防火墻與入侵檢測(cè)(一)防火墻基礎(chǔ)知識(shí)

防火墻與入侵檢測(cè)課程簡(jiǎn)介授課形式課程講授+上機(jī)實(shí)習(xí)成績(jī)給定辦法期末考試成績(jī)70%到課、課堂作業(yè)、上機(jī)實(shí)習(xí)30%上課時(shí)間2-16周周三5-6節(jié)實(shí)驗(yàn)第十二、十三、十四、十五周地點(diǎn)授課10J317上機(jī)12J214授課班級(jí)網(wǎng)絡(luò)0901、0902、0903、09Q1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及其存儲(chǔ)的數(shù)據(jù)處于保護(hù)狀態(tài)，網(wǎng)絡(luò)系統(tǒng)不會(huì)由于偶然的或者惡意的沖擊而受到破壞，網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)可靠地運(yùn)行。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多研究領(lǐng)域的綜合性學(xué)科。凡是涉及網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究?jī)?nèi)容。網(wǎng)絡(luò)安全2009年網(wǎng)民遭遇安全事件的情況網(wǎng)絡(luò)安全網(wǎng)民遭遇安全事件的誘因網(wǎng)絡(luò)安全安全事件帶來(lái)的損失網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全事件帶來(lái)的直接財(cái)產(chǎn)損失情況網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究?jī)?nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測(cè)計(jì)算機(jī)病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范密碼技術(shù)能完整地解決信息安全性中的機(jī)密性、數(shù)據(jù)完整性、認(rèn)證、身份識(shí)別以及不可抵賴(lài)等問(wèn)題中的一個(gè)或多個(gè)。密碼技術(shù)不能解決所有的網(wǎng)絡(luò)安全問(wèn)題，它需要與信息安全的其他技術(shù)如訪問(wèn)控制技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)等互相融合，形成綜合的信息網(wǎng)絡(luò)安全保障。防火墻建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。特征：網(wǎng)絡(luò)位置特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過(guò)防火墻工作原理特性只有符合安全策略的數(shù)據(jù)才能通過(guò)防火墻先決條件防火墻自身應(yīng)具有非常強(qiáng)的扛攻擊能力入侵檢測(cè)80%以上的入侵來(lái)自于網(wǎng)絡(luò)內(nèi)部由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，防火墻形同虛設(shè)入侵檢測(cè)是對(duì)防火墻及其有益的補(bǔ)充在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加到知識(shí)庫(kù)中，增強(qiáng)防范能力，避免系統(tǒng)再次受到入侵。計(jì)算機(jī)病毒學(xué)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”反病毒技術(shù)病毒預(yù)防技術(shù)病毒檢測(cè)技術(shù)病毒清除技術(shù)網(wǎng)絡(luò)安全管理規(guī)范信息網(wǎng)絡(luò)安全策略實(shí)體可信、行為可控、資源可管、事件可查、運(yùn)行可靠信息網(wǎng)絡(luò)管理機(jī)制誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)安全事件響應(yīng)機(jī)制網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全研究?jī)?nèi)容密碼技術(shù)防火墻技術(shù)入侵檢測(cè)計(jì)算機(jī)病毒學(xué)網(wǎng)絡(luò)安全管理規(guī)范防火墻篇第1章防火墻基礎(chǔ)知識(shí)第2章防火墻的關(guān)鍵技術(shù)第3章主流防火墻的部署與實(shí)現(xiàn)第4章防火墻廠商及產(chǎn)品介紹第5章防火墻的發(fā)展趨勢(shì)第一章防火墻基礎(chǔ)知識(shí)構(gòu)造比較全面的關(guān)于防火墻的知識(shí)框架防火墻基礎(chǔ)知識(shí)防火墻的定義－－什么是防火墻防火墻的位置－－所處的邏輯位置和物理位置防火墻的理論特性和實(shí)際功能防火墻的規(guī)則－－防火墻的靈魂－－“過(guò)濾規(guī)則”防火墻的分類(lèi)－－多種分類(lèi)方法防火墻的定義

從廣泛、宏觀的意義上說(shuō)，防火墻是隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)防御系統(tǒng)。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認(rèn)為防火墻是位于兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng)，具有以下屬性：防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過(guò)防火墻。只有經(jīng)過(guò)授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過(guò)防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡(jiǎn)而言之，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施訪問(wèn)控制策略的一個(gè)或一組組件集合。

防火墻的物理位置

從設(shè)備部署位置上看，防火墻要部署在本地受保護(hù)區(qū)域與外部網(wǎng)絡(luò)的交界點(diǎn)上。從具體的實(shí)現(xiàn)上看，防火墻運(yùn)行在任何要實(shí)現(xiàn)訪問(wèn)控制功能的設(shè)備上。下圖為防火墻在網(wǎng)絡(luò)中的常見(jiàn)位置：防火墻的邏輯位置

