1、4.3簡易防火墻的設置及使用4.3.1 防火墻的原理與作用4.3.2 防火墻的設置及使用目錄引入隨著Internet的日益普及，開放式的網絡帶來了許多不安全的隱患。在開放式的網絡上，我們的周圍存在著許多不能信任的計算機(包括在一個LAN之間)，這種這些計算機對我們私有的一些敏感信息造成了很大的威脅。在大廈的構造中，防火墻被設計用來防止火災從大廈的一部分傳播到大廈的另一部分。我們所涉及的“防火墻”具有類似的目的:“防止Internet的危險傳播到你的內部網絡”什么是防火墻？所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全

2、性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。什么是防火墻？防火墻(Fire Wall)：網絡安全的第一道防線，是位于兩個信任程度不同的網絡之間(如企業內部網絡和Internet之間)的設備，它對兩個網絡之間的通信進行控制，通過強制實施統一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統安全的目的。防火墻 = 硬件 +軟件 +控制策略寬松控制策略:除非明確禁止，否則允許。限制控制策略:除非明確允許，否則禁止。防火墻的原理防火墻是一項協助確保信息安全的設備，它主要由服務訪問規則、驗證工具

3、、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。防火墻的原理防火墻最基本原理就是控制在計算機網絡中，不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網絡是高度信任的區域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。典型信任的區域包括互聯網和一個內部網絡。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。防火墻在安全體系中的位置防火墻的功能網絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通

4、過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。防火墻的功能強化網絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密

5、口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火墻一身上。防火墻的功能監控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。防火墻的功能防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏

6、感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作

7、用，防火墻還支持具有Internet服務性的企業內部網絡技術體系VPN（虛擬專用網）。防火墻的功能日志記錄與事件通知進出網絡的數據都必須經過防火墻，防火墻通過日志對其進行記錄，能提供網絡使用的詳細統計信息。當發生可疑事件時，防火墻更能根據機制進行報警和通知，提供網絡是否受到威脅的信息。防火墻的基本功能模塊防火墻和路由器的差異防火墻的類型大致可以分為三類包過濾防火墻代理服務器防火墻狀態監視器防火墻包過濾防火墻包過濾防火墻的工作原理：采用這種技術的防火墻產品，通過在網絡中的適當位置對數據包進行過濾，根據檢查數據流中每個數據包的源地址，目的地址，所有的TCP端口號和TCP鏈路狀態等要素，然后依據一組

8、預定義的規則，以允許合乎邏輯的數據包通過防火墻進入到內部網絡，而將不合乎邏輯的數據包加以刪除。包過濾防火墻的優點： 價格比較低 對用戶透明 對網絡性能的影響很小、速度快、易于維護。包過濾防火墻的缺點： 包過濾配置起來比較復雜 對IP欺騙式攻擊比較敏感 沒有用戶的使用記錄，這樣就不能從訪問記錄中發現黑客的攻擊計錄。 攻擊一個單純的包過濾式的防火墻對黑客來說比較容易。包過濾防火墻代理服務器防火墻代理服務器防火墻的工作原理： 代理服務器運行在兩個網絡之間，它對于客戶來說像是一臺真的服務器一樣，而對于外界的服務器來說，它又是一臺客戶機。 當代理服務器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司

9、的要求，如果公司允許用戶訪問該站點的話，代理服務器會像一個客戶一樣，去那個站點取回所需信息再轉發給客戶。代理服務器防火墻的優點： 可以將被保護的網絡內部結構屏蔽起來，增強網絡的安全性； 可用于實施較強的數據流監控、過濾、記錄和報告等。代理服務器防火墻的缺點： 使訪問速度變慢，因為它不允許用戶直接訪問網絡；（所有內部網絡的主機均需通過代理服務器主機才能獲得Internet上的資源，因此會造成使用上的不便，而且代理服務器很有可能會成為系統的“瓶頸”）。 代理服務器防火墻狀態監視器防火墻狀態監視器防火墻的工作原理： 采用了一個在網關上執行網絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網絡正

