防火墻與網(wǎng)絡(luò)安全

防火墻與網(wǎng)絡(luò)安全主要內(nèi)容：防火墻概念防火墻功能防火墻分類防火墻設(shè)計(jì)防火墻產(chǎn)品介紹§1.1防火墻概念網(wǎng)絡(luò)防火墻是指隔離在內(nèi)網(wǎng)與外網(wǎng)之間的一道防御系統(tǒng)，防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全、核準(zhǔn)了的信息進(jìn)入，拒絕抵制不安全的數(shù)據(jù)?！?.1防火墻概念防火墻的工作姿態(tài)：拒絕沒有特別允許的任何事情。這種姿態(tài)假定防火墻應(yīng)該阻塞所有的信息，而每一種所期望的服務(wù)或應(yīng)用都是實(shí)現(xiàn)在case-by-case的基礎(chǔ)上。允許沒有特別拒絕的任何事情。這種姿態(tài)假定防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息，任何可能存在危害的服務(wù)都應(yīng)在case-by-case的基礎(chǔ)上關(guān)掉?！?.2防火墻功能§1.3防火墻分類按實(shí)現(xiàn)方式分軟件防火墻實(shí)現(xiàn)：在通用的計(jì)算機(jī)系統(tǒng)上安裝防火墻軟件，通過防火墻軟件設(shè)置安全策略。特點(diǎn)：軟件防火墻成本相對(duì)較低，功能豐富靈活，可以工作在網(wǎng)絡(luò)層和應(yīng)用層；軟件防火墻采用軟件實(shí)現(xiàn)，性能受到影響；軟件防火墻建立在通用的計(jì)算機(jī)及操作系統(tǒng)之上，本身存在安全性弱點(diǎn)；硬件防火墻實(shí)現(xiàn)：采用專用的硬件和軟件合成的防火墻，通過防火墻提供的配置命令設(shè)置安全策略。特點(diǎn)：硬件防火墻的硬件、軟件都是專門針對(duì)防火墻功能而設(shè)計(jì)的，與軟件防火墻相比具有高安全性、高性能等優(yōu)點(diǎn)，但靈活性不如軟件防火墻?！?.3防火墻分類按實(shí)現(xiàn)原理分包過濾防火墻原理：在網(wǎng)絡(luò)層和傳輸層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)預(yù)先設(shè)定好的過濾規(guī)則ACL，檢查經(jīng)過的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源IP地址/目標(biāo)IP地址/協(xié)議/端口確定是否允許通過。實(shí)現(xiàn)：路由器一般都具備包過濾功能。

應(yīng)用級(jí)防火墻原理：應(yīng)用級(jí)防火墻采用代理服務(wù)的方式，防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接是在兩個(gè)終止于代理服務(wù)的鏈接來實(shí)現(xiàn)，這樣便隔離了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的任何直接鏈接，然后由代理按照制定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過濾處理；實(shí)現(xiàn)：應(yīng)用級(jí)防火墻一般采用在通用計(jì)算機(jī)系統(tǒng)上安裝軟件防火墻實(shí)現(xiàn)，即代理服務(wù)器。

§2.1防火墻設(shè)計(jì)——屏蔽路由器實(shí)現(xiàn)：采用路由器配置包過濾防火墻，設(shè)置ACL、NAT等包過濾防火墻的基本功能。

特點(diǎn)：支持網(wǎng)絡(luò)層的安全策略：過濾特定網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包，防御源IP地址欺騙式攻擊（偽裝內(nèi)網(wǎng)IP）、源路由攻擊（旁路）等；不支持應(yīng)用層次的安全策略。單純的包過濾防火墻的安全機(jī)制是比較脆弱，無法抵御來自數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)，且對(duì)黑客來說是比較容易攻擊的?！?.2防火墻設(shè)計(jì)——雙穴主機(jī)網(wǎng)關(guān)實(shí)現(xiàn)：

采用一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)（堡壘主機(jī)）做防火墻，兩塊網(wǎng)卡分別與內(nèi)網(wǎng)和外部網(wǎng)相連，堡壘主機(jī)上運(yùn)行防火墻軟件提供代理服務(wù)，阻斷了內(nèi)外網(wǎng)數(shù)據(jù)的直接交換，由堡壘主機(jī)根據(jù)規(guī)則轉(zhuǎn)發(fā)，屬于應(yīng)用級(jí)防火墻，即代理服務(wù)器。特點(diǎn)：與屏蔽路由器（包過濾）相比，應(yīng)用級(jí)防火墻工作在應(yīng)用層，能夠?qū)Ψ?wù)進(jìn)行全面的控制，支持應(yīng)用層安全策略，如限制服務(wù)的命令集，支持應(yīng)用層次上的過濾，維護(hù)系統(tǒng)日志等。一旦黑客侵入堡壘主機(jī)，使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。

