防火墻技術的研究畢業(yè)論文

1、<p><b>　　畢業(yè)論文</b></p><p>　?。ǚ阑饓夹g的研究）</p><p>　　學 校： </p><p><b>　　指 導 老 師： </b></p><p>　　學 生： </p><p>　　學 號

2、： </p><p>　　專 業(yè)； 系 統(tǒng) 集 成</p><p><b>　　摘 要：</b></p><p>　　隨著計算機和網(wǎng)絡技術的不斷普及與應用，網(wǎng)絡安全越來越受到人們的重視。防火墻作為一種隔離內(nèi)部安全同時網(wǎng)絡內(nèi)部安全與外部不信任網(wǎng)絡的防御技術，已經(jīng)成為計算機</p><p>　　網(wǎng)絡安全體

3、機構中的一個重要組成部分。作者在研究防火墻技術和使用部分防火墻產(chǎn)品的過程中，發(fā)現(xiàn)防火墻在抵御部分網(wǎng)絡攻擊時還存在缺陷，于是在本文中就存在提出自己的觀點并進行技術改進，以使防火墻更好的保護內(nèi)部網(wǎng)絡的安全。首先通過數(shù)據(jù)和案例的分析說明網(wǎng)絡安全的重要性，并介紹了幾種常用的網(wǎng)絡安全技術。然后詳細的介紹了防火墻的概念、內(nèi)涵、技術原理、體系結構和主要的類型。查閱大量的書籍、網(wǎng)絡文章、具體的防火墻操作和內(nèi)核分析找出防火墻在應對各種攻擊時自身的缺陷，通

4、過深入研究和大量實驗后實現(xiàn)對防火墻自身功能得到改進，使防火墻更好的工作以保證網(wǎng)絡不會受到非法入侵和重要的數(shù)據(jù)不被竊取及破壞。</p><p><b>　　目 錄</b></p><p>　　第一章 緒言·············&#

5、183;····································

6、······</p><p>　　第二章 防火墻的概念·························&

7、#183;······················</p><p>　　第一節(jié) 防火墻的概念········&#

8、183;···································</p

9、><p>　　第二節(jié) 防火墻的優(yōu)缺點································

10、··········</p><p>　　第三節(jié) 防火墻的功能概述·····················

11、;···················</p><p>　　第四節(jié) 防火墻工作原理分析···········

12、83;··························</p><p>　　第三章 幾種典型的防火墻</p><p>　　第一節(jié)

13、 天網(wǎng)防火墻系統(tǒng)···································&#

14、183;····</p><p>　　第二節(jié) FortiGate病毒防火墻·························&

15、#183;··········</p><p>　　第三節(jié) CISCO PIX防火墻···················&#

16、183;··················</p><p>　　第四節(jié) 方正數(shù)碼公司的方御防火墻系列產(chǎn)品···········

17、;···········</p><p>　　第四章 防火墻的實例配置</p><p>　　第五章 防火墻的基本類型</p><p><b>　　第一節(jié) 包過濾</b></p><p>　　第二節(jié) 網(wǎng)絡地址轉化—

18、NAT</p><p><b>　　第三節(jié) 應用代理</b></p><p><b>　　第四節(jié) 狀態(tài)檢測</b></p><p>　　第六章 防火墻的未來發(fā)展方向</p><p>　　第七章 總結········&

19、#183;····································

20、;······</p><p>　　謝 辭 ·························

21、3;·····························</p><p>　　參考文獻···

22、;····································

23、83;···············</p><p><b>　　第一章 緒言</b></p><p>　　隨著社會信息話進程的深入和互聯(lián)網(wǎng)的飛速發(fā)展，人們的工作、學習和生活方式通過與網(wǎng)絡的緊密聯(lián)系發(fā)生了巨大的變化，信

24、息資源得到最大程度共享。但同時那我們必須看到，緊隨信息話發(fā)展而來得網(wǎng)絡安全問題日益突出，它已經(jīng)成為整個社會關注的焦點。互聯(lián)網(wǎng)上的病毒、黑客、網(wǎng)絡犯罪等等給網(wǎng)絡安全帶來了巨大威脅，并且隨著網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)絡安全事故的數(shù)量以及其造成的損失也在成倍的增長，網(wǎng)絡犯罪的方式方法也是層出不窮。如果不能很好的解決這個問題，它必將阻礙信息化發(fā)展的進 程。</p><p>　　現(xiàn)在網(wǎng)絡威脅呈現(xiàn)多樣話，如病毒、垃圾郵件、間諜軟

25、件、廣告軟件、網(wǎng)絡的魚、拒絕服務、網(wǎng)絡挾持等。漏洞被發(fā)現(xiàn)和漏洞病毒出現(xiàn)的時間間隔越來越短：病毒傳播方式的途徑正在變的更隱蔽和多樣化。</p><p>　　第二章 防火墻的概述</p><p><b>　　防火墻的概念</b></p><p>　　所謂防火墻，是一種將內(nèi)部旺和公眾訪問分開的方法，它實際上是一種隔離技術。防火墻是在兩個通訊時執(zhí)行的一

