防火墻技術(shù)與應(yīng)用

防火墻技術(shù)與應(yīng)用第1頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)28.1網(wǎng)絡(luò)防火墻概述防火墻：防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。

第2頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)38.1網(wǎng)絡(luò)防火墻概述網(wǎng)絡(luò)防火墻：在可信和不可信網(wǎng)絡(luò)間設(shè)置的保護(hù)裝置，用于保護(hù)內(nèi)部資源免遭非法入侵。服務(wù)器內(nèi)部網(wǎng)可信網(wǎng)絡(luò)Internet不可信網(wǎng)絡(luò)第3頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)4第4頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)58.1.1網(wǎng)絡(luò)防火墻基本概念堡壘主機(jī)：指一個(gè)計(jì)算機(jī)系統(tǒng)，它對(duì)外部網(wǎng)絡(luò)暴露，同時(shí)又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)。雙宿主主機(jī)：又稱雙宿主機(jī)或雙穴主機(jī)，是具有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)。第5頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)6包過濾：設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流（包）進(jìn)行有選擇的控制與操作。通常是對(duì)從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過濾。參數(shù)網(wǎng)絡(luò)：為了增加一層安全控制，在內(nèi)部網(wǎng)與外部網(wǎng)之間增加的一個(gè)網(wǎng)絡(luò)，中立區(qū)，有時(shí)也稱非軍事區(qū)，即DMZ（DemilitarizedZone）。

代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)用戶與外部服務(wù)器進(jìn)行信息交換的計(jì)算機(jī)（軟件）系統(tǒng)。

第6頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)7對(duì)于防火墻的發(fā)展歷史，基于功能劃分可分為五個(gè)階段第一代防火墻

幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。

第二、三代防火墻

1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻

1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

。

防火墻技術(shù)的發(fā)展簡(jiǎn)史第7頁，共51頁，2023年，2月20日，星期二防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史返回本節(jié)防火墻技術(shù)的發(fā)展簡(jiǎn)史第8頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)98.1.2網(wǎng)絡(luò)防火墻的目的與作用

1. 構(gòu)建網(wǎng)絡(luò)防火墻的主要目的限制某些訪問者進(jìn)入一個(gè)被嚴(yán)格控制的點(diǎn)。防止進(jìn)攻者接近防御設(shè)備。限制某些訪問者離開一個(gè)被嚴(yán)格控制的點(diǎn)。檢查、篩選、過濾和屏蔽信息流中的有害服務(wù)，防止對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行蓄意破壞。

第9頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)10過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的訪問行為記錄通過防火墻的信息內(nèi)容和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警2.網(wǎng)絡(luò)防火墻的作用第10頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)118.1.3防火墻的局限性防火墻不能防范未通過自身的網(wǎng)絡(luò)連接防火墻不能防范未知的威脅防火墻不能防范內(nèi)部用戶的惡意破壞防火墻不能防止感染病毒的軟件或文件傳輸防火墻本身也存在安全問題第11頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)12按對(duì)數(shù)據(jù)包處理方式不同包過濾式防火墻應(yīng)用代理式防火墻狀態(tài)檢測(cè)防火墻

按體系結(jié)構(gòu)硬件防火墻(基于PC架構(gòu),在PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng))軟件防火墻：Checkpoint,ISAServer芯片級(jí)防火墻(基于專門的硬件平臺(tái))8.2防火墻的基本類型按操作模式網(wǎng)橋模式路由模式NAT按性能百兆千兆按部署方式邊界(企業(yè))防火墻個(gè)人（主機(jī)）防火墻第12頁，共51頁，2023年，2月20日，星期二13包過濾路由器模式

往往用一臺(tái)路由器來實(shí)現(xiàn)網(wǎng)絡(luò)層安全基本的思想很簡(jiǎn)單工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制作用，對(duì)于傳輸層，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。往往配置成雙向的該防火墻不能夠隱藏內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。優(yōu)點(diǎn)：

實(shí)現(xiàn)簡(jiǎn)單、費(fèi)用低、對(duì)用戶透明、效率高

缺點(diǎn)：

維護(hù)困難、不支持用戶鑒別8.2.1包過濾型防火墻

第13頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)14感覺的連接實(shí)際的連接代理服務(wù)器內(nèi)部網(wǎng)絡(luò)Internet真正的服務(wù)器客戶機(jī)8.2.2代理服務(wù)器型防火墻1.工作原理第14頁，共51頁，2023年，2月20日，星期二代理的工作方式第15頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)16代理服務(wù)器有兩個(gè)部件：一個(gè)代理服務(wù)器和一個(gè)代理客戶。

