防火墻技術(shù)及應(yīng)用(教學(xué))

第8章防火墻技術(shù)及應(yīng)用:機(jī)密性,完整性,抗抵賴性,可用性密碼理論:數(shù)據(jù)加密,數(shù)字簽名,消息摘要,密鑰管理:

物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全邊界安全用戶安全:

身份驗(yàn)證訪問(wèn)控制審計(jì)追蹤:

防火墻技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)防病毒技術(shù)1、什么是防火墻2、防火墻的作用

4、防火墻常見(jiàn)的幾種類型學(xué)習(xí)要點(diǎn)：

第8章防火墻技術(shù)及應(yīng)用

5、如何在網(wǎng)絡(luò)中配置防火墻3、防火墻的技術(shù)§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個(gè)人防火墻技術(shù)§8.5關(guān)于實(shí)驗(yàn)操作第8章防火墻技術(shù)及應(yīng)用Internet兩個(gè)安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計(jì)準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念

防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。本質(zhì)上說(shuō)，它遵從的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。邏輯上看：物理上看：防火墻是一個(gè)分離器、一個(gè)限制器、也是一個(gè)分析器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻通常是一組硬件設(shè)備（路由器、主機(jī)）和軟件的多種組合?！?.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征：（1）防火墻是不同網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)的不同安全域之間的唯一出入口，從里到外和從外到里的所有信息都必須通過(guò)防火墻；網(wǎng)絡(luò)邊界：即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和因特網(wǎng)之間連接、和其他業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等?！?.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征（續(xù)1）：（2）通過(guò)安全策略來(lái)控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過(guò)；§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征（續(xù)2）：（3）防火墻本身是免疫的，即防火墻本身具有較強(qiáng)的抗攻擊能力。防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再?zèng)]有其他應(yīng)用程序在防火墻上運(yùn)行。一般采用Linux、UNIX或FreeBSD系統(tǒng)作為支撐其工作的操作系統(tǒng)。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計(jì)準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能防火墻由于處于網(wǎng)絡(luò)邊界的特殊位置，因而被設(shè)計(jì)集成了非常多的安全防護(hù)功能和網(wǎng)絡(luò)連接管理功能。1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)基本功能§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)

2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)針對(duì)網(wǎng)絡(luò)入侵的不安因素，防火墻通過(guò)采取控制進(jìn)出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并加以分析和處理，及時(shí)發(fā)現(xiàn)存在的異常行為。采用兩種基本策略：即“黑名單”策略和“白名單”策略?！昂诿麊巍辈呗灾赋艘?guī)則禁止的訪問(wèn)，其他都是允許的。“白名單”策略指除了規(guī)則允許的訪問(wèn)，其他都是禁止的。§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)針對(duì)網(wǎng)絡(luò)入侵的不安因素，防火墻對(duì)相關(guān)協(xié)議和服務(wù)進(jìn)行控制使得只有授權(quán)的協(xié)議和服務(wù)才可以通過(guò)防火墻，從而大大降低了因某種服務(wù)和協(xié)議漏洞而引起不安全因素的可能性。如允許http協(xié)議利用TCP端口80進(jìn)入網(wǎng)絡(luò)，而其他協(xié)議和端口將被拒絕。§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)

4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)針對(duì)應(yīng)用軟件和操作系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護(hù)網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無(wú)關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上。同時(shí)，針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對(duì)訪問(wèn)進(jìn)行限制；防火墻可以屏蔽受保護(hù)網(wǎng)絡(luò)的相關(guān)信息?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)防火墻擁有靈活的地址轉(zhuǎn)換NAT(NetworkAddressTransfer)能力。地址轉(zhuǎn)換用于使用保留IP地址的內(nèi)部網(wǎng)用戶通過(guò)防火墻訪問(wèn)公眾網(wǎng)中的地址時(shí)對(duì)源地址進(jìn)行轉(zhuǎn)換，能有效地隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時(shí)內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，使用保留IP地址就可以正常訪問(wèn)公眾網(wǎng)，有效地解決了全局IP地址不足的問(wèn)題。NAT的作用緩解IP地址耗盡 節(jié)約公用IP地址保證內(nèi)網(wǎng)穩(wěn)定性隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）示意圖：Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）