防火墻的邏輯位置指的是防火墻與網(wǎng)絡(luò)協(xié)議相對(duì)應(yīng)的邏輯層次關(guān)系。處于不同網(wǎng)絡(luò)層次的防火墻實(shí)現(xiàn)不同級(jí)別的網(wǎng)絡(luò)過(guò)濾功能，表現(xiàn)出來(lái)的特性也不同。所有防火墻均依賴(lài)于對(duì)ISOOSI/RM網(wǎng)絡(luò)七層模型中各層協(xié)議所產(chǎn)生的信息流進(jìn)行檢查。一般說(shuō)來(lái)，防火墻越是工作在ISOOSI/RM模型的上層，能檢查的信息就越多，其提供的安全保護(hù)等級(jí)就越高。防火墻與網(wǎng)絡(luò)層次關(guān)系如下表所示：ISOOSI/RM七層模型防火墻級(jí)別應(yīng)用層網(wǎng)關(guān)級(jí)表示層會(huì)話層傳輸層電路級(jí)網(wǎng)絡(luò)層路由器級(jí)數(shù)據(jù)連路層網(wǎng)橋級(jí)物理層中繼器級(jí)防火墻的理論特性和實(shí)際功能防火墻面對(duì)的安全威脅防火墻的理論特性防火墻的實(shí)際功能防火墻面對(duì)的安全威脅

通過(guò)更改防火墻配置參數(shù)和其它相關(guān)安全數(shù)據(jù)而展開(kāi)的攻擊。攻擊者利用高層協(xié)議和服務(wù)對(duì)內(nèi)部受保護(hù)網(wǎng)絡(luò)或主機(jī)進(jìn)行的攻擊。繞開(kāi)身份認(rèn)證和鑒別機(jī)制，偽裝身份，破壞已有連接。任何通過(guò)偽裝內(nèi)部網(wǎng)絡(luò)地址進(jìn)行非法內(nèi)部資源訪問(wèn)的地址欺騙攻擊。未經(jīng)授權(quán)訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)。用戶對(duì)防火墻等重要設(shè)備未經(jīng)授權(quán)的訪問(wèn)。破壞審計(jì)記錄。防火墻的理論特性1創(chuàng)建阻塞點(diǎn)

根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于網(wǎng)絡(luò)系統(tǒng)的邊界（networkboundary），屬于用戶內(nèi)部網(wǎng)絡(luò)邊界安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界就是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接位置。防火墻就是在網(wǎng)絡(luò)的外邊界或周邊，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立的唯一一個(gè)安全控制檢查點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。從而實(shí)現(xiàn)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抵抗來(lái)自各種路線的攻擊，進(jìn)而提高被保護(hù)網(wǎng)絡(luò)的安全性，降低風(fēng)險(xiǎn)。這樣一個(gè)檢查點(diǎn)被稱(chēng)為阻塞點(diǎn)。這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)管理員要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。在某些文獻(xiàn)里，防火墻又被稱(chēng)為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的單聯(lián)系點(diǎn)。需要注意的是，雖然存在著許多的多接入點(diǎn)網(wǎng)絡(luò)，但是每個(gè)出口也都要有防火墻設(shè)備，因此從邏輯上看，防火墻還是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的唯一聯(lián)系點(diǎn)。防火墻的理論特性2強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能

防火墻設(shè)備所處的位置，正好為系統(tǒng)提供了一個(gè)多種安全技術(shù)的集成支撐平臺(tái)。通過(guò)相應(yīng)的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認(rèn)證、審計(jì)等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經(jīng)濟(jì)、更加有效，簡(jiǎn)化了系統(tǒng)管理人員的操作，從而強(qiáng)化了網(wǎng)絡(luò)安全策略的實(shí)行。防火墻的理論特性3實(shí)現(xiàn)網(wǎng)絡(luò)隔離

防火墻將網(wǎng)絡(luò)劃分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)不同的部分，因此網(wǎng)絡(luò)隔離就成為防火墻的基本功能。防火墻通過(guò)將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來(lái)確保內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響，降低外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)一些統(tǒng)計(jì)數(shù)據(jù)的探測(cè)能力。限制來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)防火墻基礎(chǔ)功能之一就是限制信息包進(jìn)入網(wǎng)絡(luò)。防火墻針對(duì)每一個(gè)進(jìn)入內(nèi)部網(wǎng)絡(luò)的企圖都要根據(jù)依照安全策略制訂的規(guī)則進(jìn)行過(guò)濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實(shí)現(xiàn)了對(duì)系統(tǒng)資源的保護(hù)，防止了針對(duì)機(jī)密信息的泄漏、盜竊和破壞性為。限制網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的訪問(wèn)傳統(tǒng)防火墻難于覺(jué)察內(nèi)部的攻擊和破壞行為?，F(xiàn)代防火墻則加強(qiáng)了對(duì)內(nèi)部訪問(wèn)數(shù)據(jù)的監(jiān)控，主要表現(xiàn)就是一切都嚴(yán)格依照預(yù)先制訂的系統(tǒng)整體安全策略，限制內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)。防火墻的理論特性4記錄和審計(jì)內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動(dòng)

