第8章防火墙技术

第8章防火墙技术清华大学出版社主编贾铁军副主编俞小怡罗宜元侯丽波编著常艳宋少婷高等院校计算机与信息类规划教材网络安全实用技术上海市精品课程特色教材上海高校优秀教材奖主编（第2版）目录8.2防火墙类型28.3防火墙体系结构38.4防火墙的主要应用4

8.1网络安全概述1

8.5智能防火墙概述58.6实验八防火墙的配置实验

6目录教学目标●掌握防火墙的概念和功能●了解防火墙的主要分类与体系结构●理解典型防火墙系统设计

●了解内外部防火墙的设计●掌握智能防火墙防范DDOS攻击的方法重点重点

防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。

8.1防火墙概述

现代网络安全服务一般有两种：一是存取控制，禁止非法通信和连网；二是通信安全服务，提供授权数据的完整性、可靠性，具有对同级通信者的访问否定权。当用户连上Internet,就可在中间插入中介系统的控制关联，防止通过网络进行的攻击,并提供单一的安全和审计的安装控制点,中间系统就是防火墙.

网络安全技术包括传统的网络安全技术和分布式网络安全技术,主要解决如何利用Internet进行安全通信,保护内网免受外部攻击.8.1防火墙概述8.1防火墙概述8.1.1防火墙的概念

防火墙（FireWall）是指一种放置在本地的计算机与外界网络之间的系统，从网络发往计算机的所有数据都要经过其判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，从而实现了对计算机的保护功能。网络防火墙的部署结构如图8-1所示。

8.1防火墙概述8.1.2防火墙的功能1.过滤进、出网络的数据，强化安全策略。防火墙是信息进出网络的必经之路，它可以检测所有经过数据的细节，并根据事先定义好的策略允许或禁止这些数据的通过。此外，可以将某些安全软件（如口令、加密、身份认证、审计等）配置在防火墙上，以实现更好的安全策略。

2.管理和控制进、出网络的访问行为。只有经过精心选择的应用协议才能够通过防火墙，这样网络环境变得更安全。比如防火墙可以禁止NFS协议进出受保护的网络，这样外部攻击者就不能够利用协议的脆弱性攻击内部网络。8.1防火墙概述3.