6）日志記錄與審計(jì)虛擬專用網(wǎng)被定義為通過(guò)一個(gè)公共網(wǎng)絡(luò)（Internet）建立的一個(gè)臨時(shí)的和安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全與穩(wěn)定的隧道，它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。作為網(wǎng)絡(luò)特殊位置的防火墻應(yīng)具有VPN的功能，以簡(jiǎn)化網(wǎng)絡(luò)的配置與管理。關(guān)于VPN技術(shù)詳見(jiàn)第九章?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問(wèn)2）控制協(xié)議和服務(wù)3）保護(hù)內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計(jì)因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行和統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理人員通過(guò)對(duì)統(tǒng)計(jì)結(jié)果的分析，掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，進(jìn)而更加有效地管理整個(gè)網(wǎng)絡(luò)?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能補(bǔ)充：防火墻的擴(kuò)展功能：支持第三方認(rèn)證服務(wù)器InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器Zhanglongyong12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻根據(jù)認(rèn)證結(jié)果決定用戶對(duì)資源的訪問(wèn)權(quán)限第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計(jì)準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.3防火墻的基本原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭10100100100101001000001110011110010010010100100000111001111不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表§8.1防火墻技術(shù)概述8.1.3防火墻的基本原理由上頁(yè)演示圖可知：所有的防火墻功能的實(shí)現(xiàn)都依賴于對(duì)通過(guò)防火墻的數(shù)據(jù)包的相關(guān)信息進(jìn)行檢查，而且檢查的項(xiàng)目越多、層次越深，則防火墻越安全。由于現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實(shí)現(xiàn)又是通過(guò)相關(guān)的協(xié)議來(lái)實(shí)現(xiàn)的。所以，防火墻檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議及采用相關(guān)協(xié)議封裝的數(shù)據(jù)。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計(jì)準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.4防火墻的基本準(zhǔn)則作為可信賴的單位內(nèi)網(wǎng)與不可信賴的外部網(wǎng)絡(luò)之間的連接節(jié)點(diǎn)，防火墻在安全功能上必遵循以下基本規(guī)則，也可稱之為“黑名單”規(guī)則和“白名單”規(guī)則。1．所有未被允許的就是禁止的所有未被允許的就是禁止的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過(guò)防火墻。2．所有未被禁止的就是允許的所有未被禁止的就是允許的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，防火墻轉(zhuǎn)發(fā)所有信息流，允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址等參數(shù)對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽?！?.1防火墻技術(shù)概述8.1.5防火墻的性能指標(biāo)（補(bǔ)充）常見(jiàn)防火墻性能指標(biāo)吞吐量延時(shí)丟包率背靠背最大并發(fā)連接數(shù)最大連接建立速率§8.1防火墻技術(shù)概述1、吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能

~;%#@*$^&*&^#**(&Smartbits6000B測(cè)試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時(shí)的最大值防火墻吞吐量小就會(huì)成為網(wǎng)絡(luò)的瓶頸100M60M§8.1防火墻技術(shù)概述2、延時(shí)數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度