由于防火墻處在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接的阻塞點(diǎn)，所以它可以對(duì)所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)存取與訪問(wèn)的行為進(jìn)行監(jiān)控。當(dāng)防火墻發(fā)現(xiàn)可疑的行為時(shí)，可以進(jìn)行及時(shí)的報(bào)警，并提供網(wǎng)絡(luò)是否受到破壞以及攻擊的詳細(xì)信息。對(duì)于內(nèi)部用戶的誤操作防火墻也將進(jìn)行嚴(yán)格的監(jiān)控，預(yù)防內(nèi)部用戶的破壞行為。此外，防火墻還能進(jìn)行網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)操做。以上提及的防火墻的操作和數(shù)據(jù)都將被詳細(xì)地記錄到日志文件（logfile）中并提交給網(wǎng)絡(luò)管理員進(jìn)行分析和審計(jì)。防火墻的日志文件既記錄正常的網(wǎng)絡(luò)訪問(wèn)行為又記錄非正常的網(wǎng)絡(luò)行為。對(duì)日志文件的分析和審計(jì)可以使管理員清楚地了解防火墻的安全保護(hù)能力和運(yùn)行情況；優(yōu)化防火墻，使其更加有效地工作；準(zhǔn)確地識(shí)別入侵者并采取行之有效的措施；及時(shí)地對(duì)非法行為及其造成的后果做出反應(yīng)；為網(wǎng)絡(luò)的優(yōu)化和建設(shè)提供必要的數(shù)據(jù)支撐。管理員需要關(guān)注的問(wèn)題不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是網(wǎng)絡(luò)何時(shí)會(huì)受到攻擊。因此要求管理員要及時(shí)地響應(yīng)報(bào)警信息并經(jīng)常性地審查防火墻日志記錄。防火墻的理論特性5自身具有非常強(qiáng)的抵御攻擊的能力

由于防火墻是一個(gè)關(guān)鍵點(diǎn)，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內(nèi)部網(wǎng)絡(luò)將完全曝光于外部入侵者的目光之下，網(wǎng)絡(luò)的安全將受到嚴(yán)重的威脅！一般來(lái)說(shuō)，防火墻是一臺(tái)安裝了安全操作系統(tǒng)且服務(wù)受限的堡壘主機(jī)。即防火墻自身的操作系統(tǒng)符合相應(yīng)的軟件安全級(jí)別；除了必要的功能外，防火墻不開(kāi)設(shè)任何多余的端口。這些措施在相當(dāng)程度上增強(qiáng)了防火墻抵御攻擊的能力，但這種安全性也只是相對(duì)的。防火墻的實(shí)際功能1包過(guò)濾

網(wǎng)絡(luò)通信通過(guò)計(jì)算機(jī)之間的連接實(shí)現(xiàn)，而連接則是由兩臺(tái)主機(jī)之間相互傳送的若干數(shù)據(jù)包組成。防火墻的基本功能之一就是對(duì)由數(shù)據(jù)包組成的邏輯連接進(jìn)行過(guò)濾，即包過(guò)濾。數(shù)據(jù)包的過(guò)濾參數(shù)有很多，最基本的是通信雙方的IP地址和端口號(hào)。隨著過(guò)濾技術(shù)的不斷發(fā)展，各層網(wǎng)絡(luò)協(xié)議的頭部字段以及通過(guò)對(duì)字段分析得到的連接狀態(tài)等等內(nèi)容都可以作為過(guò)濾技術(shù)考察的參數(shù)。包過(guò)濾技術(shù)也從早期的靜態(tài)包過(guò)濾機(jī)制發(fā)展到動(dòng)態(tài)包過(guò)濾、狀態(tài)檢測(cè)等機(jī)制?？偟恼f(shuō)來(lái)，現(xiàn)在的包過(guò)濾技術(shù)主要包括針對(duì)網(wǎng)絡(luò)服務(wù)的過(guò)濾以及針對(duì)數(shù)據(jù)包本身的過(guò)濾。防火墻的實(shí)際功能2代理

代理技術(shù)是與包過(guò)濾技術(shù)截然不同的另外一種防火墻技術(shù)。這種技術(shù)在防火墻處將用戶的訪問(wèn)請(qǐng)求變成由防火墻代為轉(zhuǎn)發(fā)，外部網(wǎng)絡(luò)看不見(jiàn)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，也無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)的主機(jī)。在防火墻代理服務(wù)中，主要有兩種實(shí)現(xiàn)方式：一是透明代理（Transparentproxy），指內(nèi)部網(wǎng)絡(luò)用戶在訪問(wèn)外部網(wǎng)絡(luò)的時(shí)候，本機(jī)配置無(wú)需任何改變，防火墻就像透明的一樣；二是傳統(tǒng)代理，其工作原理與透明代理相似，所不同的是它需要在客戶端設(shè)置代理服務(wù)器。相對(duì)于包過(guò)濾技術(shù)，代理技術(shù)可以提供更加深入細(xì)致的過(guò)濾，甚至可以理解應(yīng)用層的內(nèi)容，但是實(shí)現(xiàn)復(fù)雜且速度較慢。防火墻的實(shí)際功能3網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換功能現(xiàn)在已經(jīng)成為防火墻的標(biāo)準(zhǔn)功能之一。通過(guò)這項(xiàng)功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對(duì)內(nèi)部網(wǎng)絡(luò)用戶起到保護(hù)作用；同時(shí)可以用來(lái)緩解由于網(wǎng)絡(luò)規(guī)模需速增長(zhǎng)而帶來(lái)的地址空間短缺問(wèn)題；此外還可以消除組織或機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩。下面描述一下從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)建立連接時(shí)NAT工作的過(guò)程：