10、常工作的前提下，采用抽取相關數據的方法對網絡通信的隔離層實施檢測，抽取部分數據，即狀態信息，并動態地保存起來作為以后指定安全決策的參考。狀態監視器防火墻的優點： 安全特性較好 檢測模塊支持多種協議和應用程序，并可以很容易地實現應用和服務的擴充；它會檢測RPC和UDP之類的端口信息，而包過濾和代理網關都不支持此類端口；防范攻擊較堅固。狀態監視器防火墻的缺點： 配置非常復雜、會降低網絡的速度。非軍事化區（Demilitarized Zone,縮寫為DMZ）防火墻可以保證內部網絡的客戶端，訪問外部網絡的服務器，但外部網絡的客戶端被禁止訪問內部網絡的服務器。為了解決這個問題，可以通過防火墻設立一個非安

11、全系統與安全系統之間的緩沖區。這個緩沖區位于內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如web服務器等等，這就是非軍事化區。防火墻的優點保護脆弱的服務。通過定義一個中心“扼制點”及過濾不安全的網絡服務，防火墻可防止非法用戶進入內部網絡，減少內網中主機的風險。控制對系統的訪問。可提供對系統的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機，允許內部員工使用某些資源而不能使用其他資源等。集中的安全管理。對內網實行集中的安全管理。通過制定安全策略，其安全防護措施可運行于整個內網系統中而無須在每個主機中分別設立。同時還可將內網中需改動的程序都存

12、于防火墻中而不是分散到每個主機中，便于集中保護。增強保密性。可阻止攻擊者獲取攻擊網絡系統的有用信息。有效地記錄Internet上的活動。因為所有進出信息都必須通過防火墻，所以非常便于收集關于系統和網絡使用和誤用的信息。防火墻的不足之處不能防范來自內部的攻擊。對內部用戶偷竊數據，破壞硬件和軟件等行為無能為力。不能防范不通過它的連接。對有意繞過它進/出內網的用戶或數據無法阻止，從而給系統帶來威脅，如用戶可以將數據復制到磁盤中帶出內網。不能防范未知的威脅。能較好地防備已知的威脅，但不能自動防御所有新的威脅。不能完全防范病毒的破壞。為了提高安全性，限制和關閉了一些有用但存在安全缺陷的網絡服務，給用戶帶

13、來了使用的不便。防火墻的設置及使用防火墻有很多種產品，按產品的形態和實現方法，可分為硬件防火墻和軟件防火墻。不管是硬件防火墻還是軟件防火墻，都能起到保護作用并篩選出網絡上的攻擊者。硬件防火墻是通過硬件和軟件的組合來達到隔離內外部網絡的目的，而軟件防火墻是通過純軟件的方式實現隔離內外部網絡的目的。硬件防火墻對比軟件防火墻的優熱可以概括為：1、性能優勢。防火墻的性能對防火墻來說是至關重要的。它決定了每秒鐘通過防火墻的數據流量，單位是bps，從幾十M到幾百M不等，還有千兆防火墻甚至達到幾G的防火墻。而軟件防火墻則不可能達到如此高的速率。2、CPU占用率的優勢。硬件防火墻的CPU占用率當然是0了，而軟

14、件防火墻就不同了，如果處于節約成本的考慮將防火墻軟件安裝在提供服務的主機上，當數據流量較大時，CPU占用率將是主機的殺手，將拖跨主機。3、售后支持。硬件防火墻廠家會對防火墻產品有跟蹤的服務支持，而軟件防火墻的用戶能得到這種機會的相對較少，而且廠家也不會在軟件防火墻上下太大的功夫和研發經費。防火墻的設置及使用硬件防火墻應用于有一定規模的網絡，一般用于對安全要求較高的網絡中。家庭或小型私人網絡一般不需要安裝硬件防火墻。原因：硬件防火墻需要有一定專業能力的人員進行調試和設置。 硬件防火墻成本偏高。軟件防火墻運行于計算機上，它需要計算機操作系統的支持，一般來說安裝了防火墻的計算機就是整個網絡的網關，俗稱“個人防火墻”。選擇一個合適的個人防火墻是構建個人安全用網環境的關鍵。軟件防火墻目前有很多成熟的產品： 例如瑞星個人防火墻、諾頓網絡防火墻等 Windows7.0版本以上自帶的防火境已經成為系統中不可或缺的一部分。無論安裝哪種第三方防火墻。都不應該關閉Windows操作系統自帶的防火墻。殺毒軟件、安全衛士、防火墻類型舉例主要功能區別結論殺毒軟件金山毒霸查殺病毒和防御病毒入侵殺毒軟件主要用來查殺和預防計算機病毒。防火墻軟件主要用來預防黑客攻擊。安全衛