單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,,*,第,6,章 防火墻技術(shù),與應(yīng)用,,本章內(nèi)容,防火墻概述,,6. 1,防火墻的類型,,6. 2,防火墻的體系結(jié)構(gòu),6. 3,防火墻配置,,6. 4,防火墻產(chǎn)品介紹,6. 5,引導(dǎo)案例,:,,隨著計算機信息技術(shù)的日益發(fā)展與完善，互聯(lián)網(wǎng)技術(shù)的普及和發(fā)展，給教育信息化工作的開展提供了很多的便利，網(wǎng)絡(luò)成為教育信息化的重要組成部分。然而，網(wǎng)絡(luò)的快速發(fā)展也給黑客提供了更多的危及計算機網(wǎng)絡(luò)信息安全的手段和方法，網(wǎng)絡(luò)信息安全成為人們關(guān)注的焦點。上海市某教委計算機網(wǎng)絡(luò)連接形式多樣、終端分布不均勻且具有開放性特點，容易受到攻擊。因此，如何針對該教委建立一個安全、高效的網(wǎng)絡(luò)系統(tǒng)，最終為廣大師生提供全面服務(wù)，成為了迫切需要解決的問題。,,古時候，建造和使用木質(zhì)結(jié)構(gòu)的房屋，為了在火災(zāi)發(fā)生時，防止火勢蔓延，人們將堅固的石塊堆砌在房屋周圍形成一道墻作為屏障，這種防護構(gòu)筑物被稱之為防火墻。在今天的網(wǎng)絡(luò)世界里，人們借用了防火墻這個概念，把隔離在內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)稱為防火墻。它在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護層，并迫使所有的連接和訪問都通過這一保護層，以便接受檢查。只有被授權(quán)信息流才能通過保護層，進入內(nèi)部網(wǎng)，從而保護內(nèi)部網(wǎng)免受非法入侵。,防火墻概述,,4. 1,,4.1.1,防火墻的概念,,防火墻（,Firewall,）,——,是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊和入侵，保障內(nèi)部網(wǎng)絡(luò)的安全。,從實現(xiàn)方式上看，防火墻可以分為,硬件防火墻,和,軟件防火墻,兩類：,,硬件防火墻是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的；,,軟件防火墻是通過純軟件的方式來實現(xiàn)的。,,1,、相關(guān)概念（見,P142-143),,2,、防火墻的安全策略,,防火墻安全策略是指要明確地定義允許使用或禁止使用的網(wǎng)絡(luò)服務(wù)。,,(1),除非明確允許，否則就禁止,,（,2,）除非明確禁止，否則就允許。,,防火墻的發(fā)展簡史,防火墻,,發(fā)展史,2.,第二代防火墻,——,用戶化的防火墻,3.,第三代防火墻,——,建立在通用操作系統(tǒng)上的防火墻,,4.,第四代防火墻,——,具有安全操作系統(tǒng)的防火墻,1.,第一代防火墻,——,基于路由器的防火墻,,6.1.2,防火墻的功能與缺陷,,1,、先進的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下功能（,P143,－,144,）,,（,1,）,.,包過濾,,（,,2,）,.,遠(yuǎn)程管理,,（,,3,）,. NAT,技術(shù),,（,,4,）,.,代理,,（,,5,）,. MAC,與,IP,地址的綁定,,（,,6,）,.,流量控制（帶寬管理）和統(tǒng)計分析、流量計費,,（,,7,）,. VPN,,（,,8,）,. URL,級信息過濾,,（,,9,）,.,其他特殊功能,,2,、防火墻的缺陷,（,P144,）,,6.1.3,常見的防火墻,,1,、,NetScreen,208 Firewall,,是,NetScreen,公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品。內(nèi)置,ASIC,技術(shù)，其安全設(shè)備具有低延時、高效的,IPSEC,加密和防火墻功能，可以無縫地部署到任何網(wǎng)絡(luò)。設(shè)備安裝和操控也非常容易，可以通過多種管理界面包括內(nèi)置的,WEBUI,界面、命令行界面或,NetScreen,中央管理方案進行管理（,P146,）,,2,、,Cisco Secure PIX 515-E FIREWALL,,是,CISCO,家族中的專用防火墻設(shè)施，通過端到端安全服務(wù)的有機組合，提供了很高的安全性，適合那些僅需要與自己企業(yè)網(wǎng)進行雙向通信的遠(yuǎn)程站點，或由企業(yè)網(wǎng)在自己的企業(yè)防火墻上提供所有的,WEB,服務(wù)的情況。