10101001001001001010Smartbits6000B測(cè)試儀101100101000011111001010010001001000最后1個(gè)比特到達(dá)第一個(gè)比特輸出時(shí)間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地§8.1防火墻技術(shù)概述3、丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響Smartbits6000B測(cè)試儀發(fā)送了1000個(gè)包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001§8.1防火墻技術(shù)概述4、最大并發(fā)連接數(shù)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試被測(cè)防火墻建立和維持TCP連接的性能。并發(fā)連接數(shù)指標(biāo)可以用來(lái)衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接§8.1防火墻技術(shù)概述5、最大連接建立速率定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間單位時(shí)間內(nèi)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：最大并發(fā)連接數(shù)建立速率主要用來(lái)衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力并發(fā)連接并發(fā)連接單位時(shí)間內(nèi)增加的并發(fā)連接數(shù)第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個(gè)人防火墻技術(shù)§8.5關(guān)于實(shí)驗(yàn)操作Internet兩個(gè)安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對(duì)安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患。§8.2防火墻的應(yīng)用8.2.1防火墻在網(wǎng)絡(luò)中的位置防火墻多應(yīng)用于一個(gè)局域網(wǎng)的出口處或置于兩個(gè)網(wǎng)絡(luò)中間。且絕大多數(shù)的局域網(wǎng)與Internet相連時(shí)，一般在局域網(wǎng)中心交換機(jī)和路由器之間放置防火墻，以保證局域網(wǎng)資源的安全。根據(jù)應(yīng)用的不同，防火墻一般分為路由模式和透明模式兩類。透明模式防火墻：§8.2防火墻的應(yīng)用8.2.1防火墻在網(wǎng)絡(luò)中的位置路由模式防火墻（“不透明”式防火墻）：存在兩個(gè)局限：（1）防火墻各端口所連接的網(wǎng)絡(luò)必須位于不同的網(wǎng)段，否則兩個(gè)網(wǎng)絡(luò)之間將無(wú)法進(jìn)行通信。（2）與防火墻直接連接的設(shè)備（計(jì)算機(jī)、路由器或交換機(jī)）的網(wǎng)關(guān)都要指向防火墻。注意：透明式防火墻不存在上述的局限。目前主流的防火墻產(chǎn)品同時(shí)支持上述兩種模式的防火墻。本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對(duì)安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患。§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成如下，一個(gè)一般的局域網(wǎng)與Internet互聯(lián)：安全威脅整個(gè)網(wǎng)絡(luò)不安全+會(huì)發(fā)生什么§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成如下，一個(gè)一般的局域網(wǎng)+防火墻與Internet互聯(lián)：信賴域安全域，DMZ非信賴域§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成信賴域安全域（DMZ）非信賴域1．信賴域和非信賴域當(dāng)局域網(wǎng)通過(guò)防火墻接入公共網(wǎng)絡(luò)時(shí)，以防火墻為節(jié)點(diǎn)將網(wǎng)絡(luò)分為內(nèi)、外兩部分，其中內(nèi)部的局域網(wǎng)稱為信賴域，而外部的公共網(wǎng)絡(luò)（如Internet）稱為非信賴域。2．信賴主機(jī)和非信賴主機(jī)位于信賴域中的主機(jī)因?yàn)榫哂休^高的安全性，所以稱為信賴主機(jī)；而位于非信賴域中的主機(jī)因?yàn)榘踩暂^低，所以稱為非信賴主機(jī)。§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成信賴域安全域（DMZ）非信賴域3．DMZ區(qū)

DMZ(demilitarizedzone)稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個(gè)安全區(qū)域。DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施，§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成合理劃分網(wǎng)絡(luò),設(shè)置訪問(wèn)控制點(diǎn),保護(hù)私有網(wǎng)絡(luò).防止進(jìn)攻者接近內(nèi)部網(wǎng)絡(luò)限制內(nèi)部用戶的外部訪問(wèn)行為對(duì)外部隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連通OutsideWorldPrivateNetworkUnsolicitedRequestResponseDisallowed幾個(gè)數(shù)字：30%：CERNET出口正常向國(guó)外訪問(wèn)流量占其帶寬的30%90%：受沖擊波影響，CERNET出口流量占其帶寬的90%10:1：受沖擊波影響，CERNET出口ICMP包與其他包的比為10：1幾近癱瘓……防火墻越來(lái)越重要!本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對(duì)安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患?！?.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時(shí)也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：1．防火墻不能防范未通過(guò)自身的網(wǎng)絡(luò)連接對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，防火墻是進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點(diǎn)。但是如果使用無(wú)線網(wǎng)絡(luò)（如無(wú)線局域網(wǎng)），內(nèi)部用戶與外部網(wǎng)絡(luò)之間以及外部用戶與內(nèi)部網(wǎng)絡(luò)之間的通信就會(huì)繞過(guò)防火墻，這時(shí)防火墻就沒(méi)有任何用處。2．防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅?！?.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時(shí)也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：3．防火墻不能防止感染了病毒的軟件或文件的傳輸4．防火墻不能防范內(nèi)部用戶的惡意破壞據(jù)相關(guān)資料統(tǒng)計(jì)，目前局域網(wǎng)中有80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為，如在局域網(wǎng)中竊取其他主機(jī)上的數(shù)據(jù)、對(duì)其他主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、散布計(jì)算機(jī)病毒等。這些行為都不通過(guò)位于局域網(wǎng)出口處的防火墻，防火墻對(duì)其無(wú)能為力。§8.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時(shí)也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：5．防火墻本身也存在安全問(wèn)題防火墻的工作過(guò)程要依賴于防火墻操作系統(tǒng)，與我們平常所使用的Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強(qiáng)、越復(fù)雜，其漏洞就會(huì)越多。6．認(rèn)為因素在很大程度影響了防火墻的功能做和管理防火墻的人：了解用戶的安全需求？知識(shí)水平如何？對(duì)內(nèi)部網(wǎng)絡(luò)的安全需求？管理水平？防火墻產(chǎn)品的熟悉程度等？都影響著防火墻的功能！第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個(gè)人防火墻技術(shù)§8.5關(guān)于實(shí)驗(yàn)操作Internet兩個(gè)安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對(duì)防火墻技術(shù)的深入了解，一定要進(jìn)行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對(duì)防火墻進(jìn)行分類，同時(shí)簡(jiǎn)要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過(guò)濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測(cè)防火墻§8.3防火墻的基本類型8.3.1包過(guò)濾防火墻包過(guò)濾防火墻是最早使用的一種防火墻技術(shù)，它在網(wǎng)絡(luò)的進(jìn)出口處對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查，并根據(jù)已設(shè)置的安全策略決定數(shù)據(jù)包是否允許通過(guò)。包過(guò)濾型防火墻的核心技術(shù)就是安全策略設(shè)計(jì)即包過(guò)濾算法的設(shè)計(jì)。