代理服務(wù)器HTTPFTPTelnet…代理客戶外部網(wǎng)絡(luò)服務(wù)器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求響應(yīng)請(qǐng)求轉(zhuǎn)發(fā)響應(yīng)源IP為代理客戶源IP為代理服務(wù)器源IP為代外部服務(wù)器源IP為代外部服務(wù)器第16頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)172. 優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：能完全控制網(wǎng)絡(luò)信息的交換，控制會(huì)話過程，具有靈活性和安全性。

缺點(diǎn)：可能影響網(wǎng)絡(luò)的性能，對(duì)用戶不透明，且對(duì)每一種服務(wù)器都要設(shè)計(jì)一個(gè)代理模塊，建立對(duì)應(yīng)的網(wǎng)關(guān)層，實(shí)現(xiàn)起來比較復(fù)雜。

第17頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)188.2.3狀態(tài)檢測(cè)防火墻

1.概述

狀態(tài)檢測(cè)防火墻又稱為動(dòng)態(tài)包過濾防火墻，它工作在傳輸層，檢查的不僅僅是數(shù)據(jù)包中的頭部信息，而且會(huì)跟蹤數(shù)據(jù)包的狀態(tài)，即不同數(shù)據(jù)包之間的共性。 規(guī)則定義在轉(zhuǎn)發(fā)控制表中，因產(chǎn)品不同控制表格式不同，這里討論抽象的過濾規(guī)則。 第18頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)19防火墻制訂規(guī)則集原則：先特殊，后一般。操作方式有：轉(zhuǎn)發(fā)、丟棄、報(bào)錯(cuò)、備忘等。關(guān)鍵技術(shù)：實(shí)現(xiàn)連接的跟蹤功能。2.狀態(tài)檢測(cè)防火墻的特點(diǎn)第19頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)203.狀態(tài)檢測(cè)防火墻的工作過程

1）狀態(tài)檢測(cè)表：由規(guī)則表和連接狀態(tài)表兩部分組成。

2）工作過程首先利用規(guī)則表進(jìn)行數(shù)據(jù)包的過濾，此過程與靜態(tài)包過濾防火墻基本相同。如果某一個(gè)數(shù)據(jù)包(如“IP分組B1”)在進(jìn)入防火墻時(shí)，規(guī)則表拒絕它通過，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包(如“IP分組B2”、“IP分組B3”等)同樣會(huì)被拒絕通過。第20頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)21圖8-7狀態(tài)檢測(cè)防火墻的工作示意圖第21頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)22

HTTP是一個(gè)基于TCP的服務(wù)，一般使用端口80，也可使用其他非標(biāo)準(zhǔn)端口，客戶機(jī)使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。

規(guī)則1、規(guī)則2允許外部主機(jī)訪問本站點(diǎn)的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機(jī)訪問外部的WWW服務(wù)器。防火墻規(guī)則制訂實(shí)例1第22頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)23訪問要求：

1）網(wǎng)絡(luò)/16不愿其他Internet主機(jī)訪問其站點(diǎn)；

2）但它的一個(gè)子網(wǎng)/24和某大學(xué)/16有合作項(xiàng)目，因此允許該大學(xué)訪問該子網(wǎng)；

3）然而/24是黑客天堂，需要禁止。防火墻規(guī)則制訂實(shí)例2第23頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)24注意這些規(guī)則之間并不是互斥的，因此要考慮順序。123規(guī)則順序安排原則：先特殊，后普遍內(nèi)網(wǎng)大學(xué)進(jìn)來出去內(nèi)網(wǎng)黑客天堂進(jìn)來出去第24頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)25

1）一切未被允許的訪問就是禁止的 防火墻要封鎖所有的信息流，然后對(duì)希望開放的服務(wù)逐步開放。具有較高安全性，但犧牲了用戶使用方便性。

2）一切未被禁止的訪問就是允許的

防火墻開放所有的信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。具有靈活性，但難提供可靠安全保護(hù)。8.3防火墻設(shè)計(jì)的準(zhǔn)則第25頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)268.4防火墻安全體系結(jié)構(gòu)防火墻按體系結(jié)構(gòu)可以分為：

（1）包過濾型防火墻結(jié)構(gòu)（2）雙宿主主機(jī)型結(jié)構(gòu)（3）屏蔽主機(jī)型防火墻結(jié)構(gòu)（4）屏蔽子網(wǎng)型防火墻結(jié)構(gòu)

