55典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展

1、5.5.1 典型防火墻產(chǎn)品 1、國內(nèi)個人防火墻軟件中經(jīng)典之作天網(wǎng)防火墻個人防火墻軟件在防火墻中是最低廉、最簡單易用、最易于安裝的一種面向個人用戶的防御工具。盡管這樣但個人防火墻軟件仍可以有效地防御大多數(shù)黑客的攻擊。下面介紹一下天網(wǎng)個人防火墻軟件，它是國內(nèi)個人防火墻軟件的代表之一。 天網(wǎng)個人防火墻是國內(nèi)一款頗為有效的防火墻，它是由天網(wǎng)安全實驗室推出的。適用平臺：Windows 98、Windows 2000。對于初級用戶幾乎不用做任何專業(yè)設(shè)置，就可以有效的發(fā)揮作用。對于高級用戶，天網(wǎng)允許進行他們自己的設(shè)置。用戶可以對指定的協(xié)議、端口、IP地址進行過濾，完全監(jiān)控所有的網(wǎng)絡(luò)數(shù)據(jù)?？傊炀W(wǎng)防火墻具有訪

2、問控制、身份認證、應(yīng)用選通、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation）、信息過濾、虛擬專網(wǎng)（VPN）、流量控制、虛擬網(wǎng)橋等功能。天網(wǎng)個人防火墻屬于軟件防火墻系列，因此安裝相當(dāng)簡單，用戶只需運行安裝文件，按提示操作即可。1第一次運行天網(wǎng)時，您需要輸入注冊號。注冊號可以免費獲得，用戶只需到天網(wǎng)的主頁上進行注冊即可，網(wǎng)址：http：netcn。 圖5.25安裝天網(wǎng)防火墻后的任務(wù)欄圖標(biāo)2天網(wǎng)啟動后，縮為一個盾牌形圖標(biāo)，如圖5.25所示。雙擊該圖標(biāo)，顯示天網(wǎng)的主界面，如圖5.26所示。圖5.26天網(wǎng)防火墻主界面3（1）系統(tǒng)設(shè)置圖5.27系統(tǒng)設(shè)置主界面選中開機后自動啟動防火墻，

3、天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動，否則天網(wǎng)防火墻需要手工啟動。4單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。 圖5.28天網(wǎng)防火墻提示信息界面如果選擇“確定”按鈕，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置，用戶對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉，例如：將重新設(shè)置在局域網(wǎng)內(nèi)的地址；用戶設(shè)定的天網(wǎng)防火墻預(yù)警的聲音也將被取消。5（2）安全級別設(shè)置天網(wǎng)防火墻安全級別分為高、中、低三級，默認的安全等級為中，其中安全設(shè)置如下：低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。計算機將完全信任內(nèi)部網(wǎng)絡(luò)，允許內(nèi)部網(wǎng)絡(luò)的機器訪問提供

4、的各種服務(wù)（文件、打印機共享服務(wù)）但禁止網(wǎng)絡(luò)網(wǎng)絡(luò)的機器訪問這些服務(wù)。中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機共享服務(wù)），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)路上的機器將無法看到天網(wǎng)防火墻所安裝的主機。高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機共享服務(wù)），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)上的機器將無法看到本機。除了是由已經(jīng)被認可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。6（3）斷開/接通網(wǎng)絡(luò)如果按下斷開/接通網(wǎng)

5、絡(luò)按鈕，那么主機就將完全與網(wǎng)絡(luò)斷開了，就好象拔下了網(wǎng)線一樣。（4）程序規(guī)則設(shè)置天網(wǎng)防火墻具有對應(yīng)用程序數(shù)據(jù)包進行底層分析攔截功能，可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)個人版防火墻打開的情況下，啟動的任何應(yīng)用程序只要有通訊數(shù)據(jù)包發(fā)送和接收存在，都會先被天網(wǎng)個人版防火墻先截獲分析，并彈出窗口，如下圖：7圖5.29天網(wǎng)防火墻信息攔截界面 8如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)包，并且彈出警告窗口。如果你如果選中以后都允許選項，該程序?qū)⒆约尤氲綉?yīng)用程序列表中，天網(wǎng)版防火墻將默認不會再攔截該程序發(fā)送和接受的數(shù)據(jù)包，但你可以通過應(yīng)

