防火墻知識介紹培訓(xùn)講學(xué)

1、防火墻知識介紹網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為： 計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重 電腦黑客活動已形成重要威脅 信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn) 信息系統(tǒng)在預(yù)測、防范、反應(yīng)和恢復(fù)能力方面存在許多薄弱環(huán)節(jié) 網(wǎng)絡(luò)政治顛覆活動頻繁 網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 據(jù)統(tǒng)計，目前美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失超過170億美元，德國、英國也均在數(shù)十億美元以上，法國為100億法郎，日本、新加坡問題也很嚴(yán)重。在國際刑法界列舉的現(xiàn)代社會新型犯罪排行榜上，計算機(jī)犯罪已名列榜首。 200

2、3年，CSI/FBI調(diào)查所接觸的524個組織中，有56%遇到電腦安全事件，其中38%遇到15起、16%以上遇到11起以上。因與互聯(lián)網(wǎng)連接而成為頻繁攻擊點的組織連續(xù)3年不斷增加；遭受拒絕服務(wù)攻擊(DoS)則從2000年的27%上升到2003年的42%。調(diào)查顯示，521個接受調(diào)查的組織中96%有網(wǎng)站，其中30%提供電子商務(wù)服務(wù)，這些網(wǎng)站在2003年1年中有20%發(fā)現(xiàn)未經(jīng)許可入侵或誤用網(wǎng)站現(xiàn)象。更令人不安的是，有33%的組織說他們不知道自己的網(wǎng)站是否受到損害。據(jù)統(tǒng)計，全球平均每20s就發(fā)生1次網(wǎng)上入侵事件，黑客一旦找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會遭殃。 國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀 從國內(nèi)情況來

3、看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點。 據(jù)2001年調(diào)查，我國約73%的計算機(jī)用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。 近年來，國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。據(jù)某市信息安全管理部門統(tǒng)計，2003年第1季度內(nèi)，該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統(tǒng)癱瘓。 網(wǎng)絡(luò)風(fēng)險網(wǎng)絡(luò)風(fēng)險 業(yè)內(nèi)安全專家公認(rèn)：所謂的“周界殺手”蠕蟲和“零日攻擊”將大量增加，這將是目前及今

4、后網(wǎng)絡(luò)安全面臨的最大威脅。 （“周界殺手”：那些不通過傳統(tǒng)的電子郵件方式傳播而是通過進(jìn)攻系統(tǒng)、軟件的漏洞而對網(wǎng)絡(luò)實施攻擊的病毒軟件） （“零日攻擊”： 病毒或蠕蟲利用操作系統(tǒng)或者軟件某個未知和未修補(bǔ)的漏洞發(fā)起攻擊） 基于“零日”漏洞而制造的一種“沖擊波”式的蠕蟲可以毀壞計算機(jī)網(wǎng)絡(luò)，并使管理人員對網(wǎng)絡(luò)保護(hù)束手無策。 部署防火墻的必要性部署防火墻的必要性 基于目前網(wǎng)絡(luò)安全的現(xiàn)狀，為了保證網(wǎng)絡(luò)的安全，防止機(jī)密信息被盜取，各企業(yè)、政府機(jī)關(guān)、高校等均紛紛采取相應(yīng)的安全措施，而防火墻則一般是眾多網(wǎng)絡(luò)安全產(chǎn)品中首要考慮的重要一環(huán)，是網(wǎng)絡(luò)的第一道安全門坎。提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念防火墻概念 防火墻關(guān)

5、鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢什么是防火墻什么是防火墻信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò)網(wǎng)絡(luò)的唯一通路防火墻，F(xiàn)irewall，是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的行為，本身具有較強(qiáng)的抗網(wǎng)絡(luò)攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻的分類防火墻的分類 從產(chǎn)品形式上分為： 軟件防火墻：純軟件防火墻，安裝在操作系統(tǒng)之上 硬件防火墻：硬件/軟件一體化防火墻（X86結(jié)構(gòu)）、ASIC芯片級防火墻、網(wǎng)絡(luò)處理器（Network Processo