1）防火墻對(duì)收到的內(nèi)部訪問(wèn)請(qǐng)求進(jìn)行過(guò)濾，決定允許該訪問(wèn)請(qǐng)求通過(guò)還是拒絕。

2）NAT機(jī)制將請(qǐng)求中的源IP地址轉(zhuǎn)換為防火墻處可以利用的一個(gè)公共IP地址。

3）將變動(dòng)后的請(qǐng)求信息轉(zhuǎn)發(fā)往目的地。當(dāng)從目的地返回的響應(yīng)信息到達(dá)防火墻的接口時(shí)，防火墻執(zhí)行如下步驟：

1）NAT將響應(yīng)數(shù)據(jù)包中的目的地址轉(zhuǎn)換為發(fā)出請(qǐng)求的內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址。

2）將該響應(yīng)數(shù)據(jù)包發(fā)往發(fā)出請(qǐng)求的內(nèi)部網(wǎng)絡(luò)主機(jī)。防火墻的實(shí)際功能4虛擬專(zhuān)用網(wǎng)VPN在不安全的公共網(wǎng)絡(luò)，例如Internet，上建立一個(gè)邏輯的專(zhuān)用數(shù)據(jù)網(wǎng)絡(luò)來(lái)進(jìn)行信息的安全傳遞，目前已經(jīng)成為在線交換信息的最安全的方式之一。但是傳統(tǒng)的防火墻不能對(duì)VPN的加密連接進(jìn)行解密檢查，所以是不允許VPN通信通過(guò)的，VPN設(shè)備也是作為單獨(dú)產(chǎn)品出現(xiàn)的?，F(xiàn)在越來(lái)越多的廠家將防火墻和VPN集成在一起，將VPN作為防火墻的一種新的技術(shù)配置。多數(shù)防火墻支持VPN加密標(biāo)準(zhǔn)，并提供基于硬件的加密，這使得防火墻速度不減但功能更加合理。防火墻的實(shí)際功能5用戶身份認(rèn)證

防火墻要對(duì)發(fā)出網(wǎng)絡(luò)訪問(wèn)連接請(qǐng)求的用戶和用戶請(qǐng)求的資源進(jìn)行認(rèn)證，確認(rèn)請(qǐng)求的真實(shí)性和授權(quán)范圍。系統(tǒng)整體安全策略確定了防火墻執(zhí)行的身份認(rèn)證級(jí)別。與此相應(yīng)的是防火墻一般支持多種身份認(rèn)證方案，譬如RADIUS、Kerberos、TACACS／TACACS+、用戶名+口令、數(shù)字證書(shū)等等。防火墻的實(shí)際功能6記錄、報(bào)警、分析與審計(jì)

防火墻對(duì)于所有通過(guò)它的通信量以及由此產(chǎn)生的其它信息要進(jìn)行記錄，并提供日志管理和存儲(chǔ)方法。具體內(nèi)容如下：自動(dòng)報(bào)表、日志報(bào)告書(shū)寫(xiě)器：防火墻實(shí)現(xiàn)報(bào)表自動(dòng)化輸出和日志報(bào)告功能。簡(jiǎn)要列表：防火墻按要求進(jìn)行報(bào)表分類(lèi)打印的功能。自動(dòng)日志掃描：防火墻的日志自動(dòng)分析和掃描功能。圖表統(tǒng)計(jì)：防火墻進(jìn)行日志分析后以圖形方式輸出統(tǒng)計(jì)結(jié)果。報(bào)警機(jī)制是在發(fā)生違反安全策略的事件后，防火墻向管理員發(fā)出提示通知的機(jī)制，各種現(xiàn)代通信手段都可以使用，包括E-mail、呼機(jī)、手機(jī)等。分析與審計(jì)機(jī)制用于監(jiān)控通信行為，分析日志情況，進(jìn)而查出安全漏洞和錯(cuò)誤配置，完善安全策略。防火墻的日志記錄量往往比較大，通常將日志存儲(chǔ)在一臺(tái)專(zhuān)門(mén)的日志服務(wù)器上。防火墻的實(shí)際功能7管理功能

防火墻的管理功能是將防火墻設(shè)備與系統(tǒng)整體安全策略下的其它安全設(shè)備聯(lián)系到一起并相互配合、協(xié)調(diào)工作的功能，是實(shí)現(xiàn)一體化安全必不可少的要素。一般說(shuō)來(lái)，防火墻的管理包括下列方面：根據(jù)網(wǎng)絡(luò)安全策略編制防火墻過(guò)濾規(guī)則。配置防火墻運(yùn)行參數(shù)?？梢酝ㄟ^(guò)本地Console口配置、基于不同協(xié)議的遠(yuǎn)程網(wǎng)絡(luò)化配置等方式進(jìn)行。實(shí)現(xiàn)防火墻日志的自動(dòng)化管理。就是實(shí)現(xiàn)日志文件的記錄、轉(zhuǎn)存、分析、再配置等過(guò)程的自動(dòng)化和智能化。防火墻的性能管理。包括動(dòng)態(tài)帶寬管理、負(fù)載均衡、失敗恢復(fù)等技術(shù)。也可以通過(guò)本地或者遠(yuǎn)程多種方式實(shí)現(xiàn)。防火墻的實(shí)際功能8其他特殊功能