6、用程序設(shè)置來設(shè)置更為復(fù)雜的數(shù)據(jù)包過濾方式。應(yīng)用程序規(guī)則的設(shè)置界面如下圖所示：9單擊該面板每一個程序的選項按鈕即可設(shè)置應(yīng)用程序的數(shù)據(jù)通過規(guī)則，如下圖:10可以設(shè)置該應(yīng)用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設(shè)置端口過濾，讓應(yīng)用程序只能通過固定幾個通訊端口或者一個通訊端口范圍接收和傳輸數(shù)據(jù)，完成這些設(shè)置后，可以選擇詢問和禁止操作。對應(yīng)用程序發(fā)送數(shù)據(jù)包的監(jiān)察可以確認系統(tǒng)有那些程序正在進行通訊。通過這種對數(shù)據(jù)包的監(jiān)察防火墻可以監(jiān)視到攻擊者對木馬的控制通訊，防止木馬程序向外網(wǎng)發(fā)送非法信息。11（5）IP規(guī)則設(shè)置IP規(guī)則設(shè)置是針對整個系統(tǒng)的數(shù)據(jù)包監(jiān)測，IP規(guī)則設(shè)置的界面如下：12工具欄上的按鈕主要有導(dǎo)

7、入，增加，修改，刪除按鈕等。由于規(guī)則判斷是由上而下的，可以通過點擊調(diào)規(guī)則上下移動按鈕調(diào)整規(guī)則的順序。另外，只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序），當(dāng)調(diào)整好順序后，可按保存按鈕保存你的修改。當(dāng)規(guī)則增加或修改后，為了使新設(shè)定的規(guī)則生效，需要單擊應(yīng)用新規(guī)則按鈕。上圖中IP規(guī)則部分列出了規(guī)則的名稱，該規(guī)則所對應(yīng)的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標(biāo)志，如果標(biāo)記為鉤表示改規(guī)則有效，否則表示無效。當(dāng)你改變某些設(shè)置后，請按保存按鈕，以便使設(shè)置生效。13天網(wǎng)防火墻本身已經(jīng)默認設(shè)置好了相當(dāng)?shù)陌踩墑e，一般用戶，并不

8、需要自行更改。例如：防御ICMP攻擊：即別人無法用 PING 的方法來確定你的存在。但不影響你去 PING 別人。防御IGMP攻擊：IGMP是用于傳播的一種協(xié)議。TCP數(shù)據(jù)包監(jiān)視：監(jiān)視你機器上所有的TCP端口服務(wù)。這是一種對付木馬程序的主要方法。用戶可以通過點擊增加按鈕或選擇一條規(guī)則后按修改按鈕，激活編輯窗口，以便用戶進一步設(shè)置適合自己的規(guī)則。 輸入規(guī)則的名稱和說明，以便于查找和閱讀。 1415選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。對方的ip地址，用于確定選擇數(shù)據(jù)包從那里來或是去哪里。任何地址是指可以接收從任何地方發(fā)來的數(shù)據(jù)包；局域網(wǎng)網(wǎng)絡(luò)地址是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)；指定地址是用戶

9、輸入的地址，指定的網(wǎng)絡(luò)區(qū)域是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。還要錄入該規(guī)則所對應(yīng)的協(xié)議，在這里請注意，如果錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“ 對方地址：任何地址； 動作：繼續(xù)下一規(guī)則 ”。16TCP 協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處鍵入該端口，結(jié)束處，鍵入0。如果不想指定任何端口，只要在起始端口都鍵入0。ICMP 規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。當(dāng)一個數(shù)據(jù)包滿足上面的條件時，你就可以對該包采取操作了：通行指讓該數(shù)據(jù)包可以正常通過；攔截指讓該數(shù)據(jù)包無法通過；繼續(xù)下一規(guī)則指不對該

10、數(shù)據(jù)包作任何處理，由該規(guī)則的下一條規(guī)則來確定對該包的處理操作。在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并可以設(shè)置天網(wǎng)防火墻托盤圖標(biāo)是否閃爍來警告，或發(fā)出聲音來進行提示。17建立規(guī)則的原則：防火墻的規(guī)則檢查順序與列表順序是一致的。如果只想對內(nèi)部網(wǎng)絡(luò)開放某些端口或協(xié)議（但對外部網(wǎng)絡(luò)關(guān)閉）時，可對內(nèi)部網(wǎng)絡(luò)的規(guī)則采用允許局域網(wǎng)網(wǎng)絡(luò)地址的某端口、協(xié)議的數(shù)據(jù)包通行的規(guī)則，然后用任何地址的某端口、協(xié)議的規(guī)則攔截，就可實現(xiàn)你的目的。如果錄入了IP協(xié)議的規(guī)則，一定要保證 IP協(xié)議規(guī)則的最后一條的內(nèi)容是：對方地址為任何地址，動作是“繼續(xù)下一規(guī)則，否則會其他協(xié)議的規(guī)

