防火墻基礎(chǔ)知識(shí)介紹防火墻基礎(chǔ)防火墻的定義邊界設(shè)備安全域之間的唯一出入口一套的安全策略一系列的防范措施一種有效的網(wǎng)絡(luò)安全模型防火墻基礎(chǔ)防火墻的作用保護(hù)內(nèi)部網(wǎng)絡(luò)限制內(nèi)部人員對(duì)外的訪問建立安全通道制定安全策略防火墻基礎(chǔ)防火墻模型OSI/RM防火墻應(yīng)用層網(wǎng)關(guān)級(jí)表示層會(huì)話層傳輸層電路級(jí)網(wǎng)絡(luò)層路由器級(jí)數(shù)據(jù)鏈路層網(wǎng)橋級(jí)物理層中繼器級(jí)防火墻基礎(chǔ)防火墻的基本安全策略拒絕沒有特別允許的任何事情允許沒有特別拒絕的任何事情防火墻基礎(chǔ)對(duì)防火墻技術(shù)的評(píng)價(jià)好處集中的網(wǎng)絡(luò)安全可作為中心“扼制點(diǎn)”產(chǎn)生安全報(bào)警監(jiān)視并記錄Internet的使用NAT的理想位置WWW和FTP服務(wù)器的理想位置防火墻基礎(chǔ)對(duì)防火墻技術(shù)的評(píng)價(jià)不足無法防范通過防火墻以外的其它途徑的攻擊無法防范來自內(nèi)部的攻擊防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊防火墻基礎(chǔ)防火墻技術(shù)現(xiàn)狀綜合類技術(shù)的防火墻，非單獨(dú)的包過濾或者應(yīng)用代理對(duì)數(shù)據(jù)進(jìn)行加解密在TCP/IP協(xié)議層進(jìn)行各項(xiàng)安全控制防火墻關(guān)鍵技術(shù)概述包過濾技術(shù)過濾包頭信息根據(jù)路由規(guī)則拒絕或允許數(shù)據(jù)包轉(zhuǎn)發(fā)與服務(wù)有關(guān)的過濾與服務(wù)無關(guān)的過濾防火墻關(guān)鍵技術(shù)概述包過濾技術(shù)優(yōu)點(diǎn)在標(biāo)準(zhǔn)路由器軟件中包含費(fèi)用少缺點(diǎn)定義數(shù)據(jù)包過濾器會(huì)比較復(fù)雜隨著過濾器數(shù)目的增加，路由器的吞吐量會(huì)下降IP包過濾器可能無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制防火墻關(guān)鍵技術(shù)概述代理技術(shù)應(yīng)用網(wǎng)關(guān)技術(shù)堡壘主機(jī)優(yōu)點(diǎn)對(duì)服務(wù)進(jìn)行全面的控制支持可靠的用戶認(rèn)證容易配置和管理缺點(diǎn)要求用戶安裝代理客戶端防火墻關(guān)鍵技術(shù)概述狀態(tài)監(jiān)測(cè)技術(shù)根據(jù)分組的屬性和狀態(tài)表進(jìn)行網(wǎng)絡(luò)傳輸控制決策優(yōu)點(diǎn)檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充可以監(jiān)測(cè)RPC、和UDP之類的端口信息缺點(diǎn)不能根據(jù)實(shí)際傳輸?shù)臄?shù)據(jù)內(nèi)容進(jìn)行判斷配置比較復(fù)雜、會(huì)降低網(wǎng)絡(luò)速度防火墻關(guān)鍵技術(shù)概述地址轉(zhuǎn)換技術(shù)（NAT）內(nèi)部外部地址轉(zhuǎn)換，隱藏內(nèi)部IP地址單向NAT雙向NAT防火墻關(guān)鍵技術(shù)概述VPN技術(shù)虛擬專用網(wǎng)在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。