26、種訪問控制尺度，它能允許你同意的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你不同意的人和數(shù)據(jù)拒之門外，最大限度的阻止網(wǎng)絡中黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人無法訪問internet,intenet上的人也無法和公司內(nèi)部的人進行通信。</p><p>　　第二節(jié) 防火墻的優(yōu)缺點</p><p><b>　　包過濾防火墻</b></p><

27、p>　　使用包過濾防火墻的優(yōu)點包括：</p><p>　　防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制</p><p>　　每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些應用過濾規(guī)則。</p><p>　　防火墻可以識別和丟棄帶欺騙性源IP地址的包。</p><p>　　包過濾防火墻是兩個網(wǎng)絡之間的唯一來

28、源。因為所有的通信必須通過防火墻，繞過是困難的。</p><p>　　包過濾通常被包含在路由器包中，所有不必額外的系統(tǒng)來處理這個特征。</p><p>　　使用包過濾防火墻的缺點包括:</p><p>　　配置困難。因為包過濾防火墻很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配置了已有的規(guī)則，在防火墻留下漏洞。然而，在市場上許多新版本的防火墻對這個缺點正在做改

29、進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面（GUI）的配置和更直接的規(guī)則定義。</p><p>　　為特定服務開放的對口存在著危險，可能會被用于其他傳輸。例如，Web服務器的端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealPlayer服務器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口二搜尋的。就這樣無意中，RealPlayer就利用了Web服務

30、器的端口。</p><p>　　可能還有其他方法繞過防火墻進入網(wǎng)絡，例如撥入連接，但這個并不是防火墻自身的缺點而是不應該在網(wǎng)絡安全上單純依賴防火墻的原因。</p><p>　　2.狀態(tài)/動態(tài)檢測防火墻</p><p>　　狀態(tài)/動態(tài)檢測防火墻的有點有：</p><p>　　檢測IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。</p

31、><p>　　識別帶有欺騙性源IP地址包的能力。</p><p>　　包過濾防火墻是兩個望樓之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。</p><p>　　基于應用程序驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的FIP連接，允許返回的FTP包通過。</p><p>　　基于應用程序驗證一個包的狀態(tài)的能力，例如允許一個先前人

32、證過的連接繼續(xù)與被授權的服務通信。</p><p>　　記錄有關通過的每個報的詳細信息的能力?；旧?，防火墻用來確定包狀態(tài)的所有信息都可以被記錄，包括應用程序?qū)Π恼埱?，連接的持續(xù)時間，內(nèi)部和外部系統(tǒng)所做的連接請求等。</p><p>　　狀態(tài)/動態(tài)檢測防火墻的缺點：</p><p>　　狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連

33、接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時?？墒牵布俣仍娇?，這個問題越不易察覺，而且防火墻的制造商一直致力于他高他們產(chǎn)品的速度。</p><p>　　3.應用程序代理防火墻</p><p>　　使用應用代理程序防火墻的把優(yōu)點有：</p><p>　　指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或

34、拒絕基于用戶所請求連接的IP地址的訪問。</p><p>　　通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡中不必要的服務。</p><p>　　大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。而寫信息對追蹤攻擊和發(fā)生的未授權訪問的事件是很有用的。</p><p>　　使用應用程序代理防火墻的缺點有：</p><p>　　必須在一定范圍內(nèi)定制

35、用戶的系統(tǒng)，這取決與所用的應用程序。</p><p>　　一些應用程序可能根本不支持代理連接。</p><p><b>　　4.NAT</b></p><p>　　使用NAT的優(yōu)點有：</p><p>　　所有內(nèi)部的IP 地址對外面得人來說是隱蔽的。因為這個原因，網(wǎng)絡之外沒有人可以已通過指定IP地址的方式直接對網(wǎng)絡內(nèi)的任

36、何一臺特定的計算機發(fā)起攻擊。</p><p>　　如果因為某種公共IP地址資源比較短缺的話，NAT可以使整個內(nèi)部網(wǎng)絡共享一個IP地址。</p><p>　　可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到NAT，那么就會被丟棄。內(nèi)部網(wǎng)絡的計算機就不可能直接訪問外部網(wǎng)絡。</p><p><b>　　使用NAT的缺點：</b&

37、gt;</p><p>　　NAT的缺點和包過濾防火墻的缺點是一樣的。雖然可以保障內(nèi)部網(wǎng)路的安全，但它也是一些類似的局限。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT做外部連接，就像它可以穿過包過濾防火墻一樣的容易。</p><p>　　注意：現(xiàn)在有很多廠商開發(fā)的防火墻，特別是狀態(tài)/動態(tài)檢測防火墻，出了他們應該具有的功能外也提供了NAT的功能。</p><p&

38、gt;<b>　　5.個人防火墻</b></p><p>　　個人防火墻的優(yōu)點有：</p><p>　　增加了保護級別，不需要額外的硬件資源。</p><p>　　個人防火墻出了可以抵擋攻擊的同時，還可以抵擋內(nèi)部的攻擊。</p><p>　　個人防火墻是對公共網(wǎng)絡中的單個系統(tǒng)提供了保護。例如一個家庭用戶使用的是Modem