除了上面描述的技術(shù)功能外，許多廠家為了顯示各自產(chǎn)品的與眾不同，還在防火墻中加入了很多其它的功能，比如病毒掃描，有的防火墻具有防病毒功能，可以發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中包含的危險(xiǎn)信息；信息過(guò)濾，指防火墻能夠過(guò)濾URL、HTTP攜帶的信息、JavaApplet、JavaScript、ActiveX以及電子郵件中的Subject、To、From域等網(wǎng)絡(luò)應(yīng)用信息內(nèi)容；用戶的特定權(quán)限設(shè)置，包括使用時(shí)間、郵件發(fā)送權(quán)限、件傳輸權(quán)限、使用的主機(jī)、所能進(jìn)行的互聯(lián)網(wǎng)應(yīng)用等等，這些內(nèi)容依據(jù)用戶需求不同而不同。防火墻的規(guī)則規(guī)則的作用：系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)政策。規(guī)則內(nèi)容的分類(lèi)：高級(jí)政策；低級(jí)政策。規(guī)則的特點(diǎn)：規(guī)則是系統(tǒng)安保策略的實(shí)現(xiàn)和延伸；

與網(wǎng)絡(luò)訪問(wèn)行為緊密相關(guān)；在嚴(yán)格安全管理和充分利用網(wǎng)絡(luò)之間取得較好的平衡；防火墻可以實(shí)施各種不同的服務(wù)訪問(wèn)政策。規(guī)則的設(shè)計(jì)原則：拒絕訪問(wèn)一切未予特許的服務(wù)；允許訪問(wèn)一切未被特別拒絕的服務(wù)。規(guī)則的順序問(wèn)題：必須仔細(xì)考慮規(guī)則的順序，防止出現(xiàn)系統(tǒng)漏洞。防火墻的分類(lèi)按防火墻采用的主要技術(shù)劃分按防火墻的具體實(shí)現(xiàn)劃分按防火墻部署的位置劃分按防火墻的形式劃分按受防火墻保護(hù)的對(duì)象劃分按防火墻的使用者劃分按防火墻采用的主要技術(shù)劃分包過(guò)濾型代理型包過(guò)濾型包過(guò)濾型防火墻工作在ISO7層模型的傳輸層以下，根據(jù)數(shù)據(jù)包頭部各個(gè)字段進(jìn)行過(guò)濾，包括源地址、端口號(hào)以及協(xié)議類(lèi)型等。包過(guò)濾方式不針對(duì)具體的網(wǎng)絡(luò)服務(wù)而是針對(duì)數(shù)據(jù)包本身進(jìn)行過(guò)濾，適用于所有網(wǎng)絡(luò)服務(wù)。目前大多數(shù)的路由器設(shè)備都集成了數(shù)據(jù)包過(guò)濾的功能，具有很高的性價(jià)比。包過(guò)濾方式也有明顯的缺點(diǎn)：過(guò)濾判別條件有限，安全性不高；過(guò)濾規(guī)則數(shù)目的增加會(huì)極大地影響防火墻的性能；很難進(jìn)行對(duì)用戶身份進(jìn)行驗(yàn)證；對(duì)安全管理人員素質(zhì)要求高。包過(guò)濾型防火墻包括以下幾種類(lèi)型：靜態(tài)包過(guò)濾防火墻動(dòng)態(tài)包過(guò)濾防火墻狀態(tài)檢測(cè)（StatefulInspection）防火墻代理型代理型防火墻工作在ISO7層模型的最高層——應(yīng)用層。它完全阻斷了網(wǎng)絡(luò)訪問(wèn)的數(shù)據(jù)流：它為每一種服務(wù)都建立了一個(gè)代理，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間沒(méi)有直接的服務(wù)連接，都必須通過(guò)相應(yīng)的代理審核后再轉(zhuǎn)發(fā)。代理型防火墻的優(yōu)點(diǎn)是：工作在應(yīng)用層上，可以對(duì)網(wǎng)絡(luò)連接的深層的內(nèi)容進(jìn)行監(jiān)控；它事實(shí)上阻斷了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，實(shí)現(xiàn)了內(nèi)外網(wǎng)絡(luò)的相互屏蔽，避免了數(shù)據(jù)驅(qū)動(dòng)類(lèi)型的攻擊。代理型防火墻的缺點(diǎn)是：速度相對(duì)較慢，當(dāng)網(wǎng)關(guān)處數(shù)據(jù)吞吐量較高時(shí)，防火墻就會(huì)成為瓶頸。代理型防火墻有如下幾種類(lèi)型：應(yīng)用網(wǎng)關(guān)（ApplicationGateway）電路級(jí)網(wǎng)關(guān)（CircuitProxy）自適應(yīng)代理（Adaptiveproxy）按防火墻的具體實(shí)現(xiàn)劃分多重宿主主機(jī)篩選路由器屏蔽主機(jī)屏蔽子網(wǎng)其他實(shí)現(xiàn)結(jié)構(gòu)多重宿主主機(jī)