1、IP包（IP分組）IP頭部（分組過(guò)防火墻是只檢查IP及TCP頭部）§8.3防火墻的基本類型8.3.1包過(guò)濾防火墻2、包過(guò)濾防火墻的工作原理應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層包過(guò)濾是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問(wèn)策略（過(guò)濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過(guò)防火墻。包過(guò)濾防火墻工作在OSI模型的IP和TCP層缺點(diǎn)：安全性低不能根據(jù)狀態(tài)信息進(jìn)行控制僅處理網(wǎng)絡(luò)層的信息伸縮性差維護(hù)不直觀優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明§8.3防火墻的基本類型8.3.1包過(guò)濾防火墻2、包過(guò)濾防火墻的工作原理包過(guò)濾模型工作過(guò)程當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過(guò)濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將IP分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)?！?.3防火墻的基本類型8.3.1包過(guò)濾防火墻3、包過(guò)濾防火墻的應(yīng)用特點(diǎn)（1）過(guò)濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來(lái)定。（2）防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第1個(gè)條目開(kāi)始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要。（3）由于包過(guò)濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。但無(wú)法識(shí)別IP欺騙和基于應(yīng)用層的入侵。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型本節(jié)概要8.3.1

包過(guò)濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測(cè)防火墻

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對(duì)防火墻技術(shù)的深入了解，一定要進(jìn)行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對(duì)防火墻進(jìn)行分類，同時(shí)簡(jiǎn)要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作?！?.3防火墻的基本類型8.3.2代理防火墻代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有的一個(gè)程序。應(yīng)用代理型防火墻(ApplicationProxy)是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。§8.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層FTPHTTPSMTP缺點(diǎn)：性能差伸縮性差只支持有限的應(yīng)用不透明工作在優(yōu)點(diǎn)：安全性高提供應(yīng)用層的安全§8.3防火墻的基本類型8.3.2代理防火墻應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)10100100100101001000001110011110010010010100100000111001111不檢查IP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱原理示意圖§8.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理（續(xù)）從上圖看，代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器僅是一臺(tái)客戶機(jī)?！?.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應(yīng)用特點(diǎn)代理防火墻具有以下的主要特點(diǎn)：（1）代理防火墻可以針對(duì)應(yīng)用層進(jìn)行檢測(cè)和掃描，可有效地防止應(yīng)用層的惡意入侵和病毒。（2）代理防火墻具有較高的安全性。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)代理服務(wù)器的介入和轉(zhuǎn)換，而且在代理防火墻上會(huì)針對(duì)每一種網(wǎng)絡(luò)應(yīng)用（如HTTP）使用特定的應(yīng)用程序來(lái)處理。§8.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應(yīng)用特點(diǎn)代理防火墻具有以下的主要特點(diǎn)：（3）代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問(wèn)過(guò)的站點(diǎn)內(nèi)容。（4）代理防火墻的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會(huì)有所下降，因?yàn)榇硇头阑饓?duì)數(shù)據(jù)包進(jìn)行內(nèi)部結(jié)構(gòu)的分析和處理，這會(huì)導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過(guò)濾防火墻）