39、活ISDN/ADSL上網(wǎng)，可能一個硬件防火墻對于他來說實在是太昂貴了，或者說是太麻煩了。二個人防火墻已經(jīng)能夠用戶隱蔽暴露在網(wǎng)路上的信息，比如IP地址之類的信息等。</p><p><b>　　個人防火墻的缺點：</b></p><p>　　個人防火墻主要的缺點就是對公共網(wǎng)絡只有一個屋里借口。要記住，真正的防火墻應當監(jiān)視控制兩個或更多的網(wǎng)絡接口之間的通信。這樣一來的話，

40、個人防火墻本身可能會容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡通信可以繞過防火墻的規(guī)則。</p><p>　　好了，在上面我們已經(jīng)介紹了積累防火墻，并討論了每種防火墻的優(yōu)缺點。要記住，任何一種防火墻只是為網(wǎng)絡通信或者數(shù)據(jù)傳輸提供了更有保障的安全性，但是我們也不能完全依賴于防火墻。除了靠防火墻保障安全的同時，我們也要加固系統(tǒng)的安全性，提高自身的安全意識。這樣一來，數(shù)據(jù)以及Web站點就會更有安全保障。</p&

41、gt;<p>　　第三節(jié) 防火墻的功能概述</p><p>　　防火墻是網(wǎng)絡安全的屏障：</p><p>　　一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可以利用這些脆弱的

42、協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。</p><p>　　防火墻可以強化網(wǎng)絡安全策略：</p><p>　　通過防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全網(wǎng)絡問題分散到個主機上相比，防火墻的集中安

43、全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各主機上，而集中在防火墻一身上。</p><p>　　對網(wǎng)絡存取和訪問進行監(jiān)控審計：</p><p>　　如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收

44、集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠低檔攻擊者的探索和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。</p><p>　　防止內(nèi)部信息的外泄：</p><p>　　通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡

45、非常關心的問題，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部的某些安全漏洞。使用防火墻就可以隱蔽哪些內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了宿主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以指導一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可

46、以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。</p><p>　　除了安全作用防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)路技術體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障</p><p>　　第四節(jié) 防火墻工作原理分析</p

47、><p>　　防火墻就是一種過濾塞，你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。</p><p>　　天下的防火墻至少都會說兩個詞：Yes或是No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：由的取代系統(tǒng)上已

48、經(jīng)裝備的TCP/IP協(xié)議棧；由的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由起一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?lt;/p><p>　　所有的防火墻都具有IP地址過濾功能，這項

49、任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個網(wǎng)段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶機。</p><p>　　當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑

50、將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機</p><p>　　現(xiàn)在我們“命令”（用專業(yè)術語來說就是配制）防火墻吧所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數(shù)據(jù)沒法轉發(fā)，那么只有和UNIX計算機的在一個網(wǎng)段的用戶才能訪問UNIX計算機了。</p>&

51、lt;p>　　還有一種情況，你可以命令防火墻專給那臺可憐的PC機找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根本IP地址做轉發(fā)判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根本地址的轉發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。</p>

52、<p>　　服務器TCP/UDP端口過濾</p><p>　　僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多重通信服務，比方說，我們不想讓用戶采用telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵箱服務器吧？所以說，在地址外我們還要對服務器的TCP/UDP端口進行過濾。</p><p>　　比如，默認的tel

53、net服務連接端口號是23.假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了。這樣，我們把IP地址和目標服務器TCP/UDP端口結合起來不就可以作為過濾標準來實現(xiàn)相當可靠的防火墻了嗎？不，沒這么簡單。</p><p>　　客戶機也有TCP/UDP端口</p>&l

54、t;p>　　TCP/UDP是一種端對端協(xié)議，每個網(wǎng)絡節(jié)點都能具有唯一的地址。網(wǎng)絡節(jié)點的應用層也是這樣，處于應用層的每個層的每個應用程序和服務都具有自己對應“地址”，也就是端口號。地址和端口都具備了才能建立客戶機和服務起器的各種應用之間的有效通信聯(lián)系。比如，telnet服務器在端口23偵聽入站連接。同時telnet客戶也有一個端口號，否則客戶機的IP桟怎么知道某個數(shù)據(jù)包是屬于那個應用程序的呢？</p><p>

55、;　　由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務器上的服務所用。所以，除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進入網(wǎng)絡，否則各種網(wǎng)絡連接都沒法正常工作。</p><p><b>　　幾種典型的防火墻</b></p><p><b>

56、;　　天網(wǎng)防火墻系統(tǒng)</b></p><p>　　天網(wǎng)防火墻系列產(chǎn)品功能全面，其代表產(chǎn)品有天網(wǎng)防火墻、天網(wǎng)防火墻個人版、天網(wǎng)在線檢測系統(tǒng)等這些產(chǎn)品都具有較高的功能。</p><p><b>　　功能概述：</b></p><p>　　天網(wǎng)防火墻能提供強大的訪問控制、身份認證、數(shù)據(jù)過濾、流量控制、虛擬網(wǎng)橋等功能。它還具有DdoS、Do

57、S攻擊防御網(wǎng)關、完全高保密的VPN功能、先進行的負載分擔能力、特有的TCP標志檢測功能，以及強大的URL級攔截與內(nèi)容過濾的級數(shù)。它可以實現(xiàn)方便的地址轉換、透明網(wǎng)橋、網(wǎng)絡黑洞、雙機熱備份等技術。</p><p>　　第二節(jié) FortiGate病毒防火墻</p><p>　　Fortonet病毒防火墻是一種基于ASIC硬件體系結構的新型網(wǎng)絡安全設備。</p><p>　