多重宿主主機(jī)是放在內(nèi)網(wǎng)與外網(wǎng)接口上的一臺(tái)堡壘主機(jī)。它最少有兩個(gè)網(wǎng)絡(luò)接口：一個(gè)與內(nèi)網(wǎng)相連，另外一個(gè)與外網(wǎng)相連。內(nèi)、外網(wǎng)之間禁止直接通信，需通過(guò)多重宿主主機(jī)上應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來(lái)完成。主要有以下兩種類(lèi)型：雙重宿主主機(jī)雙重宿主主機(jī)用于在內(nèi)、外網(wǎng)之間進(jìn)行尋徑并通過(guò)其上的共享數(shù)據(jù)服務(wù)提供網(wǎng)絡(luò)應(yīng)用。要求用戶必須通過(guò)賬號(hào)和口令登錄到主機(jī)上才能使用這些服務(wù)。雙重宿主主機(jī)要求主機(jī)自身有較強(qiáng)的安全性；要支持多種服務(wù)、多個(gè)用戶的訪問(wèn)需求；要能管理其上的大量用戶賬號(hào)。因此雙重宿主主機(jī)既是系統(tǒng)安全的瓶頸又是系統(tǒng)性能的瓶頸，維護(hù)起來(lái)也很困難。雙重宿主網(wǎng)關(guān)雙重宿主網(wǎng)關(guān)通過(guò)運(yùn)行其上的各種代理服務(wù)器來(lái)提供網(wǎng)絡(luò)服務(wù)。雙重宿主網(wǎng)關(guān)與雙重宿主主機(jī)相比，從結(jié)構(gòu)上說(shuō)并沒(méi)有變化，同時(shí)代理服務(wù)器的服務(wù)響應(yīng)比雙重宿主主機(jī)的數(shù)據(jù)共享慢一些，靈活性較差。篩選路由器

篩選路由器又稱(chēng)為包過(guò)濾路由器、網(wǎng)絡(luò)層防火墻、IP過(guò)濾器或篩選過(guò)濾器，通常是用一臺(tái)放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的路由器來(lái)實(shí)現(xiàn)。它對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的信息過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過(guò)，拒絕非授權(quán)信息通過(guò)。篩選濾路由器具有速度快、提供透明服務(wù)、實(shí)現(xiàn)簡(jiǎn)單等優(yōu)點(diǎn)。同時(shí)也有安全性不高、維護(hù)和管理比較困難等缺點(diǎn)。篩選路由器只適用于非集中化管理、無(wú)強(qiáng)大的集中安全策略、網(wǎng)絡(luò)主機(jī)數(shù)目較少的組織或機(jī)構(gòu)。屏蔽主機(jī)

這種防火墻由內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一臺(tái)過(guò)濾路由器和一臺(tái)堡壘主機(jī)構(gòu)成。它強(qiáng)迫所有外部主機(jī)與堡壘主機(jī)相連接，而不讓它們與內(nèi)部主機(jī)直接相連。為了達(dá)到這個(gè)目的，過(guò)濾路由器將所有的外部到內(nèi)部的連接都路由到了堡壘主機(jī)上，讓外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)通過(guò)堡壘主機(jī)上提供的相應(yīng)代理服務(wù)器進(jìn)行。對(duì)于內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的出站連接則可以采用不同的策略：有些服務(wù)可以允許繞過(guò)堡壘主機(jī)，直接通過(guò)過(guò)濾路由器進(jìn)行連接；而其它的一些服務(wù)則必須經(jīng)過(guò)堡壘主機(jī)上的運(yùn)行該服務(wù)的代理服務(wù)器實(shí)現(xiàn)。這種防火墻的安全性相對(duì)較高：它不但提供了網(wǎng)絡(luò)層的包過(guò)濾服務(wù)，而且提供了應(yīng)用層的代理服務(wù)。其主要缺陷是：篩選路由器是系統(tǒng)的單失效點(diǎn)；系統(tǒng)服務(wù)響應(yīng)速度較慢；具有較大的管理復(fù)雜性。屏蔽子網(wǎng)

屏蔽子網(wǎng)與屏蔽主機(jī)在本質(zhì)上是一樣的，它對(duì)網(wǎng)絡(luò)的安全保護(hù)通過(guò)兩臺(tái)包過(guò)濾路由器和在這兩臺(tái)路由器之間構(gòu)筑的子網(wǎng)，即非軍事區(qū)來(lái)實(shí)現(xiàn)。在非軍事區(qū)里放置堡壘主機(jī)，還可能有公用信息服務(wù)器。與外部網(wǎng)絡(luò)相連的過(guò)濾路由器只允許外部系統(tǒng)訪問(wèn)非軍事區(qū)內(nèi)的堡壘主機(jī)或者公用信息服務(wù)器。與內(nèi)部網(wǎng)絡(luò)相連接的過(guò)濾路由器只接受從堡壘主機(jī)來(lái)的數(shù)據(jù)包。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接訪問(wèn)是被嚴(yán)格禁止的。相對(duì)于其它幾種防火墻而言，屏蔽子網(wǎng)的安全性是最高的，它為此付出的代價(jià)是：經(jīng)過(guò)多級(jí)路由器和主機(jī)，網(wǎng)絡(luò)服務(wù)性能下降；管理復(fù)雜度較大。其他實(shí)現(xiàn)結(jié)構(gòu)