該防火墻與普通的,CPU,密集型專用代理服務(wù)器不同，它采用非,UNIX,、安全、實時的內(nèi)置系統(tǒng)，可以提供擴展和重新配置,IP,網(wǎng)絡(luò)的特性，同時不引起,IP,地址短缺問題（,P146),。,,3,、天融信網(wǎng)絡(luò)衛(wèi)士,NGFW4000-S,防火墻,,北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國第一套自主版權(quán)的防火墻系統(tǒng)，是我國首創(chuàng)的核檢測防火墻。它由防火墻和管理器組成，集中了包過濾防火墻、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換（,NAT,）、用戶身份鑒別、虛擬專用網(wǎng)、,WEB,頁面保護、用戶權(quán)限控制、安全審計、攻擊檢測、流量控制與計費等功能。（,P146,）,,4,、東軟,NetEye,4032,防火墻,,該系統(tǒng)在性能、可靠性、管理性等方面大大提高。其基于狀態(tài)包過濾的劉過濾體系結(jié)構(gòu)，保證從數(shù)據(jù)鏈路層到應(yīng)用層的安全高性能過濾，可以進行應(yīng)用級插件的及時升級，攻擊方式的及時響應(yīng)，實現(xiàn)動態(tài)的網(wǎng)絡(luò)安全保障，適合于中小型企業(yè)的網(wǎng)絡(luò)安全需要。（,P146,） 。,,4.1.4,防火墻的安全性設(shè)計,,1.,用戶認(rèn)證,,2.,域名服務(wù),,3.,郵件處理,,4. IP,層的安全性,,5.,防火墻的,IP,安全性,,防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。,包過濾型防火墻,,1,應(yīng)用級網(wǎng)關(guān)型防火墻,,2,防火墻的類型,,6. 2,代理服務(wù)型防火墻,,3,復(fù)合型防火墻,,4,,6.2.1,包過濾防火墻,,數(shù)據(jù)包過濾,(Packet Filtering),技術(shù),——,在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表,(Access Control Table),。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。,優(yōu)點 ：,數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于,,安裝和使用，網(wǎng)絡(luò)性能和透明性好,缺點 ：,一是非法訪問一旦突破防火墻，即可對主機上,,的軟件和配置漏洞進行攻擊；,,二是數(shù)據(jù)包的源地址、目的地址以及,IP,的端口號,,都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。,,包過濾技術(shù)是防火墻的基礎(chǔ)功能，依賴于數(shù)據(jù)傳輸?shù)囊话憬Y(jié)構(gòu)，而數(shù)據(jù)結(jié)構(gòu)所使用的數(shù)據(jù)包頭部含有,IP,地址信息和協(xié)議所使用的端口信息，根據(jù)這些信息，可以決定是否將數(shù)據(jù)轉(zhuǎn)發(fā)給目的地址。包過濾及時取決于管理員設(shè)定的規(guī)則庫，可以根據(jù)以下信息來制定規(guī)則庫：,,1,、發(fā)出數(shù)據(jù)包的源地址和目的地址；,,2,、接收數(shù)據(jù)包的源地址和目的地址；,,3,、所涉及的網(wǎng)絡(luò)協(xié)議（,TCP,、,UDP,等）；,,4,、所使用的端口，如,HTTP,使用的,80,端口。,,（,1,）第一代：靜態(tài)包過濾,,（,2,）第二代：動態(tài)包過濾,,,2,、包過濾技術(shù)的過程,,一個包過濾防火墻必須具備兩個端口，一個端口連接非信任網(wǎng)絡(luò)（如因特網(wǎng)），另一個端口連接可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)），如,P147,圖,6,－,2,所示。防火墻配置的規(guī)則必須能對一個非信任端口流向信任端口，或信任端口流向非信任端口進行控制處理，以此來決定是否讓信息流通過，如,P147,圖,6,－,3,所示。,,由圖可見，一個典型的網(wǎng)絡(luò)結(jié)構(gòu)，包括,HTTP,、,DNS,、,SMTP,內(nèi)部網(wǎng)絡(luò)通過包過濾防火墻將其分為服務(wù)器區(qū)域和子網(wǎng)絡(luò)區(qū)域。,,創(chuàng)建規(guī)則庫。規(guī)則庫包含了最常見的網(wǎng)絡(luò)服務(wù)的安全規(guī)則，包括現(xiàn)有的網(wǎng)絡(luò)情況自定義的安全規(guī)則。創(chuàng)建一個規(guī)則庫需要按照以下標(biāo)準(zhǔn)：協(xié)議類型、源地址、目的地址、源端口、目的端口、當(dāng)數(shù)據(jù)包和規(guī)則庫匹配時應(yīng)采用的措施。