11、則會執(zhí)行不到。不要濫用記錄功能，一個定義不好的規(guī)則加上記錄功能，會產(chǎn)生大量沒有任何意義的日志，并浪費大量的系統(tǒng)資源。（6）日志查看天網(wǎng)防火墻將會把所有不合規(guī)則的數(shù)據(jù)包攔截并且記錄下來，如果你選擇了監(jiān)視TCP和UDP數(shù)據(jù)包，那你發(fā)送和接受的每個數(shù)據(jù)包也將被記錄下來。每條記錄從左到右分別是發(fā)送/接受時間、發(fā)送IP地址、數(shù)據(jù)包類型、本機通訊端口，對方通訊端口，標(biāo)志位1819但不是所有的被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)據(jù)包可能由于你設(shè)置的安全級別過高而不符合安全規(guī)則，也會被天網(wǎng)防火墻攔截下來并且報警，如你設(shè)置了禁止別人Ping你的主機，如果有人向你的主機發(fā)送Ping命令，天網(wǎng)防火墻也會

12、把這些發(fā)來的ICMP數(shù)據(jù)攔截下來記錄在日志上并且報警。安全日志可以導(dǎo)出和被刪除，其上面左右兩個按鈕分別為存為文件和清空日志的按鈕。另外，天網(wǎng)網(wǎng)站可以為天網(wǎng)防火墻注冊用戶提供在線的系統(tǒng)檢測服務(wù)。如下圖。具體包括的項目和功能如下。2021信息泄露檢測：檢測系統(tǒng)是否存在信息泄漏的危險性。如果你的電腦系統(tǒng)存在安全漏洞，檢測系統(tǒng)會顯示出你的計算機名，甚至?xí)z測出你的共享文件目錄和打印機的名稱，并把共享目錄里的具體內(nèi)容列出來。系統(tǒng)安全性檢測：如果系統(tǒng)存在漏洞，很可能會成為網(wǎng)絡(luò)上的攻擊對象。該項檢測的目的就是驗證系統(tǒng)是否存在這樣的漏洞。同時還提供了電腦網(wǎng)絡(luò)安全軟件，可以幫助用戶填補這些漏洞。22網(wǎng)絡(luò)端口掃描

13、：掃描你的系統(tǒng)是否存在開放的易于被攻擊的網(wǎng)絡(luò)端口。Ddos Slave掃描，在黑客攻擊的事件中，許多接入互聯(lián)網(wǎng)的計算機被黑客利用來作為攻擊其他網(wǎng)站或計算機的跳板（又被稱為“肉雞”）。因為這些主機被黑客植入DDOS攻擊的代理程序，所以黑客控制這些代理程序來對外攻擊。DDOS Slave掃描是檢查您的系統(tǒng)里是否存在這種代理程序。檢測和掃描服務(wù)是通過天網(wǎng)網(wǎng)站對主機進行掃描實現(xiàn)的，完成后將給出一個完整的報告和適當(dāng)?shù)慕ㄗh。23圖5.37天網(wǎng)網(wǎng)站安全漏洞報告界面242、操作系統(tǒng)集成的防火墻-啟用win xp中自帶的防火墻操作系統(tǒng)WINDOWS XP本身就具有Internet連接防火墻（ICF），即充當(dāng)網(wǎng)絡(luò)

14、與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)。Internet連接防火墻（ICF）是用來限制哪些信息可以小型辦公網(wǎng)絡(luò)或個人主機進入Internet（外部網(wǎng)絡(luò)）以及從Internet進入小型辦公網(wǎng)絡(luò)或個人主機的一種工具軟件。如果網(wǎng)絡(luò)使用Internet連接共享（ICS）來為多臺計算機提供Internet訪問能力，在共享的Internet連接中啟用ICF。當(dāng)然ICS和ICF也可以單獨啟用。 25工作原理：ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標(biāo)地址。ICF保留了所有源自ICF計算機的通訊表。在單獨的主機中，ICF將跟蹤源自該計算機的通信。與ICS一起使

