间间建建立立了了两两道道安安全全屏屏障障，既既实实现现了了网网络络层层安安全全，有有实实现现了了应应用用层层安安全全。来来自自外外部部网网络络的的所所有有通通信信都

48、都会会连连接接到到屏屏蔽蔽路路由由器器，它它根根据据所所设设置置的的规规则则过过滤滤这这些些通通信信。如如下下图图所示：所示：.防火墙的体系结构防火墙的体系结构防火墙的体系结构防火墙的体系结构 （）屏蔽子网屏蔽子网 （Screened SubnetScreened Subnet）屏蔽子网体系结构是在屏蔽主机网关的基础上再添加屏蔽子网体系结构是在屏蔽主机网关的基础上再添加一个屏蔽路由器，两个路由器放在子网的两端，三者形成一个屏蔽路由器，两个路由器放在子网的两端，三者形成了一个被称为了一个被称为“非军事区非军事区”的子网，如下图所示的子网，如下图所示：.防火墙的体系结构防火墙的体系结构防火墙的体系

49、结构防火墙的体系结构 这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。外和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同，内部屏蔽路部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同，内部屏蔽路由器在应用网关和受保护网络之间提供附加保护。由器在应用网关和受保护网络之间提供附加保护。9

50、.4 9.4 防火墙的选购策略防火墙的选购策略防火墙的选购策略防火墙的选购策略 防防防防火火火火墙墙墙墙作作作作为为为为网网网网络络络络安安安安全全全全体体体体系系系系的的的的基基基基础础础础和和和和核核核核心心心心控控控控制制制制设设设设备备备备，它它它它贯贯贯贯穿穿穿穿于于于于整整整整个个个个网网网网络络络络通通通通信信信信主主主主干干干干线线线线，对对对对通通通通过过过过受受受受控控控控网网网网络络络络的的的的任任任任何何何何通通通通信信信信行行行行为为为为进进进进行行行行控控控控制制制制、审审审审计计计计、报报报报警警警警、反反反反应应应应等等等等安安安安全全全全处处处处理理理理，同同