其他結(jié)構(gòu)的防火墻系統(tǒng)都是上述幾種結(jié)構(gòu)的變形，主要有：一個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)、兩個(gè)堡壘主機(jī)和兩個(gè)非軍事區(qū)、兩個(gè)堡壘主機(jī)和一個(gè)非軍事區(qū)等等，目的都是通過(guò)設(shè)定過(guò)濾和代理的層次使得檢測(cè)層次增多從而增加安全性。按防火墻部署的位置劃分單接入點(diǎn)的傳統(tǒng)防火墻混合式防火墻分布式防火墻單接入點(diǎn)的傳統(tǒng)防火墻

防火墻最普通的表現(xiàn)形式。位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相交的邊界，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，實(shí)施網(wǎng)絡(luò)隔離?；旌鲜椒阑饓?/p>

混合式防火墻依賴(lài)于地址策略將安全策略分發(fā)給各個(gè)站點(diǎn)，由各個(gè)站點(diǎn)實(shí)施這些規(guī)則。其代表產(chǎn)品為CHECKPOINT公司的FIREWALL-1防火墻。它通過(guò)裝載到網(wǎng)絡(luò)操作中心上的多域服務(wù)器來(lái)控制多個(gè)防火墻用戶模塊。多域服務(wù)器有多個(gè)用戶管理加載模塊，每個(gè)模塊都有一個(gè)虛擬IP地址，對(duì)應(yīng)著若干防火墻用戶模塊。安全策略通過(guò)多域服務(wù)器上的用戶管理加載模塊下發(fā)到各個(gè)防火墻用戶模塊。防火墻用戶模塊執(zhí)行安全規(guī)則，并將數(shù)據(jù)存放到對(duì)應(yīng)的用戶管理加載模塊的目錄下。多域服務(wù)器可以共享這些數(shù)據(jù)，使得防火墻多點(diǎn)接入成為可能。混合式防火墻將網(wǎng)絡(luò)流量分擔(dān)給多個(gè)接入點(diǎn)，降低了單一接入點(diǎn)的工作強(qiáng)度，安全性、管理性更強(qiáng)。但網(wǎng)絡(luò)操作中心是系統(tǒng)的單失效點(diǎn)。分布式防火墻

分布式防火墻是一種較新的防火墻實(shí)現(xiàn)：防火墻是在每一臺(tái)連接到網(wǎng)絡(luò)的主機(jī)上實(shí)現(xiàn)的，負(fù)責(zé)所在主機(jī)的安全策略的執(zhí)行、異常情況的報(bào)告，并收集所在主機(jī)的通信情況記錄和安全信息；同時(shí)，設(shè)置一個(gè)網(wǎng)絡(luò)安全管理中心，按照用戶權(quán)限的不同向安裝在各臺(tái)主機(jī)上的防火墻分發(fā)不同的網(wǎng)絡(luò)安全策略，此外還要收集、分析、統(tǒng)計(jì)各個(gè)防火墻的安全信息。這種防火墻的優(yōu)點(diǎn)突出：可以使每一臺(tái)主機(jī)得到最合適的保護(hù)，安全策略完全符合主機(jī)的要求；不依賴(lài)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，加入網(wǎng)絡(luò)完全依賴(lài)于密碼標(biāo)志而不是IP地址。分布式防火墻的不足在于：難于實(shí)現(xiàn)；安全數(shù)據(jù)收集困難；網(wǎng)絡(luò)安全中心負(fù)荷過(guò)重。按防火墻的形式劃分軟件防火墻

軟件防火墻產(chǎn)品形式是軟件代碼，它不依靠具體的硬件設(shè)備，而純粹依靠軟件來(lái)監(jiān)控網(wǎng)絡(luò)信息。軟件防火墻固然有安裝、維護(hù)簡(jiǎn)單的優(yōu)點(diǎn)，但對(duì)于安裝平臺(tái)的性能要求較高。獨(dú)立硬件防火墻

硬件防火墻則需要專(zhuān)用的硬件設(shè)備，一般采用ASIC技術(shù)架構(gòu)或者網(wǎng)絡(luò)處理器，它們都為數(shù)據(jù)包的檢測(cè)進(jìn)行了專(zhuān)門(mén)的優(yōu)化。從外觀上看，獨(dú)立硬件防火墻與集線器、交換機(jī)或者路由器類(lèi)似，只是只有少數(shù)幾個(gè)接口，分別用于連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。模塊化防火墻