保證數(shù)據(jù)的真實(shí)性保證數(shù)據(jù)的完整性保證通道的機(jī)密性提供動(dòng)態(tài)密匙交換功能提供安全防護(hù)措施和訪問控制防火墻關(guān)鍵技術(shù)概述VPN技術(shù)虛擬專網(wǎng)標(biāo)準(zhǔn)IPSec、PPTP、L2TP優(yōu)點(diǎn)是性能價(jià)格比比較高的安全方式大多數(shù)的VPN產(chǎn)品可以在網(wǎng)絡(luò)連接中透明地配置，而不需要修改網(wǎng)絡(luò)或客戶端的配置IPSecVPN是最安全和流行的選擇不足應(yīng)用時(shí)間還不是很長(zhǎng)不同廠商的執(zhí)行方式不同防火墻的體系結(jié)構(gòu)包過濾路由器完成數(shù)據(jù)包轉(zhuǎn)發(fā)的基本路由功能利用包過濾規(guī)則控制數(shù)據(jù)包的通過防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)結(jié)構(gòu) 雙宿堡壘主機(jī)有兩個(gè)網(wǎng)絡(luò)接口，但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能（其能旁路代理服務(wù)）被關(guān)掉了。這種物理結(jié)構(gòu)強(qiáng)行將讓所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)，并且在外部用戶被授予直接訪問信息服務(wù)器的權(quán)利時(shí)，提供附加的安全性。防火墻的體系結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)采用了包過濾路由器和堡壘主機(jī)組成。它實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。防火墻的體系結(jié)構(gòu)DMZ或屏蔽子網(wǎng)結(jié)構(gòu)定義了“非軍事區(qū)”（DMZ）網(wǎng)絡(luò)，支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。在一般情況下對(duì)DMZ配置成使用Internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠訪問DMZ網(wǎng)絡(luò)上數(shù)目有限的系統(tǒng)，而通過DMZ網(wǎng)絡(luò)直接進(jìn)行信息傳輸是嚴(yán)格禁止的。常見的防火墻產(chǎn)品介紹CheckPoint簡(jiǎn)介CheckPoint

FireWall1，軟件防火墻，可以與其他硬件捆綁（Nokia）支持廣泛的應(yīng)用程序開放式結(jié)構(gòu)設(shè)計(jì)為擴(kuò)充新的應(yīng)用程序提供了便利集中管理下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)網(wǎng)絡(luò)安全的新模式——StatefulInspection技術(shù)常見的防火墻產(chǎn)品介紹CheckPoint簡(jiǎn)介遠(yuǎn)程網(wǎng)絡(luò)訪問的安全保障(FireWall-1SecuRemote)鑒定SecuRemote遠(yuǎn)程加密功能虛擬專用網(wǎng)絡(luò)集成的、易操作的密鑰管理程序?qū)崟r(shí)報(bào)警集成管理常見的防火墻產(chǎn)品介紹CiscoPIX簡(jiǎn)介Cisco自己開發(fā)的防火墻操作系統(tǒng)PIX運(yùn)行了代理ARP，給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址對(duì)TCP信息包的序列編號(hào)進(jìn)行隨機(jī)化處理，防止IP地址欺騙常見的防火墻產(chǎn)品介紹NetScreen簡(jiǎn)介控制允許或拒絕訪問的基于地址的信息以硬件為基礎(chǔ)，將防火墻虛擬專用網(wǎng)VPN和流量管理系統(tǒng)等幾類功能集成在一起使用一個(gè)內(nèi)部設(shè)計(jì)的專用集成電路（ASIC）可以作為部署NAT目的地址轉(zhuǎn)換的邏輯地址，因此可以用來有效解決網(wǎng)絡(luò)地址匱乏的問題是具有安全可靠的身份認(rèn)證檢測(cè)、實(shí)用的策略管理控制機(jī)制、靈活的四種應(yīng)用模式、DMZ區(qū)的設(shè)計(jì)、負(fù)載平衡、流量控制、虛擬專用網(wǎng)等概念的新一代硬件網(wǎng)絡(luò)防火墻。常見的防火墻產(chǎn)品介紹NetScreen簡(jiǎn)介NetScreen產(chǎn)品netscreen-5:提供5M帶寬的吞吐能力，支持10-25個(gè)用戶的連接。具有防火墻和VPN功能。NetScreen-10:提供10M帶寬的吞吐能力。NetScreen-100:提供100M帶寬的吞吐能力。NetScreen-1000:提供100M帶寬的吞吐能力。NetScreenGlobalManagerForWindowsNT:具有對(duì)NetScreen