§2.3防火墻設(shè)計(jì)——屏蔽主機(jī)網(wǎng)關(guān)實(shí)現(xiàn)：

將堡壘主機(jī)與屏蔽路由器組合，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器放置在內(nèi)網(wǎng)和Internet之間。路由器上設(shè)置包過濾規(guī)則，使得堡壘主機(jī)成為從外網(wǎng)唯一可直接到達(dá)的主機(jī)，阻塞去往內(nèi)部系統(tǒng)上其它主機(jī)的信息，同時(shí)只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，強(qiáng)制內(nèi)部用戶使用代理服務(wù)；

屏蔽主機(jī)網(wǎng)關(guān)中的堡壘主機(jī)負(fù)責(zé)為內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交換提供代理服務(wù)；特點(diǎn)：確保內(nèi)部網(wǎng)不受未被授權(quán)的外部用戶的攻擊，同樣內(nèi)部網(wǎng)的客戶機(jī)，只能受控制地通過屏蔽主機(jī)和路由器訪問Internet；屏蔽主機(jī)網(wǎng)關(guān)中堡壘主機(jī)是唯一能從Internet上直接訪問的內(nèi)部系統(tǒng)，所以有可能受到攻擊的主機(jī)就只有堡壘主機(jī)本身。但如果允許用戶注冊(cè)到堡壘主機(jī)，那么整個(gè)內(nèi)部網(wǎng)絡(luò)上的主機(jī)都會(huì)受到攻擊的威脅。

§2.4防火墻設(shè)計(jì)——屏蔽子網(wǎng)網(wǎng)關(guān)§3.1防火墻墻產(chǎn)品品———Netscreen-100§3.2防火墻墻產(chǎn)品品———應(yīng)用案案例9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Thursday,December29,202210、雨中黃葉樹樹，燈下白頭頭人。。22:01:4322:01:4322:0112/29/202210:01:43PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2222:01:4322:01Dec-2229-Dec-2212、故人人江海海別，，幾度度隔山山川。。。22:01:4322:01:4322:01Thursday,December29,202213、乍見翻疑疑夢(mèng)，相悲悲各問年。。。12月-2212月-2222:01:4322:01:43December29,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國見青青山。。29十二月月202210:01:43下午午22:01:4312月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月2210:01下下午午12月月-2222:01December29,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/2922:01:4322:01:4329December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。10:01:43下下午午10:01下下午22:01:4312月月-229、沒有失敗敗，只有暫暫時(shí)停止成成功！。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。22:01:4322:01:4322:0112/29/202210:01:43PM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2222:01:4322:01Dec-2229-Dec-2212、世間成成事，不不求其絕絕對(duì)圓滿滿，留一一份不足足，可得得無限完完美。。。22:01:4322:01:4322:01Thursday,December29,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2222:01:4322:01:43December29,202214、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。29十二月月202210:01:43下午午22:01:4312月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月2210:01下下午12月-2222:01December29,202216、少年十五二二十時(shí)，步行行奪得胡馬騎騎。。2022/12/2922:01:4322:01:4329December202217、空山新雨雨后，天氣氣晚來秋。。。10:01:43下下午10:01下午22:01:4312月-229、楊柳散和風(fēng)風(fēng)，青山澹吾吾慮。。12月-2212月-22Thursday,December29,202210、閱讀一切好好書如同和過過去最杰出的的人談話。22:01:4322:01:4322:0112/29/202210:01:43PM11、越是沒有有本領(lǐng)的就就越加自命命不凡。12月-2222:01:4322:01Dec-2229-Dec-2212、越是無能的的人，越喜歡歡挑剔別人的的錯(cuò)兒。22:01:4322:01:4322:01Thursday,December29,202213、知人人者智智，自自知者者明。。勝人人者有有力，，自勝勝者強(qiáng)強(qiáng)。12月月-2212月月-2222:01:4322:01:43December29,202214、意志志堅(jiān)強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月202210:01:43下下午午22:01:4312月月-2215、最具挑戰(zhàn)性性的挑戰(zhàn)莫過過于提升自我我。。十二月2210:01下下午12月-2222:01December29,202216、業(yè)余生活活要有意義義，不要越越軌。2022/12/2922:01:4322:01:4329December202217、一一個(gè)個(gè)人人即即使使已已登登上上頂頂峰峰，，也也仍仍要要自自強(qiáng)強(qiáng)不不息息。。10:01:43下下午午10:01下下午午22:01:431