目前很多的路由器都已經(jīng)集成了防火墻的功能，這種防火墻往往作為路由器的一個(gè)可選配的模塊存在。當(dāng)用戶選擇路由器的時(shí)候，可以根據(jù)需要選購(gòu)防火墻模塊來(lái)實(shí)現(xiàn)自身網(wǎng)絡(luò)的安全防護(hù)，這可以大大降低網(wǎng)絡(luò)設(shè)備的采購(gòu)成本。按受防火墻保護(hù)的對(duì)象劃分單機(jī)防火墻單機(jī)防火墻的設(shè)計(jì)目的是為了保護(hù)單臺(tái)主機(jī)網(wǎng)絡(luò)訪問(wèn)操作的安全。單機(jī)防火墻一般是以裝載到受保護(hù)主機(jī)的硬盤(pán)里的軟件程序的形式存在的，也有做成網(wǎng)卡形式的單機(jī)防火墻存在，但是不是很多。受到載機(jī)性能所限，單機(jī)防火墻性能不會(huì)很高，無(wú)法與網(wǎng)絡(luò)防火墻相比。網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻的設(shè)計(jì)目的是為了保護(hù)相應(yīng)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)防火墻一般采用軟件與硬件相結(jié)合的形式，也有純軟件的防火墻存在。網(wǎng)絡(luò)防火墻處于受保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相接的節(jié)點(diǎn)上，對(duì)于網(wǎng)絡(luò)負(fù)載吞吐量、過(guò)濾速度、過(guò)濾強(qiáng)度等參數(shù)的要求比單機(jī)防火墻要高。目前大部分的防火墻產(chǎn)品都是網(wǎng)絡(luò)防火墻。按防火墻的使用者劃分企業(yè)級(jí)防火墻企業(yè)級(jí)防火墻的設(shè)計(jì)目的是為企業(yè)聯(lián)網(wǎng)提供安全訪問(wèn)控制服務(wù)。此外，根據(jù)企業(yè)的安全要求，企業(yè)級(jí)防火墻還會(huì)提供更多的安全功能。譬如，企業(yè)為了保證客戶訪問(wèn)的效率，第一時(shí)間響應(yīng)客戶的請(qǐng)求，一般要求支持千兆線速轉(zhuǎn)發(fā)；為了與企業(yè)伙伴之間安全地交換數(shù)據(jù)，要求支持VPN；為了維護(hù)企業(yè)利益，要對(duì)進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行深度過(guò)濾等等。可以說(shuō)，防火墻產(chǎn)品功能的花樣翻新與企業(yè)需求的多種多樣是直接相關(guān)的，防火墻所有功能都會(huì)在企業(yè)的安全需求中找到。個(gè)人防火墻個(gè)人防火墻主要用于個(gè)人使用計(jì)算機(jī)的安全防護(hù)，實(shí)際上與單機(jī)防火墻是一樣的概念，只是看待問(wèn)題的出發(fā)點(diǎn)不同而已。使用防火墻的好處

防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)“檢查點(diǎn)”來(lái)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)并抵抗各種攻擊，增加了網(wǎng)絡(luò)的安全性。防火墻通過(guò)過(guò)濾存在著安全缺陷的網(wǎng)絡(luò)服務(wù)來(lái)降低受保護(hù)網(wǎng)絡(luò)遭受攻擊的威脅。防火墻可以增強(qiáng)受保護(hù)節(jié)點(diǎn)的保密性，強(qiáng)化私有權(quán)。防火墻有能力較精確地控制對(duì)內(nèi)部子系統(tǒng)的訪問(wèn)。防火墻系統(tǒng)具有集中安全性。在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。防火墻是審計(jì)和記錄網(wǎng)絡(luò)行為最佳的地方。防火墻可以作為向客戶發(fā)布信息的地點(diǎn)。防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實(shí)施平臺(tái)。防火墻的不足

限制網(wǎng)絡(luò)服務(wù)對(duì)內(nèi)部用戶防范不足不能防范旁路連接不適合進(jìn)行病毒檢測(cè)無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊無(wú)法防范所有的威脅防火墻配置比較困難無(wú)法防范內(nèi)部人員泄露機(jī)密信息防火墻對(duì)網(wǎng)絡(luò)訪問(wèn)速度有影響單失效點(diǎn)相關(guān)標(biāo)準(zhǔn)國(guó)外的信息安全標(biāo)準(zhǔn)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)TCSEC標(biāo)準(zhǔn)于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，并于1985年12月由美國(guó)國(guó)防部公布。TCSEC是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，對(duì)信息安全標(biāo)準(zhǔn)化建設(shè)具有重要的意義，又被稱(chēng)為“橘皮書(shū)”。TCSEC的重點(diǎn)在于提供對(duì)敏感信息的機(jī)密性保護(hù)。它將系統(tǒng)安全概括為六個(gè)方面：安全策略、標(biāo)識(shí)、識(shí)別、責(zé)任、保證和持續(xù)的保護(hù)。整個(gè)標(biāo)準(zhǔn)分成兩大部分：一是安全等級(jí)的劃分，二是該準(zhǔn)則開(kāi)發(fā)的目的、原理和美國(guó)政府的政策，同時(shí)提供了隱蔽通道、強(qiáng)訪問(wèn)控制和安全測(cè)試的開(kāi)發(fā)指南。其中使用最為廣泛的就是第一部分——安