58、　FortiGate系列擁有十二款不同產(chǎn)品，包括合適于個人辦公環(huán)境、小型商務、中小型企業(yè)產(chǎn)品、以及大型企業(yè)和運營服務商的千兆防御網(wǎng)關。</p><p><b>　　功能概述：</b></p><p>　　該防火墻是一個易于管理的安全設備，它提供了以套完整的功能，包括：應用層服務和網(wǎng)絡服務。它支持應用層服務，包括防病毒保護和全內(nèi)容掃描過濾。</p><

59、;p>　　FortiGate防病毒增強了網(wǎng)絡的安全性，避免了網(wǎng)絡澤源的誤用和濫用，可以更好地使用通信資源而不降低網(wǎng)絡功能。</p><p>　　www.doc88.com/p-706555543301.html</p><p>　　第三節(jié) CISCO PIX防火墻系統(tǒng)</p><p>　　Cisco pix防火墻是CISCO防火墻家族中的專業(yè)防火墻。Cisc

60、o pix防火墻提供全方位的保護，對外部網(wǎng)絡完全屏蔽內(nèi)部網(wǎng)絡的系統(tǒng)結構，并采用了基于適應性安全算法為用戶提供很高級別安全保護。</p><p><b>　　功能概述：</b></p><p>　　Cisco pix防火墻的主要功能有企業(yè)級的安全性，包括狀態(tài)監(jiān)測防火錢、VPN、入侵檢測、多媒體支持和語言安全等，強大的辦公室聯(lián)網(wǎng)功能，可以提供動靜態(tài)的網(wǎng)絡地址解析和端口地址

61、解析等功能，豐富的遠程管理功能。</p><p>　　第四節(jié) 方正數(shù)碼公司的方御防火墻系列產(chǎn)品</p><p>　　方御防火墻是一體化的硬件產(chǎn)品，通過與硬件的深層結合，采用3I技術，實現(xiàn)快速匹配。它可根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問和監(jiān)測。同時還對任何網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控</p><p><b>　　功能概述：</b>&l

62、t;/p><p>　　方御防火墻入侵檢測系列集成了網(wǎng)絡監(jiān)聽監(jiān)控、實時協(xié)議分析、通過對入侵行為分析以及詳細日志審計跟蹤，對黑客入侵進行全方位的檢測。它有較完備的網(wǎng)絡上的計算機的惡意用戶和程序</p><p>　　在windows xp sp2中， windows防火墻有了許多新增特性，其中包括：</p><p>　　默認對計算機的所有連接啟用、應用于所有連接的全新的全

63、局配置選項、用于全局配置的新增對話框集、全新的操作模式、啟用安全性、本地網(wǎng)絡限制、異常流量可以通過應用程序文件指定對internet協(xié)議第6版（ipv6）的內(nèi)建支持</p><p>　　采用netsh和組策略的新增配置選項</p><p>　　本文將詳細描述用于手動配置全新的windows防火墻的對話框集。與windows xp（sp2之前的版本）中的icf設置不同，這些配置對話框可同時配

64、置ipv4和ipv6流量。</p><p>　　Windows xp（sp2之前的版本）中的icf設置包含單個復選框（在連接屬性的“高級”復選框）和一個“設置”按鈕，您可以使用該按鈕來設置流量、日志設置和允許的icmp流量。</p><p>　　在windows xp sp2中，連接屬性的“高級”選項卡上的復制框被替換成了一個“設置”按鈕，您可以使用該按鈕來配置常規(guī)設置、程序和服務的權限，

65、指定于連接的設置、日志設置和允許的icmp流量。</p><p>　　“設置”按鈕將運行全新的windows防火墻控制面板程序（可在“網(wǎng)絡和internet連接與安全中心”類別中找到）. 新的windows防火墻對話框包含以下選項卡：</p><p>　　“常規(guī)”“異?！?“高級” “常規(guī)”選項卡在“常規(guī)”選項卡上，您可以選擇以下選項：</p><p><b&

66、gt;　　“啟用(推薦)”</b></p><p>　　選擇這個選項來對“高級”選項卡上選擇的所有網(wǎng)絡連接就用windows防火墻。</p><p>　　Windows防火墻居用將僅允許請求的和異常的傳入流量。異常流量可在“異常”選項卡上進行配置。</p><p>　　“不允許異常流量”單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。“異

67、常”選項卡上的設置將被忽，所有的連接都將受到保護，而不管“高級”選項卡上的設置如何。</p><p>　　“禁用”選項這個選項來禁用windows防火墻。不推薦這樣做，特別是對于通過internet直接訪問的網(wǎng)絡連接。</p><p>　　注意對于運行windows xp sp2的計算機的所有連接和新創(chuàng)建的連接，windows防火墻的默認設置是“啟用（推薦）”。這可能會影響哪些依賴未請求

68、的傳入流量的程序或服務的通信。在這樣的情況下，您必須識別出哪些已不再運作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端（如：outlook express），不依賴未請求的傳入流量，因而能夠在啟用windows防火墻的情況下正確地運作。</p><p>　　如果您在使用組策配置運行windows xp sp2的計算機的windows的防火墻，您所配置的組策設置可能不