6、r，NP處理器）架構(gòu)防火墻 從部署位置上分為： 網(wǎng)關(guān)防火墻：邊界防火墻，部署于網(wǎng)絡(luò)邊界出口處 個人防火墻：多為軟件防火墻，安裝在單個主機(jī)系統(tǒng)上 分布式防火墻：包括邊界防火墻、主機(jī)防火墻以及集中管理平臺，把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中各臺主機(jī)，準(zhǔn)確地說，它不是一個單一的產(chǎn)品，而是一個完整的體系防火墻的分類防火墻的分類 從產(chǎn)品性能上分為： 百兆防火墻 千兆防火墻 從發(fā)展歷程上分為： 包過濾防火墻：基本包過濾訪問控制功能，安全性差 應(yīng)用代理防火墻：應(yīng)用代理功能，支持應(yīng)用層內(nèi)容級控制，但是支持協(xié)議有限 狀態(tài)檢測防火墻：跟蹤網(wǎng)絡(luò)會話狀態(tài)實現(xiàn)訪問控制，性能好，安全性高 復(fù)合型防火墻：結(jié)合狀態(tài)檢測、應(yīng)用

7、代理以及眾多其他功能，功能強(qiáng)大，安全性高提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù)防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢（一）包過濾訪問控制（一）包過濾訪問控制源目標(biāo)許可協(xié)議Host AHost C允許TCPHost BHost C阻止UDPHost CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP/udp包頭 數(shù)據(jù)包過濾的判斷信息數(shù)據(jù)包包過濾工作原理包過濾工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPET

8、HIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP數(shù)據(jù)TCP只檢查包頭 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口（二）狀態(tài)檢測工作原理（二）狀態(tài)檢測工作原理Host A數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP包頭數(shù)據(jù)數(shù)據(jù)包控制策略狀態(tài)檢測可以結(jié)合前一數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析，以此來判別數(shù)據(jù)包是否允許通過。IP包頭TCP包頭數(shù)據(jù)IP包頭TCP包頭數(shù)據(jù)狀態(tài)檢測的判斷信息建立連接狀態(tài)表狀態(tài)檢測工作原理狀態(tài)檢測工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)

9、TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查包頭建立連接狀態(tài)表檢查檢查 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口 TCP通信的連接狀態(tài) UDP/ICMP通信的通信狀態(tài)（三）應(yīng)用代理的工作原理（三）應(yīng)用代理的工作原理Host CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP報頭TCP報頭數(shù)據(jù)包過濾及狀態(tài)檢測的判斷信息數(shù)據(jù)包控制策略應(yīng)用代理的判斷信息應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，以此來判別數(shù)據(jù)包

10、是否允許通過。應(yīng)用代理工作原理應(yīng)用代理工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查數(shù)據(jù)（四）地址轉(zhuǎn)換（四）地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation，簡稱NAT，是用于將一個地址域如專用Intranet映射到另一個地址域如Internet的標(biāo)準(zhǔn)方法。NAT對終端用戶是透明的，用于全球唯一注冊地址連接私有地址域到外部域。 RFC1597 “專用網(wǎng)絡(luò)地址分配”規(guī)定，以下地址為保留地址，路由器不在互聯(lián)網(wǎng)上對這

11、些地址進(jìn)行路由選擇：--55--55--55 一般在內(nèi)部網(wǎng)絡(luò)均選用以上保留地址作為私有地址進(jìn)行NAT，轉(zhuǎn)換成合法注冊地址訪問互聯(lián)網(wǎng)。地址轉(zhuǎn)換技術(shù)種類地址轉(zhuǎn)換技術(shù)種類 NAT技術(shù)有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PortLevel NAT） 靜態(tài)NAT：內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址（一個公有地址對應(yīng)一個私有地址 ） 動態(tài)NAT：在外部網(wǎng)絡(luò)中定義了一系列的合