15、用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當(dāng)表中有匹配項時，才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計算機。源自外部源ICF計算機的通訊（如Internet）將被防火墻阻止，除非在“服務(wù)”選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。ICF和個人主機或小型辦公室通訊不應(yīng)該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻。如果在ICS客戶計算機的網(wǎng)絡(luò)適配器上啟用防火墻，則將干擾該主機和網(wǎng)

16、絡(luò)上的所有其他主機之間的某些通訊。ICF也具有日志功能能夠記錄被許可的和被拒絕的通信。 26（1）配置防火墻1.啟用或禁用Internet連接防火墻。圖5.38網(wǎng)絡(luò)鄰居屬性窗口27方法：打開“網(wǎng)絡(luò)連接”，單擊要保護的撥號、LAN或高速Internet連接，然后在“本地連接屬性” “高級”“設(shè)置”下，選擇下面的一項： 圖5.39防火墻設(shè)置窗口28若要啟用Internet連接防火墻，選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)”復(fù)選框。若要禁用Internet連接防火墻，請清除此復(fù)選框。2）安全日志的設(shè)置 29當(dāng)選擇“登錄放棄的數(shù)據(jù)包”復(fù)選框時，每次通信嘗試通過

17、防火墻卻被檢測和拒絕的信息都被ICF收集。例如，如果Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請求，如Ping和Tracert命令發(fā)出的請求，防火墻將接收到來自外部網(wǎng)絡(luò)的回顯請求，但防火墻會根據(jù)用戶設(shè)置的規(guī)則放棄回顯的數(shù)據(jù)并記錄日志。Ping和Tracert都采用的是網(wǎng)際消息協(xié)議（ICMP）。通過ICMP協(xié)議，可以使采用IP通訊的主機和路由器報告通信錯誤并交換受限控制和狀態(tài)信息。在下列情況中通常自動發(fā)送ICM消息：IP數(shù)據(jù)報無法訪問目標(biāo)、IP路由器（網(wǎng)關(guān)）無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報、IP路由器將發(fā)送主機重定向為使用更好的到達目標(biāo)的路由。啟用或禁用Internet控制消息協(xié)議：打開

18、“網(wǎng)絡(luò)連接”。 單擊已啟用Internet連接防火墻的連接，然后在“本地連接屬性”“高級” “設(shè)置”“高級”“ICMP 設(shè)置”選項卡上，選中希望響應(yīng)的請求信息類型旁邊的復(fù)選框。30圖5.41 ICMP設(shè)置窗口31當(dāng)你選擇“登錄成功的外傳連接”復(fù)選框時，將收集每個成功通過防火墻的連接信息。例如，當(dāng)網(wǎng)絡(luò)上的任何人使用Internet Explorer成功實現(xiàn)與某個網(wǎng)站的連接時，將記入日志。生成的安全日志使用的是W3C擴展日志文件格式。 啟用或禁用安全日志記錄選項：打開“網(wǎng)絡(luò)連接”，單擊要在其上啟用Internet連接防火墻（ICF）的連接，然后在“網(wǎng)絡(luò)任務(wù)”“更改該連接的設(shè)置”“高級”“設(shè)置”“安

19、全日志記錄”“記錄選項”下，選擇下面的一項或兩項： 32圖5.42安全日志設(shè)置窗口33若要啟用對不成功的入站連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)包”復(fù)選框，否則禁用。更改安全日志文件的路徑和文件名的方法：打開“網(wǎng)絡(luò)連接”，選擇要在其上啟用Internet連接防火墻的連接，然后在“本地連接屬性”“高級” “設(shè)置”“高級”“安全記錄設(shè)置”“日志文件選項”中，瀏覽要放置日志文件的位置。 圖5.43 修改安全日志窗口34 更改安全日志文件大小需要用戶打開已啟用Internet連接防火墻的連接，然后在“本地連接屬性”“高級” “設(shè)置”“高級”“安全記錄設(shè)置”“日志文件選項”“大小限制”中，使用箭頭按鈕