69、允許進行本地配置。在這樣的情況下，“常規(guī)”選項卡和其他選項卡上的選項可能是灰色的，而無法選項，甚至本地管理員也無法進行選項。</p><p>　　其于組策的windows防火墻設置允許您配置文件（一組將在您連接到一個包含域控制器的網(wǎng)絡時所應用的windows防火墻設置）和標準配置文件（一組將在您連接到像internet這樣沒有包含域控制器的網(wǎng)絡時所應用的windows防火墻設置）。這些配置對話框僅顯示當前所應用的

70、配置文件的windows防火墻設置。要查看當前未應用的配置文件的設置，可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置，可使用netsh firewall set 命令。</p><p>　　“異常”選項卡在“異?！边x項卡上，您可以啟用或禁用某個現(xiàn)有的程序或服務，或者維護用于定義異常流量的程序或服務的列表。當選中“常規(guī)”選項卡上“不允許異常流量”選項時，異常流量將被拒絕。&l

71、t;/p><p>　　對于windows xp (sp2 之前的版本)，您只能根據(jù)傳輸控制協(xié)議（tcp）或用戶數(shù)據(jù)報協(xié)議（udp）端口來定義異常流量。對于windows xp sp2,您可以根據(jù)tcp和udp端口或者程序或服務的文件名來定義異常流量。在程序或服務的tcp和udp端口未知或需要在程序或服務啟動時動態(tài)確定的情況下，這種配置靈活性使得配置異常流量更加容易。</p><p>　　已有一

72、組預先配置的程序和服務，其中包括：</p><p>　　文件和打印共享、遠程助手（默認啟用）、遠程桌面、upnp框架，這些預定義的程序和服務不可刪除。</p><p>　　如果組策允許，您還可以通過單擊“添加程序”，創(chuàng)建其于指定的程序名稱的附加異常流量，以及通過單擊“添加端口”，創(chuàng)建其于指定的tcp或udp端口的異常流量。</p><p>　　當您單擊“添加端口”時

73、，將單出“添加端口”對話框，您可以在其中配置一個tcp或udp端口。</p><p>　　全新的windows防火墻的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發(fā)起異常流量的網(wǎng)段。在定義程序或端口的范圍時，您有兩種選擇：</p><p>　　“任何計算機”允許異常流量來自任何ip地址。“僅只是我的網(wǎng)絡（子網(wǎng)）”</p><p>　　僅允許異常流量來自如下ip

74、地址，它與接收該流量的網(wǎng)絡連接所連接到的本地網(wǎng)段（子網(wǎng)）相配。列 如，如果該網(wǎng)絡連接的ip地址被配置為 192 .168.0.99，子網(wǎng)掩得碼為255.255.0.0，那么異常流量僅允許來自192.168.0.1到192.168.255.254范圍內(nèi)的ip地址。</p><p>　　當您希望允許本地家庭網(wǎng)絡上全都連接到相同子網(wǎng)上的計算機以訪問某個程序或服務，但是又不希望允許替在的惡意internet用戶進行訪問，

75、那么“僅只是我的網(wǎng)絡（子網(wǎng)）”設定的地址范圍很有用。</p><p>　　一旦添加了某個程序或端口，它在“程序和服務”列表中就被默認禁用。</p><p>　　在“異常”選項卡上啟用的所有程序或服務對“高級”選項卡上選擇的所有連接都處于啟用狀態(tài)。</p><p>　　“高級”選項卡“高級”選項卡包含以下選項：網(wǎng)絡連接設置、安全日志、icmp、默認設置</p&g

76、t;<p>　　第四章 防火墻的實例配置·</p><p><b>　　“網(wǎng)絡連接設置”</b></p><p>　　在“網(wǎng)絡連接設置”中，您可以：</p><p>　　1指定要在其上啟用windows防火墻的接口集。要啟用windows防火墻，請選中網(wǎng)絡連接名稱后面的復選框。要禁用windows防火墻，則清除該復選框。

77、默認情況下，所有網(wǎng)絡連接都啟用了windows防火墻。如果某個網(wǎng)絡連接沒有出現(xiàn)在這個列表中，那么它就不是一個標準的網(wǎng)絡連接。這樣的列子包括internet服務提供商（isp）提供的自定義發(fā)號程序。</p><p>　　2、通過單擊網(wǎng)絡連接名稱，然后單擊“設置”，配置單獨的網(wǎng)絡連接的高級配置。</p><p>　　如果清除“網(wǎng)絡連接設置”中的所有復選框，那么windows防火墻就不會保護您的

78、計算機，而不管您是否在“常規(guī)”選項卡上中的“啟用（推薦）”。如果您在“常規(guī)”選項卡上選中了“不允許異常流量”，那么“網(wǎng)絡連接設置”中的設置將被忽，這種情況下所有接口都將受到保護。</p><p>　　當您單擊“設置”時，將單出“高級設置”對話框。</p><p>　　在“高級設置”對話框上，您可以在“服務”選項卡上配置特定的服務（僅根據(jù)tcp或udp端口來配置），或者在“icmp”選項卡上