,,如,P148,表,6,－,1,所示。,,3,、包過濾防火墻的有點和缺點,,要準(zhǔn)確地定義包過濾防火墻規(guī)則很復(fù)雜，在考慮包過濾設(shè)備的部署時必須了解其優(yōu)缺點。,,（,1,）優(yōu)點：設(shè)備價格便宜，且設(shè)備性能不會受影響；對流量的管理較好。,,（,2,）缺點：詳見,P149,,6.2.2,應(yīng)用代理防火墻,,,應(yīng)用代理或代理服務(wù)器是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進行信息交換的程序。它將內(nèi)部用戶的請求確認(rèn)后送達(dá)外部防火墻，同時將外部服務(wù)器的響應(yīng)在回送給用戶。這種技術(shù)被用于在,WEB,服務(wù)器上高速緩存信息，并且扮演,WEB,客戶和,WEB,服務(wù)器之間的中介角色。它主要保存因特網(wǎng)上那些最常用和最近訪問過的內(nèi)容，為用戶提供更快的訪問速度。這項技術(shù)對,ISP,很常見，特別是如果它到因特網(wǎng)的連接速度很慢的話。在,WEB,上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒有，在到遠(yuǎn)程服務(wù)器上去找。也可以通過建立代理服務(wù)器來允許在防火墻后直接訪問因特網(wǎng)。代理在服務(wù)器山打開一個套接字，并允許通過這個套接字與因特網(wǎng)通信。,,,應(yīng)用代理網(wǎng)關(guān)即代理服務(wù)器，適用于特定的互聯(lián)網(wǎng)服務(wù)。代理服務(wù)器通常運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器，而對外界來說，它又是一臺客戶機。當(dāng)代理服務(wù)器接收到用戶對某站點的訪問請求后會檢查該請求是否符合要求，如果規(guī)則運行用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣去那個站點取回所需要信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個高速緩存，這個緩存存儲用戶經(jīng)常訪問的站點內(nèi)容，在下一個用戶要訪問同一站點時，服務(wù)器就不用重復(fù)的獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出去即可，節(jié)省了時間和網(wǎng)絡(luò)資源。,（詳見,149,）,,應(yīng)用級網(wǎng)關(guān)的不足（詳見,149,）,,6.2.3,電路級網(wǎng)關(guān)防火墻,,,。,電子級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不手信任的主機間的,TCP,握手信息，以此來決定該會話是否有效。電路級網(wǎng)關(guān)在,OSI,模型中會話層上過濾數(shù)據(jù)包，這樣比包過濾防火墻要高二層。實際上，電路級網(wǎng)關(guān)并非作為一個獨立的產(chǎn)品存折，它于其他的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起。例如。另外電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器，在其上運行一個叫做“地址轉(zhuǎn)移”的進程，用來將所有公司內(nèi)部的,IP,地址映射到一個安全的,IP,地址，,P150,,6.2.4,狀態(tài)檢測防火墻,,該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)、應(yīng)用級網(wǎng)關(guān)的特點。它同包過濾防火墻一樣，按規(guī)則檢查防火墻能夠在,OSI,網(wǎng)絡(luò)層上通過的,IP,地址和端口，過濾進出的數(shù)據(jù)包。它也像電路級網(wǎng)關(guān)一樣，能夠檢查,SYN,和,ACK,標(biāo)記及序列是否邏輯有序。,,規(guī)則檢查防火墻雖然集成了前三者的特點，但是不同于一個應(yīng)用級網(wǎng)關(guān)，它并不打破客戶機,/,服務(wù)機模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾包上更有效。,,P150-151,,雙重宿主主機體系結(jié)構(gòu),1,屏蔽主機體系結(jié)構(gòu),2,防火墻的體系結(jié)構(gòu),6. 3,屏蔽子網(wǎng)體系結(jié)構(gòu),3,,復(fù)合型防火墻,,,由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。