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對(duì)防火墻技術(shù)的深入了解，一定要進(jìn)行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對(duì)防火墻進(jìn)行分類，同時(shí)簡(jiǎn)要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過(guò)濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測(cè)防火墻§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻狀態(tài)檢查技術(shù)能在網(wǎng)絡(luò)層實(shí)現(xiàn)所有需要的防火墻能力，它既有包過(guò)濾機(jī)制的速度和靈活，也有應(yīng)用級(jí)網(wǎng)關(guān)安全的優(yōu)點(diǎn)，它是包過(guò)濾器和應(yīng)用級(jí)網(wǎng)關(guān)功能的折衷。這是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是checkpoint技術(shù)公司率先提出，又稱“動(dòng)態(tài)包過(guò)濾”。1、靜態(tài)包過(guò)濾的缺陷由于靜態(tài)包過(guò)濾技術(shù)要檢查進(jìn)入防火墻的每一個(gè)數(shù)據(jù)包，所以在一定程序上影響了網(wǎng)絡(luò)的通信速度。另外，靜態(tài)包過(guò)濾技術(shù)固定地根據(jù)包的頭部信息進(jìn)行規(guī)則的匹配，這種方法在遇到利用動(dòng)態(tài)端口的應(yīng)用協(xié)議時(shí)就會(huì)出現(xiàn)問(wèn)題。§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測(cè)所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高：在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷伸縮性好可以識(shí)別不同的數(shù)據(jù)包支持多種應(yīng)用，包括Internet應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭10100100100101001000001110011110010010010100100000111001111不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻2、狀態(tài)檢測(cè)技術(shù)及優(yōu)勢(shì)狀態(tài)檢測(cè)技術(shù)即動(dòng)態(tài)包過(guò)濾技術(shù)。狀態(tài)檢測(cè)防火墻檢查的不僅僅是數(shù)據(jù)包中的頭部信息，而且會(huì)跟蹤數(shù)據(jù)包的狀態(tài)，即不同數(shù)據(jù)包之間的共性。雖然，該技術(shù)和簡(jiǎn)單包過(guò)濾技術(shù)一樣，都是只檢驗(yàn)頭部，但本技術(shù)要建立連接的。狀態(tài)檢測(cè)防火墻的關(guān)鍵技術(shù)是連接的跟蹤功能。在網(wǎng)絡(luò)層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息作出決策。使用各種狀態(tài)表（statetables）來(lái)追蹤活躍的TCP會(huì)話。由用戶定義的訪問(wèn)控制列表（ACL）決定允許建立哪些會(huì)話（session），只有與活躍會(huì)話相關(guān)聯(lián)的數(shù)據(jù)才能穿過(guò)防火墻。§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻3、狀態(tài)檢測(cè)防火墻的工作過(guò)程在狀態(tài)檢測(cè)防火墻中有一個(gè)狀態(tài)檢測(cè)表，它由規(guī)則表和連接狀態(tài)表兩部分組成。狀態(tài)檢測(cè)防火墻的工作過(guò)程是：首先利用規(guī)則表進(jìn)行數(shù)據(jù)包的過(guò)濾，此過(guò)程與靜態(tài)包過(guò)濾防火墻基本相同。如果某一個(gè)數(shù)據(jù)包（如“IP分組B1”）在進(jìn)入防火墻時(shí)，規(guī)則表拒絕它通過(guò)，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包（如“IP分組B2”、“IP分組B3”等）同樣會(huì)被拒絕通過(guò)。§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻4、跟蹤連接狀態(tài)的方式狀態(tài)檢測(cè)防火墻跟蹤連接狀態(tài)的方式取決于所使用的傳輸層協(xié)議。（1）TCP數(shù)據(jù)包。（2）UDP數(shù)據(jù)包。P.233~234詳見(jiàn)§8.3防火墻的基本類型8.3.3狀態(tài)檢測(cè)防火墻5、狀態(tài)檢測(cè)防火墻的應(yīng)用特點(diǎn)與靜態(tài)包過(guò)濾防火墻相比，采用動(dòng)態(tài)包過(guò)濾技術(shù)的狀態(tài)檢測(cè)防火墻通過(guò)對(duì)數(shù)據(jù)包的跟蹤檢測(cè)技術(shù)，解決了靜態(tài)包過(guò)濾防火墻中某些應(yīng)用需要使用動(dòng)態(tài)端口時(shí)存在的安全隱患，解決了靜態(tài)包過(guò)濾防火墻存在的一些缺陷。與代理防火墻相比，狀態(tài)檢測(cè)防火墻不需要中斷直接參與通信的兩臺(tái)主機(jī)之間的連接，對(duì)網(wǎng)絡(luò)速度的影響較小。狀態(tài)檢測(cè)防火墻具有新型的分布式防火墻的特征。