对不安全的服务进行限制和拦截，尽可能不暴露内部网络。通过隔离内、外网络，可以防止非法用户进入内部网络，并能有效防止邮件炸弹、蠕虫病毒、宏病毒的攻击。4.记录通过防火墙的信息内容和活动。因为内、外网络之间的数据包必须经过防火墙，所以防火墙能对这些数据包进行记录并写进日志系统，同时可对使用情况进行数据统计。5.对网络攻击检测和告警。当受保护的网络遭受可疑访问时，防火墙能进行适当报警，并提供网络是否受到监测和攻击的详细信息。8.1防火墙概述8.1.3防火墙的特性与相关术语。1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业内部网络不受侵害。2.只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。防火墙将网络流量通过相应的网络接口接收上来，按照协议栈的层次结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。8.1防火墙概述8.1.3防火墙的特性与相关术语。3.防火墙自身应具有非常强的抗攻击能力。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵的能力。其中防火墙操作系统本身的安全性是关键。其次就是防火墙自身具有非常少的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。8.1防火墙概述8.1.3防火墙的特性与相关术语。与防火墙有关的术语1.网关。网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序，如公共网关接口(CGI)，到在两台主机间处理流量的防火墙网关。根据工作位置范围，网关又可划分为电路级网关和应用级网关：1电路级网关：电路级网关是用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，在OSI模型中会话层上过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。8.1防火墙概述8.1.3防火墙的特性与相关术语。2.应用级网关：工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。2包过滤包过滤是处理网络上基于逐包packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器进行包过滤。8.1防火墙概述8.1.3防火墙的特性与相关术语。3代理服务器代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。4网络地址翻译(NAT)网络地址转换是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。8.1防火墙概述8.1.3防火墙的特性与相关术语。5堡垒主机堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。6强化操作系统防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性，防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品，都可以在目前较流行的操作系统上运行。理论上来讲，让操作系统只提供最基本的功能，可以使利用系统Bug来攻击的方法非常困难。最后，当加强系统时，还要考虑到除了TCP/IP协议外不要把任何协议绑定到外部网卡上。8.1防火墙概述8.1.3防火墙的特性与相关术语。7筛选路由器筛选路由器的另一个术语是包过滤路由器或外部路由器并且至少有一个接口是连向公网的，如Internet。它是对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行筛选，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。8阻塞路由器阻塞路由器（也叫内部路由器）保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。8.1防火墙概述8.1.3防火墙的特性与相关术语。9非军事化区域(DMZ)DMZ是一个小型网络隔离带，存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立，有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和内部私有网络。DMZ另一个名字叫做ServiceNetwork，因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。8.1防火墙概述8.1.4防火墙的主要缺陷1无法消灭攻击源互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡它们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网1000M网络带宽的某站点，其日常流量中平均有10M左右是攻击行为。那么，即使成功设置了防火墙后，这10M的攻击流量依然不会有丝毫减少。2.无法防御病毒攻击计算机病毒攻击的方式多种多样，大多数病毒都是根据系统存在的漏洞进行攻击，对于这种攻击，防火墙经常是无能为力的。在内部网络用户下载外网的带毒文件的时候，防火墙无能为力。8.1防火墙概述8.1.4防火墙的主要缺陷3无法阻止内部攻击“外紧内松”是一般局域网络的特点。在一道严密防守的防火墙背后，内部网络一片混乱也很有可能。比如，外部攻击者通过社会工程学发送带木马的邮件、带木马的URL等方式在内部主机上注入木马，然后由中木马的机器主动对攻击者连接，可以将铁壁一样的防火墙瞬间破坏掉。另外，防火墙无法防御内部各主机间的攻击行为。4.自身设计漏洞不管是硬件防火墙还是软件防火墙，都会出现软/硬件方面的故障，也存在或多或少设计上的漏洞，不法分子就可能利用这些设计漏洞，绕过防火墙，对系统进行攻击。8.1防火墙概述8.1.4防火墙的主要缺陷5影响相关服务通常为了达到信息安全，人们关闭了很多不必要的服务。但是这些服务也有很多是很常用的，关闭了它们之后，人们对网络的易用性显然会受到影响。8.2防火墙的类型8.2.1按物理特性划分1软件防火墙软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。2硬件防火墙硬件防火墙是是针对芯片级防火墙而言的，最大的差别在于基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。8.2防火墙的类型8.2.1按物理特性划分3.软硬件防火墙

软硬件结合防火墙很容易与硬件防火墙混淆，其基本结构是机箱+CPU+防火墙软件集成于一体(PC-BOX结构)，其采用通用或专用(通常为通用操作系统的定制版本)操作系统，但核心技术仍然为软件，安全性在很大程度上取决于操作系统和所实现的网络协议栈的安全性。虽然软硬件结合防火墙的速度和性能优于软件防火墙，其安全性还是不够理想，通常用于小型网络。这种方式实现内容过滤与软件防火墙十分相似，性能不佳，在骨干网中通常需要布置大量硬件设备进行分流处理，成本高。8.2防火墙的类型8.2.2按过滤机制划分包过滤技术——网络级防火墙包过滤防火墙工作在网络层，通过检查单个包的地址、协议、端口等信息决定是否允许此数据包通过。路由器就是一个传统的网络级防火墙。包过滤防火墙检查规则表中的每一条规则直至发现包中的信息与某规则相符，如果没有一条能符合，就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。图8-2包过滤防火墙8.2防火墙的类型8.2.2按过滤机制划分使用包过滤防火墙的主要优点包括：1防火墙对每条传入和传出网络的包实行低水平控制。2每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。3防火墙可以识别和丢弃带欺骗性源IP地址的包。4包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。5包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。8.2防火墙的类型8.2.2按过滤机制划分第一代静态包过滤类型防火墙图8-3第一代静态包过滤防火墙的数据通路8.2防火墙的类型8.2.2按过滤机制划分第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(StatefulInspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目，图8-4第二代静态包过滤防火墙的数据通路8.2防火墙的类型8.2.2按过滤机制划分应用代理技术——应用网关防火墙