,,,屏蔽主機防火墻體系結(jié)構(gòu)：,在該結(jié)構(gòu)中，分組過濾路由器或防火墻與,Internet,相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為,Internet,上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。,,,屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：,堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與,Internet,及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。,,6.3.1,雙重宿主主機體系結(jié)構(gòu),,雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機而構(gòu)筑。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的路由器，所以它能夠使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包直接路由通過。然而，實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。所有，,IP,數(shù)據(jù)包從一個網(wǎng)絡(luò)并不是直接發(fā)送到其他網(wǎng)絡(luò)。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)能與雙重宿主主機通信，但不能直接通信，它們之間的,IP,通信被完全阻止。,,雙重宿主主機的防,火墻系統(tǒng)結(jié)構(gòu)是相當(dāng)簡單的，雙重宿主主機位于兩者之間，并且被連接到 因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)，如,P151,圖,6,－,5.,,6.3.2,屏蔽主機體系結(jié)構(gòu),屏蔽主機體系結(jié)構(gòu),使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相聯(lián)的主機的服務(wù)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供。,如,P151,圖,6,－,6.,,在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的：堡壘主機是因特網(wǎng)上的主機連接到內(nèi)部網(wǎng)絡(luò)系統(tǒng)的橋梁，例如，傳送電子郵件。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)將這些連接到這臺堡壘主機上。因此堡壘主機需要擁有高等級的安全。,,數(shù)據(jù)包過濾也允許堡壘主機開放可以允許的連接（什么是“可允許”將由用戶的站點的安全策略決定）到外部世界．在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方式之一執(zhí)行．（１）允許其他的內(nèi)部主機為了某些服務(wù)與因特網(wǎng)上的主機連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)．,,（２）不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務(wù)）．,,用戶可以針對不同的服務(wù)混合使用這些手段，某些服務(wù)可以被允許直接由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許間接地經(jīng)過代理．這完全取決于用戶實行的安全策略．,,因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)絡(luò)的移動，所有它的涉及比沒有外部數(shù)據(jù)包能達(dá)到內(nèi)部網(wǎng)絡(luò)的雙重宿主主機體系結(jié)構(gòu)似乎是更冒風(fēng)險。實際上，雙重宿主主機體系結(jié)構(gòu)在防備數(shù)據(jù)包從外 部網(wǎng)絡(luò)傳過內(nèi)部網(wǎng)絡(luò)時容易產(chǎn)生失敗，不大可能 防備黑客侵襲。,,然而，比較其他體系結(jié)構(gòu)，這種體系結(jié)構(gòu)也有一些特點，主要是如果侵襲著沒有辦法侵人堡壘主機，而而且在堡壘主機和其余的內(nèi)部主機之間沒有任何 保護網(wǎng)絡(luò)安全的東西存在的情況下，路由器統(tǒng)一出現(xiàn)一個單點失效。如果路由器被損害，則整個網(wǎng)絡(luò)對侵襲著是開放的。