狀態(tài)檢測(cè)防火墻的不足主要表現(xiàn)為：對(duì)防火墻CPU、內(nèi)存等硬件要求較高、安全性主要依賴于防火墻操作系統(tǒng)的安全性。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對(duì)防火墻技術(shù)的深入了解，一定要進(jìn)行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對(duì)防火墻進(jìn)行分類，同時(shí)簡(jiǎn)要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過(guò)濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測(cè)防火墻§8.3防火墻的基本類型8.3.4分布式防火墻1.傳統(tǒng)防火墻的不足雖然本章前面介紹的幾類傳統(tǒng)防火仍然是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全防范的支柱，但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足，主要表現(xiàn)如下：（1）結(jié)構(gòu)性限制。（2）防外不防內(nèi)。（3）效率問(wèn)題。（4）故障問(wèn)題?！?.3防火墻的基本類型8.3.4分布式防火墻2．分布式防火墻的概念

為了解決傳統(tǒng)防火墻正在面臨的問(wèn)題，美國(guó)AT&T實(shí)驗(yàn)室研究員StevenM.Bellovin于1999年在他的論文“分布式防火墻”（DistributedFirewalls，DFW）一文中首次提出了分布式防火墻的概念。在該論文中提供了DFW的方案：策略集中定制，在各臺(tái)主機(jī)上執(zhí)行，日志集中收集處理。根據(jù)DFW所需要完成的功能，分布式防火墻系統(tǒng)由以下3部分組成：（1）網(wǎng)絡(luò)防火墻。（2）主機(jī)防火墻。（3）中心管理服務(wù)器?！?.3防火墻的基本類型8.3.4分布式防火墻3．分布式防火墻的工作模式分布式防火墻的基本工作模式是：由中心管理服務(wù)器統(tǒng)一制定安全策略，然后將這些定義好的策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)。而安全策略的執(zhí)行則由相關(guān)主機(jī)節(jié)點(diǎn)獨(dú)立實(shí)施，由各主機(jī)產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上。分布式防火墻的工作模式如圖所示?！?.3防火墻的基本類型8.3.4分布式防火墻4．分布式防火墻的應(yīng)用特點(diǎn)分布式防火墻的應(yīng)用優(yōu)勢(shì)主要表現(xiàn)為：（1）增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊防范，可以實(shí)施全方位的安全策略。（2）提高了系統(tǒng)性能，克服了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。（3）與網(wǎng)絡(luò)的物理?yè)渫亟Y(jié)構(gòu)無(wú)關(guān)，支持VPN和移動(dòng)計(jì)算等應(yīng)用，應(yīng)用更加廣泛。5．分布式防火墻產(chǎn)品雖然分布式防火墻技術(shù)的提出相對(duì)較晚，但相應(yīng)的產(chǎn)品非常豐富。目前，從總體來(lái)看國(guó)外的一些著名網(wǎng)絡(luò)設(shè)備制造商（如3COM、Cisco、美國(guó)網(wǎng)絡(luò)安全系統(tǒng)公司等）在分布式防火墻技術(shù)方面更加先進(jìn)，所提供的產(chǎn)品性能也比較高。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個(gè)人防火墻技術(shù)§8.5關(guān)于實(shí)驗(yàn)操作Internet兩個(gè)安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。

第8章防火墻技術(shù)及應(yīng)用本節(jié)概要8.4.1

個(gè)人防火墻概述8.4.2個(gè)人防火墻的主要功能8.4.4個(gè)人防火墻現(xiàn)狀和發(fā)展§8.4個(gè)人防火墻技術(shù)8.4.3個(gè)人防火墻的主要技術(shù)§8.4個(gè)人防火墻技術(shù)8.4.1個(gè)人防火墻概述1．個(gè)人防火墻的產(chǎn)生動(dòng)因?yàn)楸Ｗo(hù)單機(jī)用戶接入互聯(lián)網(wǎng)時(shí)的安全，防止個(gè)人計(jì)算機(jī)上信用卡、銀行賬號(hào)等私有信息的被泄露和竊取，防止計(jì)算機(jī)病毒及各種惡意程序?qū)€(gè)人計(jì)算機(jī)的入侵和破壞，個(gè)人防火墻產(chǎn)品應(yīng)運(yùn)而生。2．個(gè)人防火墻的概念個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)?！?.4個(gè)人防火墻技術(shù)8.4.1個(gè)人防火墻概述1．個(gè)人防火墻的產(chǎn)生動(dòng)因§8.4個(gè)人防火墻技術(shù)8.4.1個(gè)人防火墻概述1．個(gè)人防火墻的產(chǎn)生動(dòng)因