79、啟用特定類型的icmp流量。</p><p>　　這兩個選項卡等價于windows xp (sp2 之前的版本)中的icf配置的設置選項卡。</p><p>　　“安全日志”在“安全日志”中，請單擊“設置”，以便在“日志設置”對話框中指定windows防火墻日志的設置，在“日志設置”對話框中，您可以配置是否要記錄丟棄的數(shù)據(jù)包或成功的連接，以及指定日志文件的名稱和位置（默認設置為system

80、rootpfirewall.log）及其最大容量。“icmp”在“icmp”中，請單擊“設置”以便在“icmp”對話框中指定允許的icmp流量類型，在“icmp”對話框中，您可以啟用和jywindows防火墻允許在“高級”選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用于診斷、報告錯誤情況和配置。默認情況下，該列表中不允許任何icmp消息。</p><p>　　診斷連接問題的一個常用步驟是使用pin

81、g工具檢驗您嘗試連接到的計算機地址。在檢驗時，您可以發(fā)送一條icmp echo消息，然后獲得一條icmp echo reply消息作為響應。默認情況下，windows防火墻不允許傳入icmp echo消息，因此該計算機無法發(fā)回一條icmp echo reply消息作為響應。為了配置windows防火墻允許傳入icmp echo消息，您必須啟用“允許傳入的echo請求”設置。</p><p>　　“默認設置”單擊“

82、還原默認設置”，將windows防火墻重設回它的初始安裝狀態(tài)。</p><p>　　當您單擊“還原默認設置”時，系統(tǒng)會在windows防火墻設置改變之前提示您核實自己的決定。</p><p>　　詳解防火墻的配置方法</p><p>　　防火墻的具體配置方法不是千遍的，不要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火墻配置方法作一其本

83、介紹。同時，具體的防火墻策略配置會因具體的應用環(huán)境不同而有較大區(qū)別。首先介紹一些基本的配置原則。</p><p>　　Cisco PIX防火墻的基本配置</p><p>　　同樣是用一條竄行電纜從電腦的COM 口連到Cisco PIX 525防火墻的console口；</p><p>　　開啟所連電腦和防火墻的電源，進入Windows系統(tǒng)自帶的”超級終端”，通訊參數(shù)

84、可按系統(tǒng)默然。進入防火墻初始配置，在其中主要設置有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個初始化設置了。此時的提示符為：pix255>。</p><p>　　輸入enable命令，進入Pix 525特權用戶模式，默然密碼為空。</p><p>　　如果要修改

85、此特權用戶模式密碼，則可用enable password命令，命令格式為：enable password [encrypred]，這個密碼必須大于16位。Encrypted選項是確定所加密碼是否需要加密。</p><p>　　4、定義以太端口：先必須用enable命令進入特權用戶模式，然后輸入configure terminal（可簡稱為config t）,進入全局配置模式模式。具體配置</p>&

86、lt;p>　　Pix525>enable</p><p><b>　　Password:</b></p><p>　　Pix525#config t</p><p>　　Pix525(config)#interface ethernet0 auto</p><p>　　Pix525(config)#inter

87、face ethernet1 auto</p><p>　　在默認情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。</p><p><b>　　5、clook</b></p><p>　　配置時鐘，這也非常

88、重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期都不準確，也就無法正確分析記錄中的信息。這須在全局配置模式下進行。</p><p>　　時鐘時鐘命令格式有兩種，主要日期格式不同，分別為：</p><p>　　Clock set hh:mm:ss month day month year 和clock set hh:mm:ss day month year</p&g

89、t;<p>　　前一種格式為：小時：分鐘：秒 月 日 年；而后一種格式為：小時：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時間上如果為0，可以為一位，如：21:0:0</p><p>　　6、指定接口的安全級別</p><p>　　指定接口安全級別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡接口指定一個適當?shù)陌踩墑e。在此要注意，防火墻是用來保護內(nèi)部網(wǎng)絡的，外部網(wǎng)絡是

90、通過外部接口對內(nèi)網(wǎng)絡構成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡的安全，需要對外部網(wǎng)絡接口指定較高的安全級別，而內(nèi)部網(wǎng)絡接口的安全級別稍低，這主要是因為內(nèi)部網(wǎng)絡通信頻繁、可信度高。在Cisco PIX系統(tǒng)防火墻中，安全級別的定義是由security()這個參數(shù)決定的，數(shù)字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級別也相應降低，如下列：</p><p>　　Pix525(conf

91、ig)#nameif Ethernet0 outside security0#outside是指外部接口</p><p>　　Pix525(config)#nameif ethernet1 inside security100#inside 是指內(nèi)部接口</p><p>　　7．配置以太網(wǎng)接口IP地址</p><p>　　所用命令為:ip address,如需配置防

92、火墻上的內(nèi)部網(wǎng)接口IP地址為：192.168.1.0 255.255.255.0；外部網(wǎng)接口IP地址：220.154.20.0 255.255.255.0.配置方法如下：</p><p>　　Pix525（config）#ip address inside 192.168.1.0 255.255.255.0</p><p>　　Pix525(config)#ip address outsi

93、de 220.154.20.0 255.255.255.0</p><p>　　8.access-group</p><p>　　這個命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進行配置。命令格式為：access-group acl-ID in interface interface-name,其中的’’acl-ID”是指訪問控制列表名稱，interface-name為網(wǎng)絡接口名