(5)通過混合組合而衍生的其他結(jié)構(gòu)的防火墻第26頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)278.4.1包過濾防火墻結(jié)構(gòu)在傳統(tǒng)的路由器中增加分組過濾功能。包過濾型防火墻的核心技術(shù)就是安全策略設(shè)計(jì)即包過濾算法的設(shè)計(jì)。第27頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)28包過濾型防火墻具有以下優(yōu)點(diǎn)。（1）處理包的速度比代理服務(wù)器快，過濾路由器為用戶提供了一種透明的服務(wù)，用戶不用改變客戶端程序或改變自己的行為。（2）實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用（或極少的費(fèi)用），因?yàn)檫@些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件中。（3）包過濾路由器對(duì)用戶和應(yīng)用來講是透明的。第28頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)29包過濾型防火墻存在以下的缺點(diǎn)。（1）防火墻的維護(hù)比較困難，定義數(shù)據(jù)包過濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式以及每個(gè)域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義得完善。（2）只能阻止一種類型的IP欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝其他可信任的外部主機(jī)的IP卻不可阻止。（3）任何直接經(jīng)路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動(dòng)攻擊的潛在危險(xiǎn)。

第29頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)30（4）一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。（5）不可能提供有用的日志，或根本就不提供，這使用戶發(fā)覺網(wǎng)絡(luò)受攻擊的難度加大，也就談不上根據(jù)日志來進(jìn)行網(wǎng)絡(luò)的優(yōu)化、完善以及追查責(zé)任。（6）隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降。（7）IP包過濾器無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。（8）允許外部網(wǎng)絡(luò)直接連接到內(nèi)部網(wǎng)絡(luò)的主機(jī)上，易造成敏感數(shù)據(jù)的泄漏。第30頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)318.4.2雙宿主主機(jī)防火墻結(jié)構(gòu)

雙宿主主機(jī)防火墻采用主機(jī)取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻，雙宿主主機(jī)可以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑。雙宿主主機(jī)防火墻的最大特點(diǎn)是IP層的通信被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成，而不能直接通信。第31頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)32一般要求用戶先注冊(cè)，再通過雙宿主主機(jī)訪問另一邊的網(wǎng)絡(luò)，但由于代理服務(wù)器簡(jiǎn)化了用戶的訪問過程，可以做到對(duì)用戶透明。第32頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)33雙宿主主機(jī)防火墻優(yōu)缺點(diǎn)雙宿主主機(jī)體系結(jié)構(gòu)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程管理日志。這對(duì)于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)部網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙宿主主機(jī)體系結(jié)構(gòu)的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。第33頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)348.4.3主機(jī)過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu) 由過濾路由器和運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)構(gòu)成。提供安全保護(hù)的堡壘主機(jī)僅與內(nèi)部網(wǎng)絡(luò)相連，而過濾路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

內(nèi)部網(wǎng)Internet路由器堡壘主機(jī)第34頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)352.特點(diǎn)可完成多種代理，還可以完成認(rèn)證和交互作用，能提供完善的Internet訪問控制。

堡壘主機(jī)是網(wǎng)絡(luò)黑客集中攻擊的目標(biāo)，安全保障仍不理想。比雙宿主主機(jī)結(jié)構(gòu)能提供更好的安全保護(hù)區(qū)，同時(shí)也更具有可操作性。防火墻投資少，安全功能實(shí)現(xiàn)和擴(kuò)充容易，因而目前應(yīng)用比較廣泛。

第35頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)368.4.4子網(wǎng)過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)也稱為被屏蔽子網(wǎng)體系結(jié)構(gòu)或者篩選子網(wǎng)體系結(jié)構(gòu)。它用兩臺(tái)包過濾路由器建立一個(gè)DMZ，用這一DMZ將內(nèi)部網(wǎng)和外部網(wǎng)分開，簡(jiǎn)單的子網(wǎng)過濾體系結(jié)構(gòu)如圖所示在這種體系結(jié)構(gòu)中兩個(gè)包過濾路由器放在DMZ的兩端，構(gòu)成一個(gè)內(nèi)部網(wǎng)和外部網(wǎng)均可訪問的被屏蔽子網(wǎng)，但禁止信息直接穿過被屏蔽子網(wǎng)進(jìn)行通信。在被屏蔽子網(wǎng)中堡壘主機(jī)作為唯一的可訪問點(diǎn)，該點(diǎn)作為應(yīng)用級(jí)網(wǎng)關(guān)代理。第36頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)37最簡(jiǎn)單的子網(wǎng)過濾體系結(jié)構(gòu)DMZ外部路由器內(nèi)部路由器