第8章防火墻技術(shù)及應(yīng)用本節(jié)概要8.4.1

個(gè)人防火墻概述8.4.2個(gè)人防火墻的主要功能8.4.4個(gè)人防火墻現(xiàn)狀和發(fā)展§8.4個(gè)人防火墻技術(shù)8.4.3個(gè)人防火墻的主要技術(shù)§8.4個(gè)人防火墻技術(shù)8.4.2個(gè)人防火墻的主要功能

第8章防火墻技術(shù)及應(yīng)用本節(jié)概要8.4.1

個(gè)人防火墻概述8.4.2個(gè)人防火墻的主要功能8.4.4個(gè)人防火墻現(xiàn)狀和發(fā)展§8.4個(gè)人防火墻技術(shù)8.4.3個(gè)人防火墻的主要技術(shù)§8.4個(gè)人防火墻技術(shù)8.4.3個(gè)人防火墻的主要技術(shù)

第8章防火墻技術(shù)及應(yīng)用本節(jié)概要8.4.1

個(gè)人防火墻概述8.4.2個(gè)人防火墻的主要功能8.4.4個(gè)人防火墻現(xiàn)狀和發(fā)展§8.4個(gè)人防火墻技術(shù)8.4.3個(gè)人防火墻的主要技術(shù)§8.4個(gè)人防火墻技術(shù)8.4.4個(gè)人防火墻的現(xiàn)狀和發(fā)展第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個(gè)人防火墻技術(shù)§8.5關(guān)于實(shí)驗(yàn)操作Internet兩個(gè)安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。第8章防火墻技術(shù)及應(yīng)用本節(jié)概要5.5.1

DNS概述5.5.2DNS的安全問(wèn)題5.5.4DNS系統(tǒng)的安全設(shè)置§8.5關(guān)于實(shí)驗(yàn)操作5.5.3DNS安全擴(kuò)展§5.5DNS安全5.5.1DNS概述第5章TCP/IP體系的協(xié)議安全本節(jié)概要5.5.1

DNS概述5.5.2DNS的安全問(wèn)題5.5.4DNS系統(tǒng)的安全設(shè)置§5.5DNS安全5.5.3DNS安全擴(kuò)展§5.5DNS安全5.5.2DNS的安全問(wèn)題§5.5DNS安全5.5.2DNS的安全問(wèn)題本章作業(yè)(思考題)8-18-48-78-10

第一節(jié)活塞式空壓機(jī)的工作原理第二節(jié)活塞式空壓機(jī)的結(jié)構(gòu)和自動(dòng)控制第三節(jié)活塞式空壓機(jī)的管理復(fù)習(xí)思考題單擊此處輸入你的副標(biāo)題，文字是您思想的提煉，為了最終演示發(fā)布的良好效果，請(qǐng)盡量言簡(jiǎn)意賅的闡述觀點(diǎn)。第六章活塞式空氣壓縮機(jī)

piston-aircompressor壓縮空氣在船舶上的應(yīng)用：

1.主機(jī)的啟動(dòng)、換向；

2.輔機(jī)的啟動(dòng)；

3.為氣動(dòng)裝置提供氣源；

4.為氣動(dòng)工具提供氣源；

5.吹洗零部件和濾器。

排氣量:單位時(shí)間內(nèi)所排送的相當(dāng)?shù)谝患?jí)吸氣狀態(tài)的空氣體積。單位：m3/s、m3/min、m3/h第六章活塞式空氣壓縮機(jī)

piston-aircompressor空壓機(jī)分類：按排氣壓力分：低壓0.2～1.0MPa；中壓1～10MPa；高壓10～100MPa。按排氣量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空氣壓縮機(jī)

piston-aircompressor第一節(jié)活塞式空壓機(jī)的工作原理容積式壓縮機(jī)按結(jié)構(gòu)分為兩大類：往復(fù)式與旋轉(zhuǎn)式兩級(jí)活塞式壓縮機(jī)單級(jí)活塞壓縮機(jī)活塞式壓縮機(jī)膜片式壓縮機(jī)旋轉(zhuǎn)葉片式壓縮機(jī)最長(zhǎng)的使用壽命-