94、稱。如：</p><p>　　access-group acl-out in interface outside,在外部網(wǎng)絡接口上綁定名稱為”acl-out”的訪問控制列表。</p><p>　　clear access-grouta：清除所有綁定的訪問控制綁定設置。</p><p>　　no access-group acl-ID in interface-nam

95、e:清除指定的訪問控制綁定設置。</p><p>　　show access-group acl-ID in interface interface-name:顯示指定的訪問控制綁定設置。</p><p><b>　　9.配置訪問列表</b></p><p>　　所用配置命令為：access-list,合格格式比較復雜，如下：</p>

96、;<p>　　標準規(guī)則的創(chuàng)建命令：access-list[normal special ] listnumber1 {permit deny}source-addr[soutce-mask]</p><p>　　擴展規(guī)則的創(chuàng)建命令：access-list[normal special ] listnumber2{permit deny} source-addr source-mask

97、 [operator port1[port2] ]dest-addr dest-mask[operatot port1[port2] icmp-type[icmp-code] ] [log]</p><p>　　它是防火墻的主要配置部分，上述格式中帶“[]”部分是可選項，listnumber參數(shù)是規(guī)則號。標準規(guī)則號（listnumber1）是1~99之間的整數(shù)，而擴展規(guī)則號（listnumber2）是100~19

98、9之間的整數(shù)。它主要是通過服務權限“permit”和”deny”來指定的。網(wǎng)絡協(xié)議一般有IP TCP UDP ICMP等等。如只允許訪問通過防火墻對主機：220.154.20,。254進行www訪問，則可按以下配置：</p><p>　　Pix525(config)#access-liet 100 permit 220.154.20.254 ep www</p><p>　　其中的

99、100表示訪問規(guī)則號，根據(jù)當前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重要，也必須是正整數(shù)。關于這個命令還將在下面的高級配置命令中詳細介紹。</p><p>　　10.地址轉換（NAT）</p><p>　　防火墻的NAT配置路由器的NAT配置基本一樣，首先也必須定義供NAT轉換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。</p><p>　　定義供NAT轉換的內(nèi)部地址組的

100、命令是nat，它的格式為：NAT[(if-name)] nat-id local-ip [netmask[max-conns[]em-limit]]],其中if-name為接口名；nat-id參數(shù)代表內(nèi)部地址組號；而local-ip為本地網(wǎng)絡地址；netmask為子網(wǎng)掩碼；max-conns 為此接口上允許的最大TCP連接數(shù)，默認為“0”，表示不限制連接；em-limit為允許從此端口發(fā)出的連接數(shù)，默認也為“0”，不限制。如：</

101、p><p>　　Nat(inside)1 10.1.6.0 255.255.255.0</p><p>　　表示把所有網(wǎng)絡地址10.1.6.0,子網(wǎng)掩碼255.255.255.0的主機地址定義為1號NAT地址組。</p><p>　　隨后再定義內(nèi)部地址轉換后可用的外部地址池，它搜用的命令為global,基本命令格式為Global[(if-name)]nat-id glo

102、bal-ip [natmask[max-conns[em-limit]]],各參數(shù)解釋同上。如：</p><p>　　Global(outside)1 175.1.1.3-175.1.1.64 netmask 255.255,255.0</p><p>　　將上述nat命令所定的內(nèi)部IP地址組轉換成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子網(wǎng)掩碼為255.2

103、55.255.0.</p><p>　　11.port Redirection with Statics</p><p>　　這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶提通過一個特殊的IP地址、端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉換端口（PAI），或者是共享的外部端口。這

104、種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務器，這種方式并不是直接與內(nèi)部服務器連接，而是通過端口重定向連接的，所以可使用內(nèi)部服務器很安全。</p><p>　　命令格式有兩種，分別適用于TCP/UDP通信；</p><p>　　static[(internal_if_name, external_if_name)]{global_ip interface}local_ip【net

105、mask mask】 max_conns [emb_limit[norandomseq]]]</p><p>　　static[(internal_if_name,external_if_name)]{tcpudp}[global_ipinterface]global_port local_ip local_part local_ip local_port [netmask mask][mas_conns [em

106、b_limit[norandomseq]]]</p><p>　　此命令中的以上各參數(shù)解釋如下；</p><p>　　Internal_if_name;內(nèi)部接口名稱；external_if_name：外部接口名稱；{tcpudp}:選擇通信協(xié)議類型；{global_ip interface}:重定向后的外部IP地址或共享端口；local_ip:代本地IP地址：[netmask mask]

107、:本地子網(wǎng)掩碼：max_conns:允許的最大TCP連接數(shù)，默認為“0”，不限制：emb_limit:允許從此端口發(fā)起的連接數(shù)，默認也為“0”，不限制；norandomseq:不對數(shù)據(jù)包，此參守護通常不用選。</p><p>　　第三節(jié) 防火墻典型配置舉例</p><p><b>　　組網(wǎng)需求</b></p><p>　　該公司通過一臺Qu