,,6.3.3,屏蔽子網(wǎng)體系結(jié)構(gòu),,也叫被屏蔽子網(wǎng)體系結(jié)構(gòu)，,將額外的安全層添加到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),(,通常是,Internet),隔離開。,該體系結(jié)構(gòu)的最簡單形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)，一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間，這樣在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。如,P153,圖,6,－,7.,,周邊網(wǎng)絡(luò)是一個被隔離的獨立子網(wǎng)，充當(dāng)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖區(qū)，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。這就構(gòu)成一個所謂的,“,非軍事區(qū)”,(,DeMilitarized,Zone,，,DMZ),，,DMZ,是周邊網(wǎng)絡(luò)，是防火墻的重要概念，在實際應(yīng)用中經(jīng)常用到。,,（,1,）周邊網(wǎng)絡(luò),,（,2,）堡壘主機,,（,3,）內(nèi)部路由器,,（,4,）外部路由器,,6.3.4,防火墻體系結(jié)構(gòu)的組合,建造防火墻時，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接收什么等級的風(fēng)險。采用哪種技術(shù)主要取決于經(jīng)費、投資的大小或技術(shù)人員的技術(shù)、時間等因素。一般有以下幾種形式：,,（,1,）使用多堡壘主機,,（,2,）合并內(nèi)部路由器與外部路由器,,（,3,）合并堡壘主機與外部路由器,,（,4,）合并堡壘主機與內(nèi)部路由器,,（,5,）使用多臺內(nèi)部路由器,,（,6,）使用多臺外部路由器,,（,7,）使用多個周邊網(wǎng)絡(luò),,（,8,）使用雙重宿主主機與屏蔽子網(wǎng)。,,6.4.1,天融信防火墻的應(yīng)用實例,,網(wǎng)絡(luò)衛(wèi)士系列防火墻是天融信在多年的防火墻開發(fā)和應(yīng)用實踐及廣大用戶寶貴建議的基礎(chǔ)上，基于對網(wǎng)絡(luò)安全的深刻理解，并融合網(wǎng)絡(luò)科技的最新成果，采用獨特的安全架構(gòu)和多項具有自主知識產(chǎn)權(quán)的安全技術(shù)，經(jīng)過近兩年的開發(fā)完成的最新一代防火墻產(chǎn)品。,,網(wǎng)絡(luò)衛(wèi)士系列防火墻產(chǎn)品一般包括防火墻硬件產(chǎn)品和防火墻“集中管理器”軟件。其專用管理軟件可運行于,Windows,環(huán)境下。,,網(wǎng)絡(luò)衛(wèi)士系列防火墻至少有三個標(biāo)準(zhǔn)端口，即一個接外網(wǎng)（,Internet),，一個接內(nèi)網(wǎng)，一個接,DMZ,區(qū)，在,DMZ,區(qū)中有網(wǎng)絡(luò)服務(wù)器。安裝防火墻所要達(dá)到的效果是：內(nèi)網(wǎng)區(qū)的計算機可以任意訪問外網(wǎng)，可以訪問,DMZ,中指定的網(wǎng)絡(luò)服務(wù)器，,Internet,和,DMZ,的計算機不能訪問內(nèi)網(wǎng)，,Internet,可以訪問,DMZ,中的服務(wù)器，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖,6,－,8.,,防 火 墻產(chǎn)品的 配 置實例與應(yīng)用解決方案,6. 4,,1.,安裝防火墻管理器軟件。,,管理器軟件一般安裝在單獨的管理主機上，管理主機通常位于管理中心網(wǎng)絡(luò)的網(wǎng)管主機上，管理中心為內(nèi)部防火區(qū)的子集，同時管理主機或管理中心與其他安全區(qū)域相比有更嚴(yán)格的訪問安全策略。（詳見,P155,）,,2.,管理網(wǎng)絡(luò)衛(wèi)士防火墻,,網(wǎng)絡(luò)管理員可以通過多種方式管理網(wǎng)絡(luò)衛(wèi)士防火墻。管理港式包括本地管理和遠(yuǎn)程管理，本地管理即通過,Console,口登錄防火墻進行管理；遠(yuǎn)程管理包括使用防火墻集中管理器，或通過,Telnet,及,SSH,等多種方式登錄防火墻進行配置管理,.,,（,1,） 使用,Console,口登錄防火墻。具體方法見,P155-157,,(2),使用防火墻集中管理器。具體方法見,P157-158,,3.,防火墻的一些策略配置,,（,1,）定義網(wǎng)絡(luò)區(qū)域。