12、法地址，采用動態(tài)分配的方法分配給內(nèi)部網(wǎng)絡(luò)私有地址（多個公有地址對應(yīng)一大群私有地址） NAPT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上（一個公有地址對應(yīng)一大群私有地址）地址轉(zhuǎn)換工作原理地址轉(zhuǎn)換工作原理WANA:0S=0:2733D=:80B:0LAN-ALAN-BNAPT：/24 靜態(tài)NAT：0 S=:3236D=:80S=:3236D=:80S=202.2.2

13、.2:3236D=0:80網(wǎng)絡(luò)A中A主機(jī)訪問網(wǎng)絡(luò)B中B服務(wù)器www服務(wù)的NAT過程地址轉(zhuǎn)換的作用地址轉(zhuǎn)換的作用 解決IP地址不足的問題 隱藏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢防火墻功能一覽（防火墻功能一覽（1） 訪問控制：根據(jù)數(shù)據(jù)包的源/目的IP地址、源/目的端口、協(xié)議、流量、時間等參數(shù)對數(shù)據(jù)包進(jìn)行訪問控制 地址轉(zhuǎn)換：源地址轉(zhuǎn)換（SNAT）、目的地址轉(zhuǎn)換（DNAT）、雙向地址轉(zhuǎn)換（IP映射） 靜態(tài)路由/策略路由：靜態(tài)路由：基于目的地址的路由選擇；策略路由：基

14、于源地址和目的地址的策略路由選擇 工作模式：路由模式、網(wǎng)橋模式（交換/透明模式）、混雜模式（路由+網(wǎng)橋模式并存） 接入支持：防火墻接口類型一般有GBIC、以太網(wǎng)接口等；接入支持靜態(tài)IP設(shè)置、DHCP、PPPoE（比如ADSL接入）等防火墻功能一覽（防火墻功能一覽（2） VPN： 分為點到端傳輸模式（PPTP協(xié)議）和端到端隧道模式（IPSec，IPIP，GRE隧道），支持DES、3DES、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1認(rèn)證算法；VPN功能支持NAT穿越 IP/MAC綁定：IP地址與MAC地址綁定，防止IP盜用，防止內(nèi)網(wǎng)機(jī)器有意/無意搶占

15、關(guān)鍵服務(wù)器IP DHCP：內(nèi)置DHCP Server為網(wǎng)絡(luò)中計算機(jī)動態(tài)分配IP地址；DHCP Relay的支持能為防火墻不同端口的DHCP Server和計算機(jī)之間動態(tài)分配IP地址 虛擬防火墻：在一臺物理防火墻設(shè)備上提供多個邏輯上完全獨立的虛擬防火墻，每個虛擬防火墻為一個特定的用戶群提供安全服務(wù) 應(yīng)用代理：HTTP、FTP、SMTP等協(xié)議應(yīng)用代理，大多數(shù)內(nèi)容級過濾通過應(yīng)用代理實現(xiàn) 防火墻功能一覽（防火墻功能一覽（3） 認(rèn)證支持：是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個或多個認(rèn)證方案，如內(nèi)置用戶認(rèn)證、數(shù)字證書、RADIUS、OTP、LDAP、SECURE ID、Kerberos、TACA

16、CS/TACACS等等。防火墻能夠為本地或遠(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證 ARP代理：防火墻代理應(yīng)答特定的ARP請求，在特殊網(wǎng)絡(luò)環(huán)境中可能用到該功能 內(nèi)容過濾：內(nèi)容級過濾，比如URL過濾、WEB網(wǎng)頁內(nèi)容過濾、Java/JavaScript/Active X控件過濾、FTP命令過濾、郵件過濾、入侵過濾（特征字匹配）等等 VLAN支持：支持802.1Q、VTP、Cisco專有的Trunk 封裝協(xié)議ISL，識別VLAN數(shù)據(jù)包，實現(xiàn)VLAN間的數(shù)據(jù)包轉(zhuǎn)發(fā) 協(xié)議/應(yīng)用支持：H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、