完整的Internet解決方案進(jìn)行集中的管理的能力。

對(duì)防火墻的攻擊IP地址欺騙突破防火墻系統(tǒng)最常用的方法偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部站的分組過濾器，對(duì)防火墻的攻擊TCP序號(hào)攻擊是繞過基于分組過濾方法的防火墻系統(tǒng)的最有效和最危險(xiǎn)的方法之一這種攻擊基于在建立TCP連續(xù)時(shí)使用的三步握手序號(hào)它假定利用前面敘述過的IP地址欺騙可以從外部把偽造的IP分組送入內(nèi)部計(jì)算機(jī)系統(tǒng)對(duì)防火墻的攻擊IP分段攻擊采用數(shù)據(jù)分組分段的辦法，數(shù)據(jù)包發(fā)送后，并不立即重新組裝單個(gè)的分段，而是把它們路由到最終目的地，只在這時(shí)才把它們放在一塊給出原始的IP分組被分段的分組是對(duì)基于分組過濾防火墻系統(tǒng)的一個(gè)威脅，它們把它們的路由判決建立在TCP端口號(hào)的基礎(chǔ)上，因?yàn)橹挥械谝粋€(gè)分段標(biāo)有TCP端口號(hào)，而沒有TCP號(hào)的分段是不能被濾除的。可以使用修改過的TCP實(shí)現(xiàn)來分析不完整的分段序列，藉此繞過防火墻系統(tǒng)對(duì)防火墻的攻擊基于附加信息的攻擊使用端口80（HTTP端口）傳送內(nèi)部信息給攻擊者這種攻擊完全可以通過防火墻實(shí)現(xiàn)，因?yàn)榉阑饓υ试SHTTP通過且又沒有一套完整的安全辦法確定HTTP報(bào)文和非HTTP報(bào)文之間的差異。對(duì)防火墻的攻擊基于堡壘主機(jī)web服務(wù)器的攻擊把堡壘主機(jī)web服務(wù)器轉(zhuǎn)變成避開防火墻內(nèi)外部路由器作用或影響的系統(tǒng)。它也可用于發(fā)動(dòng)針對(duì)下一層保護(hù)的攻擊，觀察或破壞防火墻網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)通信量，或者在防火墻只有一個(gè)路由器的情況下完全繞過防火墻IP隧道攻擊IP隧道攻擊即在端口80（或者其它任意防火墻允許信息包通過的端口）發(fā)送能產(chǎn)生穿過防火墻的IP隧道的程序。對(duì)防火墻的攻擊計(jì)算機(jī)病毒攻擊計(jì)算機(jī)病毒是一種把自身附加在程序之上對(duì)原先程序加以改變的代碼段。它只是在程序開始運(yùn)行時(shí)執(zhí)行，然后復(fù)制其自身，并在復(fù)制中影響其他程序。病毒可以以多種形式穿越防火墻，比如通過email、比如通過客戶機(jī)的瀏覽器等等。對(duì)防火墻的攻擊特洛伊木馬攻擊特洛伊木馬是藏匿在某一合法程序內(nèi)完成偽裝預(yù)定功能的代碼段。它可作為藏匿計(jì)算機(jī)病毒、蠕蟲或其他惡意程序的方式，但多數(shù)時(shí)間被用于繞過諸如防火墻這樣的安全屏障對(duì)防火墻的攻擊報(bào)文攻擊利用重定向報(bào)文進(jìn)行攻擊重定向報(bào)文可改變路由器，路由器根據(jù)這些報(bào)文建議主機(jī)走另一條“更好”的路徑。利用重定向報(bào)文把連接轉(zhuǎn)向一個(gè)黑客或攻擊者控制的主機(jī)，或使所有報(bào)文通過他們控制的主機(jī)來轉(zhuǎn)發(fā)防火墻的其他功能防火墻負(fù)載均衡技術(shù)單一的防火墻引入會(huì)導(dǎo)致新的新的單一故障點(diǎn)，所以在高負(fù)載且非常重要的服務(wù)器前端，我們還應(yīng)該使用防火墻負(fù)載衡技術(shù)防火墻的其他功能防火墻的VPN功能采用TCP/IP安全技