（,2,）定義網(wǎng)絡(luò)對象。（,3,）配置訪問策略,,（,4,）通信策略。,,,6.4.2,防火墻的應(yīng)用解決方案,,1.,證券公司營業(yè)部防火墻解決方案,,某證券公司營業(yè)部原系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖,6,－,21,所示。整個營業(yè)部局域網(wǎng)通過路由器連接,DDN,專線接入因特網(wǎng)。,WEB,服務(wù)器直接與路由器局域網(wǎng)口連在一個交換機上，使用合法,IP,地址。一臺業(yè)務(wù)前置機也連在整個交換機上，使用合法的,IP,地址。業(yè)務(wù)前置機與內(nèi)部網(wǎng)中的一臺業(yè)務(wù)通信機通過串行線連接。內(nèi)部網(wǎng)所有用戶要訪問因特網(wǎng)，必須通過代理服務(wù)器。代理服務(wù)器軟件為,WinGate,和,Sygate,。代理服務(wù)器上裝兩片網(wǎng)卡，一片連接在外部的交換機上，另一片連在內(nèi)部網(wǎng)的交換機上。同時代理服務(wù)器也兼作業(yè)務(wù)前置機。在整個網(wǎng)絡(luò)系統(tǒng)中添加一臺清華紫光的,UF3500,防火墻，以三端口運行。將大戶網(wǎng)吧和內(nèi)部網(wǎng)（包括代理服務(wù)器）連接到防火墻的內(nèi)部區(qū)；將,WEB,服務(wù)器和前置業(yè)務(wù)機連接到防火墻的中立區(qū)；而防火墻的外部接口與路由器的局域網(wǎng)口相連。這樣可以有效保護內(nèi)部網(wǎng)、大戶網(wǎng)吧、,WEB,服務(wù)區(qū)和前置業(yè)務(wù)機，同時保證所有業(yè)務(wù)的正常運行。系統(tǒng)架構(gòu)如,P162,的圖,6,－,22.,,,2.,天融信某銀行金融城域網(wǎng)防火墻方案,,目前某銀行主要應(yīng)用業(yè)務(wù)中，網(wǎng)上銀行、電子商務(wù)、網(wǎng)上交易系統(tǒng)都是通過因特網(wǎng)公網(wǎng)進行相關(guān)操作，由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點，其系統(tǒng)很可能成為惡意入侵者的攻擊目標(biāo)。銀行網(wǎng)絡(luò)安全的風(fēng)險來自多個方面。其一，來自互聯(lián)網(wǎng)的風(fēng)險。其二，來自外單位的風(fēng)險。其三，來自不信任域的風(fēng)險。其四，來自內(nèi)部網(wǎng)的風(fēng)險。（詳見,P162,）,,鑒于存在以上潛在風(fēng)險，該銀行網(wǎng)絡(luò)需要防范來自不安全網(wǎng)絡(luò)或不信任域的非法訪問或非授權(quán)訪問，防范信息在網(wǎng)絡(luò)傳輸過程中被非法竊取而造成信息的泄露，并動態(tài)地防范各種來自內(nèi)外網(wǎng)絡(luò)的惡意攻擊，對進入網(wǎng)絡(luò)或主機的數(shù)據(jù)實時檢測，防范病毒對網(wǎng)絡(luò)或主機的侵害，針對銀行特殊的應(yīng)用進行特定的應(yīng)用開發(fā)，必須制定完善的安全管理制度，并通過培訓(xùn)等手段來增強員工的安全防范技術(shù)及意識。,,鑒于以上銀行系統(tǒng)可能發(fā)生的安全隱患及客戶要求，天融信制訂出了安全可靠的安全解決方案，首先,……,其次,……,再次（詳見,P163,）,,,除了上述的安全風(fēng)險外，安全設(shè)備本身的穩(wěn)定性也非常重要。為此天融信安全解決方案中防火墻將采用雙機熱備的方式，即兩臺防火墻互為備份，一臺是主防火墻，另一臺是從防火墻。當(dāng)主防火墻發(fā)送故障時，從防火墻接替主防火墻的工作，從而最大限度地保證用戶網(wǎng)絡(luò)的聯(lián)通性。,,根據(jù)該銀行的網(wǎng)絡(luò)結(jié)構(gòu)，天融信把整個網(wǎng)絡(luò)用防火墻分割成三個物理控制區(qū)域，即金融網(wǎng)廣域網(wǎng)、獨立服務(wù)器網(wǎng)絡(luò)、銀行內(nèi)部網(wǎng)絡(luò)。以上三個區(qū)域分別連接在防火墻的三個以太網(wǎng)接口上，從而通過 防火墻加載訪問控制策略，對這三個控制區(qū)域間的訪問進行限制。主防火墻與從防火墻之間通過,Console,電纜線相連接，用以進行兩臺防火墻之間的心跳檢測。其拓?fù)浣Y(jié)構(gòu)如圖,6,－,23,所示。,,1,、現(xiàn)狀描述,,上海某教委教育信息網(wǎng)依托教育信息網(wǎng)絡(luò)平臺，構(gòu)成了以教委為中心，各學(xué)校教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍區(qū)子網(wǎng)、圖書館子網(wǎng)等組成的網(wǎng)絡(luò)體系，在在此基礎(chǔ)上開展了多樣化的教學(xué)和科研業(yè)務(wù)。