20、調(diào)整大小限制。353、一款專業(yè)級防火墻的代表之作-基于Cisco PIX Firewall的防火墻系統(tǒng)Cisco PIX Firewall防火墻是通過動態(tài)和靜態(tài)的地址映射，管道技術(shù)建立一個較為完整的防火墻系統(tǒng)。Ciso PIX Firewall是基于網(wǎng)絡(luò)層的包過濾和基于應(yīng)用層的隔離網(wǎng)絡(luò)的代理服務(wù)器（proxy server）這兩種技術(shù)結(jié)合的防火墻。它應(yīng)用安全算法（Adaptive Security Algorithm），將內(nèi)部主機的地址映射為外部地址，拒絕未經(jīng)允許的包入境，實現(xiàn)了動態(tài)，靜態(tài)地址映射，從而有效地屏蔽了內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)。通過管道技術(shù)，訪問列表，有效地控制內(nèi)、外部網(wǎng)絡(luò)資源的訪問。 P

21、IX Firewall可連接四個不同的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)都可定義一個安全級別，級別低的相對于級別高的總是被視為外部網(wǎng)絡(luò)，但最低的必須是全球統(tǒng)一的IP地址。在配置之前，應(yīng)先規(guī)劃好網(wǎng)絡(luò)拓撲結(jié)構(gòu)，制定較為祥細的安全策略。設(shè)IP地址范圍78-91，有E-mail，等服務(wù)器，PIX Firewall的內(nèi)部虛IP地址范圍為：-55,可以定義以下策略 :361）屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu) 為了防止黑客的侵入，應(yīng)采用動態(tài)地址映射隔離內(nèi)部網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)。對PIX Firewall做如下配置: nat 1 0 0 global (outside) 1 220.294.204.17991 global (outs

22、ide) 1 78372）對資源主機的訪問控制 為保證E-mail，等服務(wù)器的安全必須利用管道(conduit)使外部網(wǎng)絡(luò)可以對它們進行訪問，但同時必須限制對它們的訪問，即禁止除E-mail，以外的一切服務(wù)，配置方法如下：static (inside，outside) 79 conduit permit tcp host 79 eq static (inside，outside) 78 conduit permit tcp host 78 eq smtp any static (inside，outside) 90 conduit permit tcp host 78 eq 383）對Inte

23、rnet上資源的控制 對于Internet上的不安全站點，我們可用首先查到不安全站點的IP地址，然后并對從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)流實施的訪問控制。在PIX Firewall上的配置如下：outbound 10 deny 1 55 apply (inside) 10 outgoing_dest 對于內(nèi)部主機可以控制其能使用的服務(wù)，實現(xiàn)對內(nèi)部主機到外部的訪問進行完全的控制。例如，對主機00可以禁止使用WWW訪問外部網(wǎng)絡(luò)。其配置如下：outbound 20 deny 00 55 apply(inside) 20 outgoing_src 39 4）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址 由于采用盜

24、用他人的IP地址和MAC地址的方法，可以達到隱藏非法訪問的目的。使用PIX Firewall的ARP命令可以將內(nèi)部主機的IP和它的MAC地址綁定，來防止篡改和盜用IP地址現(xiàn)象。例如，我們要將主機的IP地址00與它的MAC地址00a8.3e41.2bc7綁定，可進行如下配置： arp inside 00 00a8.3e41.2bc7 alias 結(jié)合以上四種配置，Cisco PIX Firewall可以實現(xiàn)對IP包過濾，屏蔽內(nèi)部網(wǎng)絡(luò)和對網(wǎng)絡(luò)資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實現(xiàn)了一個完整的防火墻系統(tǒng)。404、國外著名防火墻產(chǎn)品-CheckPoint公司的FireWall

25、-1網(wǎng)絡(luò)安全防火墻 據(jù)IDC的最近統(tǒng)計，CheckPoint公司的FireWall-1防火墻在市場占有率上已超過32%。CheckPoint FireWall-1產(chǎn)品包括以下模塊： 狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能； 防火墻模塊（FireWall Module）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內(nèi)容安全和多防火墻同步功能；41管理模塊（Management Module）：對一個或多個安全策略執(zhí)行點（安裝了FireWall-1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的

26、安全管理功能；連接控制（Connect Control）：為提供相同服務(wù)的多個應(yīng)用服務(wù)器提供負載平衡功能；路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；FireWall-1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型。FireWall-1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動

27、態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實現(xiàn)安全策略管理。 42圖5.44 FireWall-1網(wǎng)絡(luò)結(jié)構(gòu)示意圖 43狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall-1可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應(yīng)用程序透明，不需要針對每個服務(wù)設(shè)置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應(yīng)用添加到保護的服務(wù)中去。通過策略編輯器制定的規(guī)則存為一個用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊

28、的系統(tǒng)上。CheckPoint采用了OPSEC了。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。OPSEC把FireWall-1嵌入到已有的網(wǎng)絡(luò)平臺（如Unix、NT服務(wù)器、路由器、交換機以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall-1中，提供開放的、可擴展的安全框架。44FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類型（HTTP、等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）

29、、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)則）。管理員通過管理主機管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。他們之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。 45遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部網(wǎng)絡(luò)資源。在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進行身份認證。認證服務(wù)集成在安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。FireWall-1提供三種認證方法：用戶認證（User Authenticat

30、ion），針對特定服務(wù)提供的基于用戶的透明的身份認證，服務(wù)限于、HTTP、HTTPS、RLOGIN；客戶機認證（Client Authentication），基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制，客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應(yīng)用服務(wù)器；會話認證（Session Authentication）：提供基于服務(wù)會話的的透明認證，與IP無關(guān)，采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務(wù)時必須單獨認證。 46FireWall-1支持三種不同的NAT模式：靜態(tài)源地址NAT、目的地址NAT：動態(tài)地址NAT。FireWall-1的連

31、接控制模塊提供了負載平衡功能，在提供相同服務(wù)的多個應(yīng)用服務(wù)器之間實現(xiàn)負載分擔(dān)，目前FireWall-1支持的負載均衡算法：Server Load（由服務(wù)器提供負載均衡算法，需要在應(yīng)用服務(wù)器端安裝負載測量引擎）；Round Trip（利用ping命令測定防火墻到各個應(yīng)用服務(wù)器之間的循回時間，選用循回時間最小者響應(yīng)用戶請求）；Round Robin（根據(jù)記錄表中的情況，簡單地指定下一個應(yīng)用服務(wù)器響應(yīng)）；Random（隨機選取應(yīng)用服務(wù)器響應(yīng)）；Domain（按照域名最近的原則，指定最近的應(yīng)用服務(wù)器響應(yīng)）。475.5.2 防火墻的發(fā)展趨勢 目前，防火墻技術(shù)隨著新技術(shù)的發(fā)展，綜合使用包過濾技術(shù)、代理服務(wù)

32、技術(shù)和其他一些新技術(shù)的防火墻真是今后防火墻發(fā)展的趨勢。目前出現(xiàn)幾個新型的防火墻技術(shù)： 1、包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。比如動態(tài)包過濾系統(tǒng)，在CheckPoint Firewall一1中的包過濾規(guī)則可由路由器靈活、快速地設(shè)置。一個輸出的UDP數(shù)據(jù)包可以引起對應(yīng)的允許應(yīng)答UDP創(chuàng)立一個臨時的包過濾規(guī)則，允許其對應(yīng)的UDP包進入內(nèi)部 網(wǎng)。 2、從外部向內(nèi)看起來像是代理服務(wù)，而由內(nèi)部向外看像一個包過濾系統(tǒng)的綜合性防火墻結(jié)構(gòu)。這些產(chǎn)品通過對大量內(nèi)部網(wǎng)絡(luò)的外向連接請求采用計賬系統(tǒng)和包的批次修改方式，對防火墻的內(nèi)外提供相關(guān)的偽像。483、分布式防火墻技術(shù)。新型的分布式防火墻由中心定義策略，但由

33、各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。實現(xiàn)的三個主要步驟：確定哪些連接可以被允許或那些連接被禁止的策略語言、系統(tǒng)管理工具和IP安全協(xié)議。 策略語言有很多種，如KeyNote就是一種通用的策略語言。實現(xiàn)分布式防火墻的關(guān)鍵是標(biāo)志內(nèi)部的主機，不應(yīng)該再采用傳統(tǒng)防火墻所用的對物理上的端口進行標(biāo)志的辦法。以IP地址來標(biāo)志內(nèi)部主機是一種可供選擇的方法，但安全性不高，所以更傾向于使用IP安全協(xié)議中的密碼憑證來標(biāo)志各臺主機，這種新技術(shù)為主機提供了可靠的、唯一的標(biāo)志，并且與網(wǎng)絡(luò)的物理拓撲無關(guān)。分布式防火墻服務(wù)器系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護的所有主機，應(yīng)該注意的是這里所指的防火墻并不是傳統(tǒng)意義上的物理防火墻，而是邏輯上的分布式防火墻。IP安全協(xié)議是一種對TCP/IP協(xié)議族的網(wǎng)絡(luò)層進行加密保護的機制，包括AH和