108、idway路由器的來接口Serial 0訪問Internet,格公司內(nèi)部對外提供WWW、FTP和Telnet服務，公司內(nèi)部子網(wǎng)為129.38.1.0其中，內(nèi)部FTP服務器地址為129.38.1.1，內(nèi)部Telnet服務器地址為129.38.1.2，內(nèi)部WWW服務器地址為129.38.1.3，公司對外電子為202.38.160.1.在路由器上配置了地址轉換，這樣內(nèi)部PC及可以訪問Internet,外部PC可以訪問內(nèi)部服務器。通過配置防火墻

109、，希望實現(xiàn)以下要求：</p><p>　　外部網(wǎng)絡只是特定用戶可以訪問內(nèi)部服務器</p><p>　　內(nèi)部網(wǎng)絡只有特定主機可以訪問外部網(wǎng)絡</p><p>　　在本咧中，假定外部特定用戶的IP地址為202.39.2.3</p><p><b>　　組網(wǎng)圖</b></p><p><b>

110、　　配置步驟</b></p><p><b>　　#打開防火墻功能</b></p><p>　　[Quidway]firewall enable</p><p>　　#配置防火墻缺省過方式允許包通過</p><p>　　[Quidway]firewall enable</p><p>

111、　　#配置訪問規(guī)則禁止所有包通過</p><p>　　[Quidway]acl 101</p><p>　　[Quidway-acl-101]ruledeny ip source any destination any</p><p>　　#配置規(guī)則允許特定主機服務外部網(wǎng)，允許內(nèi)部服務器訪問外部網(wǎng)</p><p>　　[Quidway-acl

112、-101]rule permit ip source 129.38.1.4.0 destination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.1.0destination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.2.0 d

113、estination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.3.0destination any</p><p>　　#配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部服務器。</p><p>　　[Quidway-acl-101]acl 102</p><p>　　[

114、Quidway-acl-102]rule permit tcp source 202.39.2.3.0dstination any202 .38.160.1.0</p><p>　　#配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)（只允許端口大小1024的包）</p><p>　　[Quidway-acl-102]rule permit tcp source any destination 202.

115、38.160.1 0.0.0-filt.0 destination-port greater-than 1024</p><p>　　#將規(guī)則101作用于從接口Ethernet0進入的包。</p><p>　　[Quidway-Ethernet0]firewall packet-filter 101 inbound</p><p>　　#將規(guī)則102作用于接口Ser

116、ia10進入的包。</p><p>　　[Quidway-Seria10]firewall packet-filter 102 inbound</p><p>　　第五章、防火墻的基本類型</p><p>　　防火墻的基本類型包括包過濾、網(wǎng)絡地址轉化—NAT、應用代理和狀態(tài)檢測。</p><p>　　第一節(jié) 包過濾　　</p>

117、<p>　　包過濾是防火墻的初級類型,依靠自身的數(shù)據(jù)安全保護機制來控制流出和流入網(wǎng)絡的數(shù)據(jù)。它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間；可根據(jù)地址薄進行設置規(guī)則。其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火

118、墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判規(guī)則。</p><p>　　第二節(jié) 網(wǎng)絡地址轉化—NAT</p><p>　　網(wǎng)絡地址轉換是一種用于把內(nèi)部IP地址轉換成臨時的、注冊的外部IP地址。網(wǎng)絡地址轉換允許具有私有IP地址的內(nèi)部網(wǎng)絡通過地址轉換訪問因特網(wǎng)，用戶不許

119、要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄，系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。使得有限的外網(wǎng)IP就能滿足內(nèi)網(wǎng)用戶對外網(wǎng)的訪問，同時還能夠避免受到來自外部其他網(wǎng)絡的非授權訪問或惡意攻擊。緩解了地址空間的短缺問題，節(jié)省了資源，降低了成本。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡

120、的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。 </p><p><b>　　第三節(jié) 應用代理</b></p><p>　　代理型防火墻的優(yōu)點是安全性較高。應用代理完全接管了用戶與服務器的訪問，把用戶主機與服務器之間的數(shù)據(jù)包的交換通道給隔離起來。應用代理不允許外部主機連接到內(nèi)部的網(wǎng)絡，只允許內(nèi)部主機使用代理服務器訪問Internet主機，同時只有被認

121、為""可信任的""代理服務器才可以允許通過應用代理。在實際的應用中，應用代理的功能是由代理服務器來完成的。[本文轉自：lunwen.1kejian.com]</p><p><b>　　第四屆 狀態(tài)檢測</b></p><p>　　狀態(tài)檢測防火墻是新一代的防火墻技術，由Check Point公司引入。它監(jiān)視每一個有效連接的狀態(tài)，

122、并根據(jù)這些信息決定網(wǎng)絡數(shù)據(jù)包是否能夠通過防火墻。通過狀態(tài)檢測技術，動態(tài)地維護各個連接的協(xié)議狀態(tài)。狀態(tài)檢測在包過濾的同時，檢查數(shù)據(jù)包之間的關聯(lián)性和數(shù)據(jù)包中的動態(tài)變化。</p><p>　　第六章 防火墻的未來發(fā)展方向</p><p>　　在防火墻性能和功能不斷發(fā)展的同時, 大多數(shù)業(yè)內(nèi)專家認為, 以下五個方面將是未來防火墻的發(fā)展方向。</p><p>　　第一節(jié) 防火墻