----低轉(zhuǎn)速（1460RPM），動(dòng)件少（軸承與滑片），潤(rùn)滑油在機(jī)件間形成保護(hù)膜，防止磨損及泄漏，使空壓機(jī)能夠安靜有效運(yùn)作；平時(shí)有按規(guī)定做例行保養(yǎng)的JAGUAR滑片式空壓機(jī)，至今使用十萬(wàn)小時(shí)以上，依然完好如初，按十萬(wàn)小時(shí)相當(dāng)于每日以十小時(shí)運(yùn)作計(jì)算，可長(zhǎng)達(dá)33年之久。因此，將滑片式空壓機(jī)比喻為一部終身機(jī)器實(shí)不為過(guò)。滑(葉)片式空壓機(jī)可以365天連續(xù)運(yùn)轉(zhuǎn)并保證60000小時(shí)以上安全運(yùn)轉(zhuǎn)的空氣壓縮機(jī)1.進(jìn)氣2.開(kāi)始?jí)嚎s3.壓縮中4.排氣1.轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開(kāi)始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。1.進(jìn)氣2.開(kāi)始?jí)嚎s3.壓縮中4.排氣1.凸凹轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開(kāi)始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。螺桿式氣體壓縮機(jī)是世界上最先進(jìn)、緊湊型、堅(jiān)實(shí)、運(yùn)行平穩(wěn)，噪音低，是值得信賴的氣體壓縮機(jī)。螺桿式壓縮機(jī)氣路系統(tǒng)：

A

進(jìn)氣過(guò)濾器

B

空氣進(jìn)氣閥

C

壓縮機(jī)主機(jī)

D

單向閥

E

空氣/油分離器

F

最小壓力閥

G

后冷卻器

H

帶自動(dòng)疏水器的水分離器油路系統(tǒng)：

J

油箱

K

恒溫旁通閥

L

油冷卻器

M

油過(guò)濾器

N

回油閥

O

斷油閥冷凍系統(tǒng)：

P

冷凍壓縮機(jī)

Q

冷凝器

R

熱交換器

S

旁通系統(tǒng)

T

空氣出口過(guò)濾器螺桿式壓縮機(jī)渦旋式壓縮機(jī)

渦旋式壓縮機(jī)是20世紀(jì)90年代末期開(kāi)發(fā)并問(wèn)世的高科技?jí)嚎s機(jī)，由于結(jié)構(gòu)簡(jiǎn)單、零件少、效率高、可靠性好，尤其是其低噪聲、長(zhǎng)壽命等諸方面大大優(yōu)于其它型式的壓縮機(jī)，已經(jīng)得到壓縮機(jī)行業(yè)的關(guān)注和公認(rèn)。被譽(yù)為“環(huán)保型壓縮機(jī)”。由于渦旋式壓縮機(jī)的獨(dú)特設(shè)計(jì)，使其成為當(dāng)今世界最節(jié)能壓縮機(jī)。渦旋式壓縮機(jī)主要運(yùn)動(dòng)件渦卷付，只有磨合沒(méi)有磨損，因而壽命更長(zhǎng)，被譽(yù)為免維修壓縮機(jī)。

由于渦旋式壓縮機(jī)運(yùn)行平穩(wěn)、振動(dòng)小、工作環(huán)境安靜，又被譽(yù)為“超靜壓縮機(jī)”。

渦旋式壓縮機(jī)零部件少，只有四個(gè)運(yùn)動(dòng)部件,壓縮機(jī)工作腔由相運(yùn)動(dòng)渦卷付形成多個(gè)相互封閉的鐮形工作腔，當(dāng)動(dòng)渦卷作平動(dòng)運(yùn)動(dòng)時(shí)，使鐮形工作腔由大變小而達(dá)到壓縮和排出壓縮空氣的目的。活塞式空氣壓縮機(jī)的外形第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）工作循環(huán)：4—1—2—34—1吸氣過(guò)程

1—2壓縮過(guò)程

2—3排氣過(guò)程第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）

壓縮分類：絕熱壓縮：1—2耗功最大等溫壓縮：1—2''耗功最小多變壓縮：1—2'耗功居中功＝P×V（PV圖上的面積）加強(qiáng)對(duì)氣缸的冷卻，省功、對(duì)氣缸潤(rùn)滑有益。二、實(shí)際工作循環(huán)（單級(jí)壓縮）1.不存在假設(shè)條件2.與理論循環(huán)不同的原因：1）余隙容積Vc的影響Vc不利的影響—?dú)埓娴臍怏w在活塞回行時(shí)，發(fā)生膨脹，使實(shí)際吸氣行程（容積）減小。Vc有利的好處—

（1）形成氣墊，利于活塞回行；