17、OSPF 、BGP、DECnet、RTSP、VOIP、VOD、視頻會議、組播協(xié)議等等 防火墻功能一覽（防火墻功能一覽（4） 流量控制：流量控制，流量優(yōu)先級，帶寬允許條件下的優(yōu)先保障關(guān)鍵業(yè)務(wù)帶寬 防攻擊：防止各類TCP、UDP端口掃描，源路由攻擊，IP碎片包攻擊，DoS、DDoS攻擊，蠕蟲病毒以及其他網(wǎng)絡(luò)攻擊行為 內(nèi)置IDS：內(nèi)置IDS模塊，加強(qiáng)防火墻的防攻擊能力 內(nèi)置防病毒模塊：內(nèi)置防病毒模塊，在網(wǎng)關(guān)級進(jìn)行病毒防護(hù) 內(nèi)置安全評估模塊：內(nèi)置安全評估模塊，對網(wǎng)絡(luò)中的計算機(jī)、網(wǎng)絡(luò)設(shè)備等進(jìn)行漏洞掃描，做出安全評估分析，提供安全建議，及時彌補(bǔ)網(wǎng)絡(luò)中存在的安全隱患 安全產(chǎn)品聯(lián)動：防火墻與其他安全產(chǎn)品比如I

18、DS、Scanner、防病毒等的聯(lián)動功能 防火墻功能一覽（防火墻功能一覽（5） 鏈路備份/雙機(jī)熱備：在可靠性要求高的環(huán)境中，防火墻的多端口的鏈路備份以及雙機(jī)熱備功能提供了一個較好的解決方案 配置文件上傳/下載：配置文件的備份/恢復(fù)功能 SNMP：支持SNMP協(xié)議，方便網(wǎng)絡(luò)管理員對防火墻狀態(tài)進(jìn)行監(jiān)控管理 負(fù)載均衡：分為鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡 日志審計：日志存儲、備份、查詢、過濾、分析統(tǒng)計報表等 入侵響應(yīng)：日志記錄、消息框報警、郵件報警、聲音報警、發(fā)送SNMP Trap信息、手機(jī)短信報警等 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo)防火墻性能指標(biāo) 防火

19、墻發(fā)展及趨勢防火墻性能指標(biāo)（防火墻性能指標(biāo)（1） 吞吐量：吞吐量是指防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說明防火墻數(shù)據(jù)處理能力越強(qiáng) 延遲：延遲是指防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的延遲時間，延遲越低，防火墻數(shù)據(jù)處理速度越快 丟包率：丟包率是指在正常穩(wěn)定網(wǎng)絡(luò)狀態(tài)下，應(yīng)該被轉(zhuǎn)發(fā)由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)據(jù)包占全部數(shù)據(jù)包 的百分比。較低的丟包率，意味著防火墻在強(qiáng)大的負(fù)載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求 背對背（Back to Back）：是用于衡量網(wǎng)絡(luò)設(shè)備緩沖數(shù)據(jù)包能力的一個指標(biāo)，指的是固定長度的數(shù)據(jù)幀以合法的最小幀間隔在傳輸媒介上突發(fā)一段較

20、短的時間（以太網(wǎng)標(biāo)準(zhǔn)規(guī)定最小幀間隔為96bits），一般以幀數(shù)多少來表示，背對背幀數(shù)越大，緩沖能力就越強(qiáng)。網(wǎng)絡(luò)上經(jīng)常有一些 應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS，備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會 產(chǎn)生更多的數(shù)據(jù)包，防火墻強(qiáng)大的緩沖能力可以減小這種突發(fā)數(shù)據(jù)對網(wǎng)絡(luò)造成擁塞等不良影響防火墻性能指標(biāo)（防火墻性能指標(biāo)（2） 平均無故障時間：平均無故障時間（MTBF）是指防火墻連續(xù)無故障正常運行的平均時間 并發(fā)連接數(shù)：并發(fā)連接數(shù)是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)