,,目前該網(wǎng)絡(luò)基礎(chǔ)設(shè)施已基本建設(shè)完成，具有以下幾個顯著特點：首先是教委信息中心作為校園網(wǎng)的核心面向?qū)W生師生，是系統(tǒng)的建設(shè)重點；其次各學(xué)校校園網(wǎng)數(shù)據(jù)應(yīng)用類型比較復(fù)雜，主要包括提供網(wǎng)上瀏覽、電子郵件、遠(yuǎn)程登錄的信息服務(wù)系統(tǒng)，提供多媒體網(wǎng)上教學(xué)平臺的教學(xué)應(yīng)用系統(tǒng)，為各學(xué)校綜合教務(wù)提供服務(wù)的辦公自動化管理系統(tǒng)，人事信息、教學(xué)資源管理應(yīng)用系統(tǒng)，提供教學(xué)科研圖書資料的電子圖書館等。,案例實現(xiàn),,2,、需求分析,,該教委各學(xué)校網(wǎng)絡(luò)的安全建設(shè)目前還比較簡單，存在著較多的安全隱患，根據(jù)各學(xué)校的網(wǎng)絡(luò)和應(yīng)用特點，從信息安全的角度并結(jié)合本學(xué)期安全項目建設(shè)目標(biāo)，教委及各學(xué)校主要存在以下的安全需,,（,1,）在各學(xué)校網(wǎng)絡(luò)出口處 部署訪問控制設(shè)備，防止外網(wǎng)非授權(quán)數(shù)據(jù)進入學(xué)校內(nèi)網(wǎng)，實現(xiàn)學(xué)校內(nèi)網(wǎng)和廣域網(wǎng)的邏輯隔離。,,（,2,）實現(xiàn)對訪問控制設(shè)備的集中管理，實現(xiàn)策略統(tǒng)一下發(fā)，日志集中存儲,,（,3,）建立統(tǒng)一安全管理平臺，對全網(wǎng)設(shè)備進行有效監(jiān)控，并對整個安全態(tài)勢進行感知，實時準(zhǔn)確定位安全事件發(fā)生源，對信息系統(tǒng)所面臨的蠕蟲病毒及黑客入侵等網(wǎng)絡(luò)攻擊形成一套監(jiān)控、預(yù)警、發(fā)現(xiàn)、響應(yīng)的機制,,（,4,）建立系統(tǒng)、有效的安全管理制度。,案例實現(xiàn),,3,、解決方案,,（,1,）在教委互聯(lián)網(wǎng)出口處部署兩臺防火墻，出口處防火墻 采用雙機熱備方式部署，當(dāng)一臺防火墻崩潰時，另外一臺防火墻存有所有會話的備份，從而保證業(yè)務(wù)的高可用性，如,P164,圖,6,－,24,所示。同時，充分發(fā)揮防火墻的入侵防御、深度內(nèi)容過濾、高可用性、管理審計等功能，做到事前可見、事中可控、事后可查。通過設(shè)置過濾規(guī)則，僅允許外部用戶訪問特定主機的特定服務(wù)端口，有效保護教委教育信息網(wǎng)的內(nèi)網(wǎng)安全。,,（,2,）在各學(xué)校網(wǎng)絡(luò)邊界處部署防火墻，對網(wǎng)絡(luò)內(nèi)部的相互訪問進行訪問控制。確保合法用戶正常使用網(wǎng)絡(luò)資源、防止外部用戶非法訪問該教委下屬各學(xué)校的內(nèi)網(wǎng)，阻止網(wǎng)絡(luò)攻擊和越權(quán)訪問，確保網(wǎng)絡(luò)訪問在有序和可控的環(huán)境下進行。,,（,3,）采用安全管理平臺對該網(wǎng)絡(luò)中的主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行集中監(jiān)控管理，它包括網(wǎng)絡(luò)拓?fù)涔芾?、性能管理、故障管理、安全審計、事件和告警管理等功能模塊。,案例實現(xiàn),,4.4.1,Web,服務(wù)器置于防火墻之內(nèi),優(yōu)點 ：,將,Web,服務(wù)器裝在防火墻內(nèi)的好處是它得到了,,安全保護，不容易被黑客闖入。,缺點 ：,這種配置卻使得,Web,服務(wù)器不容易被外界所用。,,4.4.2,Web,服務(wù)器置于防火墻之外,為保證內(nèi)部網(wǎng)絡(luò)的安全，將,Web,服務(wù)器完全置于防火墻之外是比較合適的。在這種模式中，,Web,服務(wù)器不受保護，但內(nèi)部網(wǎng)則處于保護之下。,,4.4.3,Web,服務(wù)器置于防火墻之上,優(yōu)點 ：,在防火墻機器上運行,Web,服務(wù)器，可以增強,,Web,站點的安全性。,缺點 ：,一旦服務(wù)器出了問題，整個組織和,Web,站點就,,全部處于危險之中。,,4.4.4,ISA Server,企業(yè)級防火墻配置實例,Microsoft ISA Server,企業(yè)級防火墻是全球最大的軟件公司微軟公司最新發(fā)布的防火墻產(chǎn)品。最新的產(chǎn)品是,2004,年推出的,ISA Server 2004,。