Internet

內(nèi)部網(wǎng)堡壘主機(jī)第37頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)382. 特點(diǎn)為了侵入這種類型的網(wǎng)絡(luò)，黑客必須先攻破外部路由器，即使他設(shè)法侵入堡壘主機(jī)，仍然必須通過內(nèi)部路由器，才能進(jìn)入內(nèi)部網(wǎng)。在該體系結(jié)構(gòu)中，因?yàn)楸局鳈C(jī)不直接與內(nèi)部網(wǎng)的主機(jī)交互使用，所以內(nèi)部網(wǎng)中兩個(gè)主機(jī)間的通信不會(huì)通過堡壘主機(jī)，即使黑客侵入堡壘主機(jī)，他也只能看到從Internet和一些內(nèi)部主機(jī)到堡壘主機(jī)的通信以及返回的通信，而看不到內(nèi)部網(wǎng)絡(luò)主機(jī)之間的通信。所以DMZ為內(nèi)部網(wǎng)增加了安全級(jí)別。第38頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)398.4.6典型防火墻結(jié)構(gòu)

建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常采用解決不同問題的多種技術(shù)的組合。

1）多堡壘主機(jī)

2）合并內(nèi)部路由器與外部路由器

3）合并堡壘主機(jī)與外部路由器

4）合并堡壘主機(jī)與內(nèi)部路由器

5）使用多臺(tái)外部路由器

6）使用多個(gè)周邊網(wǎng)絡(luò)第39頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)40DMZ內(nèi)路路由器外部路由器

Internet

內(nèi)部網(wǎng)有兩個(gè)堡壘主機(jī)的子網(wǎng)過濾體系結(jié)構(gòu)第40頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)41DMZ外部路由器堡壘主機(jī)內(nèi)部路由器

Internet

內(nèi)部網(wǎng)堡壘主機(jī)充當(dāng)內(nèi)部路由器第41頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)42外部路由器外部路由器內(nèi)部路由器DMZ

內(nèi)部網(wǎng)Internet分支機(jī)構(gòu)或合作伙伴多臺(tái)外部路由器的子網(wǎng)過濾體系結(jié)構(gòu)第42頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)438.5創(chuàng)建防火墻步驟成功創(chuàng)建一個(gè)防火墻系統(tǒng)一般需要6個(gè)步驟：制定安全策略搭建安全體系結(jié)構(gòu)制定規(guī)則次序落實(shí)規(guī)則集注意更換控制：做好注釋工作。做好審計(jì)工作：一個(gè)好的準(zhǔn)則是最好不要超過30條。建立一個(gè)可靠的規(guī)則集對(duì)于實(shí)現(xiàn)一個(gè)成功的、安全的防火墻來說是非常關(guān)鍵的！第43頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)448.6防火墻配置實(shí)驗(yàn)防火墻有兩大類，分別為硬件防火墻與軟件防火墻。實(shí)驗(yàn)主要是對(duì)這兩類防火墻的典型產(chǎn)品進(jìn)行相應(yīng)的配置。硬件防火墻選用CiscoPIX防火墻，主要進(jìn)行防火墻的配置方式、防火墻的升級(jí)、防火墻的基本操作、地址翻譯（NAT）、對(duì)主機(jī)與資源的過濾等實(shí)驗(yàn)。軟件防火墻選用費(fèi)爾個(gè)人防火墻。主要對(duì)指定的IP地址、應(yīng)用程序、端口、站點(diǎn)的禁用進(jìn)行配置。

第44頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)458.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置

1、網(wǎng)絡(luò)地址翻譯(NAT:NetworkAddressTranslation，NAT)

NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí)，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址即可。第45頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)462、網(wǎng)絡(luò)地址翻譯(NAT)能解決什么問題？

1)局域網(wǎng)上已有許多現(xiàn)成的資源和應(yīng)用程序，但其IP地址分配不符合Internet的國(guó)際標(biāo)準(zhǔn)。重新分配局域網(wǎng)的IP地址是個(gè)復(fù)雜的問題。

2)現(xiàn)行標(biāo)準(zhǔn)IPv4決定的IP地址越來越少，使得要想在ISP處申請(qǐng)一個(gè)新的IP地址已不是很容易的事了。第46頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)473、網(wǎng)絡(luò)地址翻譯(NAT)解決問題的辦法在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上。第47頁，共51頁，2023年，2月20日，星期二2023/4/18網(wǎng)絡(luò)安全技術(shù)484、網(wǎng)絡(luò)地址翻譯(NAT)的類型NAT有靜態(tài)轉(zhuǎn)換NAT(StaticNAT)、動(dòng)態(tài)轉(zhuǎn)換(PooledNAT)和端口地址轉(zhuǎn)換三種類型。(1)靜態(tài)轉(zhuǎn)換NAT是最簡(jiǎn)單的一種轉(zhuǎn)換方式，它在NAT表中為每一個(gè)需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對(duì)應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí)，內(nèi)部地址就會(huì)轉(zhuǎn)化為對(duì)應(yīng)的全局地址。(2)動(dòng)態(tài)轉(zhuǎn)換(亦稱NAT池)增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性。它將可用的全局地址地址集定