21、最大連接速率：是指在指定時間（比如1秒）內(nèi)防火墻能成功建立的最大連接數(shù)目 乍看并發(fā)連接數(shù)越大越好，其實不然：并發(fā)連接數(shù)的增大意味著對系統(tǒng)內(nèi)存資源的消耗 并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力 物理鏈路的實際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢防火墻發(fā)展及趨勢（一）防火墻發(fā)展歷程（一）防火墻發(fā)展歷程 目前防火墻技術(shù)主要經(jīng)歷了四個發(fā)展歷程： 簡單包過濾技術(shù)階段 應(yīng)用代理網(wǎng)關(guān)技術(shù)階段 狀態(tài)檢測包過濾技術(shù)階段 復(fù)合型防火墻第一代簡單包過濾防火墻第一代簡單包過濾防火墻 優(yōu)點：

22、包過濾工作在網(wǎng)絡(luò)層和傳輸層，只對數(shù)據(jù)包的頭部信息進(jìn)行控制，過濾效率較高，性能較好 缺點： 早期的包過濾技術(shù)無法分辨IP具體來源，即無法區(qū)分該IP處于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)，這樣便不能防止IP欺騙 只對數(shù)據(jù)包的頭部信息進(jìn)行過濾，不支持應(yīng)用層協(xié)議，訪問控制粒度粗糙，靈活性低 不能處理新的安全威脅，它不能跟蹤TCP狀態(tài)，所以對TCP層的控制有漏洞。比如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式從外部對內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻 第二代應(yīng)用代理防火墻第二代應(yīng)用代理防火墻 優(yōu)點： 跟應(yīng)用層緊密結(jié)合，可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強(qiáng)，具備應(yīng)用層內(nèi)容

23、級的高級訪問控制能力，安全性較高 缺點： 并發(fā)連接數(shù)低，吞吐量小，性能非常差。對于內(nèi)網(wǎng)的每個訪問請求，應(yīng)用代理都需要開一個單獨的代理進(jìn)程；要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個個的服務(wù)代理，以處理客戶端的訪問請求。這樣，應(yīng)用代理的處理延遲會很大，內(nèi)網(wǎng)用戶的正常訪問難以及時得到響應(yīng) 支持協(xié)議有限。針對每一種應(yīng)用都需要相應(yīng)的協(xié)議分析，應(yīng)用代理網(wǎng)關(guān)防火墻只能支持一些常見常用的協(xié)議，而針對眾多的其他協(xié)議、各行業(yè)的業(yè)務(wù)應(yīng)用難以支持，不用不夠廣泛第三代狀態(tài)檢測包過濾防火墻第三代狀態(tài)檢測包過濾防火墻 優(yōu)點： 狀態(tài)檢測防火墻在內(nèi)核部分建立狀態(tài)連接表，并利用

24、狀態(tài)表跟蹤每一個數(shù)據(jù)包的會話狀態(tài)，提供了完整的對傳輸層的控制能力，安全性較高 狀態(tài)監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升 缺點： 與具體應(yīng)用結(jié)合程度較低，無法做到應(yīng)用層內(nèi)容級控制 對一些網(wǎng)絡(luò)攻擊、病毒難以防范，比如紅色代碼、nimda、沖擊波、振蕩波等。第四代復(fù)合型防火墻第四代復(fù)合型防火墻 優(yōu)點： 融合了狀態(tài)檢測、應(yīng)用代理技術(shù)，并結(jié)合了其他眾多輔助功能比如：用戶認(rèn)證、VPN、IPMAC綁定、策略路由等等，安全性高，功能強(qiáng)大，適應(yīng)范圍廣泛 缺點： 使用應(yīng)用代理功能時，性能不夠高；使用包過濾功能時，由于不檢查數(shù)據(jù)包內(nèi)容，難以防范一些網(wǎng)絡(luò)攻擊、病毒入侵（二）防火墻發(fā)展趨勢（二）防火墻發(fā)