作為,Microsoft Windows Server System,的成員之一，,ISA Server 2004,企業(yè)級防火墻是一個安全、易于使用且經(jīng)濟高效的解決方案，可幫助,IT,專業(yè)人員抵御不斷涌現(xiàn)的新安全威脅。,,Check Point Firewall-1,1,AXENT Raptor,2,,CyberGuard,Firewall,3,防火墻產(chǎn)品介紹,4. 5,Cisco PIX 535,4,聯(lián)想“超五”千兆線速防火墻,——NFW4000,5,,4.5.1,Check Point Firewall-1,Check Point (http://,,),公司推出的,Firewall-1,共支持兩個平臺：一個是,Unix,平臺，另一個是,Windows NT,平臺。,Firewall-1,具有一種很特別的結(jié)構(gòu)，稱為多層次狀態(tài)監(jiān)視結(jié)構(gòu)。這種結(jié)構(gòu)讓,Firewall-1,可以對復(fù)雜的網(wǎng)絡(luò)應(yīng)用軟件進行快速支持。也因為這個功能，使得,Check Point,在防火墻產(chǎn)品的廠商中位居領(lǐng)導(dǎo)地位。有很多第三方廠商對它進行支持。而,Check Point,也提供了一套,APL,供開發(fā)者使用，以便開發(fā)更多的輔助工具。,,Firewall-1,提供了最佳權(quán)限控制、最佳綜合性能及簡單明了的管理。除了,NAT,外，它具有用戶認(rèn)證功能。對于,FTP,，可以根據(jù),put,、,set,以及文件名加以限制。對于,SMTP,，它可以丟棄超過一定大小的郵件，對郵件進行病毒掃描，以及改寫郵件頭信息。,Firewall-1,還可以防止有害,SMTP,命令（如,debug,）的執(zhí)行。,Firewall-1,的用戶界面是網(wǎng)絡(luò)控制中心，定義和實施復(fù)雜的安全規(guī)則非常容易。每個規(guī)劃還有一個域用于文檔記錄，如為什么制定這條規(guī)則，何時制定及由誰制定。,,4.5.2,AXENT Raptor,Raptor,是代理型防火墻中比較好的產(chǎn)品。它的界面易讀、易操作，在實時日志方面，僅次于,Firewall-1,。,Raptor,的優(yōu)勢在于其代理的深度和廣度。只有它提供對,Microsoft NT,服務(wù)器的保護。它還具有,SQL * NET,代理功能，可控制對,Oracle,數(shù)據(jù)庫的訪問。,Raptor,在,SMTP,方面做得很好，而且它是可防止緩存溢出的防火墻，它可以代理,NNTP,（網(wǎng)絡(luò)新聞傳輸協(xié)議）和,NTP,（網(wǎng)絡(luò)時間協(xié)議）。,,4.5.3,CyberGuard,Firewall,,CyberGuard,Firewall,是由,CyberGuard,,公司制作的，其主要結(jié)構(gòu)是基于,CX/SX,多層式安全操作系統(tǒng)，它的操作相當(dāng)容易上手。,CyberGuard,Firewall,跟其他防火墻產(chǎn)品不同的地方在于，它提供一種可以安裝在防火墻上的界面卡。通過界面卡，可以進行硬件加密。這對于整體效果有顯著的提高。另外，它還有網(wǎng)絡(luò)地址轉(zhuǎn)譯、支持,Sock,、分割式的,DNS,等特點。,,4.5.4,Cisco PIX 535,Cisco Secure PIX 535,防火墻提供的承載級的性能可以滿足大型企業(yè)網(wǎng)絡(luò)和服務(wù)提供商的需要。作為世界領(lǐng)先的,Cisco Secure PIX,防火墻系列的組成部分，,PIX 535,能夠為當(dāng)今的網(wǎng)絡(luò)客戶提供無與倫比的安全性、可靠性和性能。該防火墻將靜態(tài)防火墻和,IP,安全（,IPSec,）虛擬專網(wǎng)（,VPN,）功能與千兆位以太網(wǎng)吞吐量靈活地結(jié)合在一起。,,,PIX 535,是一種能夠提供空前保護能力的通用防火墻設(shè)備。它與,PIX,操作系統(tǒng)（,OS,）緊密集成在一起，該操作系統(tǒng)是一種消除了安全漏洞和性能退化開銷的專用固化系統(tǒng)。,PIX535,防火墻的核心是基于自適應(yīng)安全算法（,ASA,）的一種保護機制，它可以提供面向靜態(tài)連接的防火墻功能，能夠進行,50,萬個同時連接，并同時防止常見的拒絕服務(wù)（,DoS,）攻擊。,,4.5.5,聯(lián)想“超五”千兆線速防火墻,—NFW4000,,聯(lián)想“超五”千兆線速防火墻,——NFW4000,是一款無操作系統(tǒng)、多機集群并基于,NP,（網(wǎng)絡(luò)處理器）的,4GB,千兆線速防火墻，也是真正實現(xiàn)數(shù)據(jù)包內(nèi)容過濾的防火墻。聯(lián)想擁有完全自主知識產(chǎn)權(quán)，并已取得國家十多項技術(shù)專利，不僅在國內(nèi)同類產(chǎn)品中名列前茅，而且在國際上也屬領(lǐng)先水平。,,