25、展趨勢 隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，對防火墻的挑戰(zhàn)也越來越嚴(yán)峻，必然要求防火墻新技術(shù)的出現(xiàn)來滿足不斷增長的新需求。這主要可以從以下四個方面來體現(xiàn) ： 包過濾技術(shù) 硬件體系結(jié)構(gòu) 系統(tǒng)管理體制 產(chǎn)品聯(lián)動體系（1）過濾技術(shù)發(fā)展趨勢）過濾技術(shù)發(fā)展趨勢 采用多級過濾技術(shù)： 在網(wǎng)絡(luò)層，分組過濾掉所有的源路由攻擊數(shù)據(jù)包和假冒IP源地址的數(shù)據(jù)包； 在傳輸層，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和非法數(shù)據(jù)包、蠕蟲病毒等； 在應(yīng)用層，對數(shù)據(jù)包進(jìn)行協(xié)議分析并還原，控制和監(jiān)測Internet提供的常見服務(wù)，比如HTTP、FTP、SMTP等，提供細(xì)粒度內(nèi)容級過濾。 深度包檢測技術(shù)深度包檢測技術(shù) 下一代過濾技術(shù)：深度

26、包檢測技術(shù)（Deep Packet Inspection） 深度包檢測技術(shù)，不僅檢查IP包頭，并且能對IP包進(jìn)行重組、拆包，檢查數(shù)據(jù)包的具體內(nèi)容，深入檢查信息包流，查出惡意行為，可以根據(jù)特征檢測和內(nèi)容過濾，來尋找已知的攻擊，阻止異常的訪問，很好地提供了入侵檢測和攻擊防范的功能 深度包檢測技術(shù)成功地解決了普遍存在的拒絕服務(wù)攻擊（DDoS）的問題、病毒傳播問題和高級應(yīng)用入侵問題，能識別并有效地阻斷惡意數(shù)據(jù)流量，有效地切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。深度包檢測技術(shù)代表著防火墻的主流發(fā)展方向（2）硬件體系結(jié)構(gòu)發(fā)展趨勢）硬件體系結(jié)構(gòu)發(fā)展趨

27、勢 隨著網(wǎng)絡(luò)應(yīng)用的增加、多媒體應(yīng)用的普及，對網(wǎng)絡(luò)帶寬提出了更高的要求，這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)，延遲足夠小，傳統(tǒng)的X86結(jié)構(gòu)防火墻已經(jīng)難以滿足如此高性能的要求。 防火墻的硬件體系結(jié)構(gòu)目前已經(jīng)處于一個更新?lián)Q代的門檻上，未來的發(fā)展趨勢基本上是網(wǎng)絡(luò)處理器（Network Processor，簡稱NP處理器）與ASIC芯片兩種解決方案，各有優(yōu)劣。 硬件體系結(jié)構(gòu)另外一個需要考慮的問題，為了避免運輸?shù)冗^程中造成內(nèi)存等接插件的松動、脫落，盡量少使用接插件，采取貼片等方式避免此類問題X86結(jié)構(gòu)方案特點結(jié)構(gòu)方案特點 優(yōu)點 X86架構(gòu)的高靈活性和擴(kuò)展性 在百兆防火墻上獲得了巨大成功 有較豐富的軟件資源可以利用 豐富的有經(jīng)驗的開發(fā)人員以及OpenSource代碼 功能擴(kuò)展和升級方便 缺點 通用硬件架構(gòu)和通用軟件體系結(jié)構(gòu)極大地限制了性能的提高 通用操作系統(tǒng)易受到攻擊ASIC方案特點方案特點 ASIC優(yōu)點 ASIC可以很容易達(dá)到較高的性能 大批量生產(chǎn)時成本很低 ASIC缺點 固化的邏輯不能靈活地適應(yīng)應(yīng)用的變化，要增加新的功能必須重新設(shè)計ASI