应用级网关防火墙的别名是代理服务器，有较好的访问控制，是目前最安全的防火墙技术，对用户是不透明的。

代理服务器通常运行在两个网络之间，对于客户来说是象是一台真的服务器一样，而对于外界的服务器来说，又是一台客户机。

代理服务器都通常拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去抓同样的内容，既节约了时间也节约了网络资源。代理服务器会象一堵真的墙那样挡在内部用户和外界之间，从外面只能看到代理服务器而看不到任何的内部资源，诸如用户的IP等。应用级网关比单一的包过滤更为可靠，而且会详细地记录下所有的访问记录。但是应用级网关的访问速度慢，因为它不允许用户直接访问网络。而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，效率不如网络级防火墙。8.2防火墙的类型8.2.2按过滤机制划分应用代理技术——应用网关防火墙

8.2防火墙的类型8.2.2按过滤机制划分状态检测技术——动态包过滤“状态检测”技术是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，状态检测最早由checkpoint公司提出。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表就可以通过。传统的包过滤在遇到利用动态端口的协议时会发生困难，如FTP，防火墙事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息（如FTP的PORT和PASS命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。

8.2防火墙的类型8.2.3 按处理能力划分目前，按处理能力可划分为百兆防火墙、千兆防火墙及万兆防火墙。一般来说，软件防火墙和软硬件结合防火墙的处理能力可以在百兆以上，但是达不到千兆，硬件防火墙可以达到千兆以上。随着网络带宽的不断增加，软件防火墙和软硬件结合防火墙的使用空间越来越小，硬件防火墙是适应未来网络安全发展的有效手段。目前很多千兆硬件防火墙产品标称有内容过滤能力，但一般或者是可选模块，启用后会明显降低防火墙性能；或者是只能过滤特定的字段，如URL过滤，并且随模式数量的增大性能呈指数下降。

8.2防火墙的类型8.2.4 按部署方式划分按部署方式可划分为终端(单机)防火墙和网络防火墙。终端防火墙产品绝大多数是软件产品，目前也有一些高端网卡具有一定的防火墙处理能力，终端防火墙由于数据量小通常不需要很高的处理能力，内容过滤实现相对容易，但需要在每个终端都部署，成本相对较高，并且不利于集中式管理。网络防火墙本质上是一个网络交换设备，需要很强的处理能力和转发能力，并且自身的安全性要求非常高，增加内容过滤无疑会带来性能的降低，这也是目前防火墙研究的热点，采用合理的机制将性能降低控制在可以接受的范围内。

8.3防火墙体系结构8.3.1屏蔽路由器防火墙体系结构主要有四种：·屏蔽路由器·双宿主主机网关；·被屏蔽主机网关；·被屏蔽子网。图8-5屏蔽路由器图8-6双宿主机网关图8-7被屏蔽主机网关图8-8被屏蔽子网8.3防火墙体系结构8.3.1屏蔽路由器屏蔽路由器是一个具有数据包过滤功能的路由器，既可以是一个硬件设备，也可以是一台主机。路由器上安装有IP层的包过滤软件，可以进行简单的数据包过滤。因为路由器是受保护网络和外部网络连接的必然通道，所以屏蔽路由器的使用范围很广。其缺点也很明显，一旦屏蔽路由器的包过滤功能失效，受保护网络和外部网络就可进行任何数据通信。图8-5屏蔽路由器8.3防火墙体系结构8.3.2双重宿主主机网关

双重宿主主机网关是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；能够从一个网络到另一个网络发送IP数据包。实现双重宿主主机的防火墙体系结构禁止这种发送功能。所以IP数据包从一个网络并不是直接发送到其它网络。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。

双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。在双重宿体主机体系中应用最广泛的是双穴主机网关，这种网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。

8.3防火墙体系结构8.3.2双重宿主主机网关8.3防火墙体系结构8.3.3屏蔽主机网关

屏蔽主机网关使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤。在屏蔽的路由器上的数据包过滤是按这样一种方法设置，即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁。仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。堡垒主机需要拥有高等级的安全。在屏蔽路由器中数据包过滤配置的可选方案如下：允许其它的内部主机为了某些服务与因特网上的主机连接。不允许来自内部主机的所有连接。用户可以针对不同的服务混合使用上述手段；某些服务可以被允许直接经由数据包过滤，而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。图8-7双宿主机网关8.3防火墙体系结构8.3.3屏蔽主机网关

8.3防火墙体系结构8.3.4被屏蔽子网被屏蔽子网添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，仍是最有可能被侵袭的机器，本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，就可进入了内部系统。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。为了侵入用这种类型的体系结构构筑的内部网络，入侵者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。8.3防火墙体系结构8.3.4被屏蔽子网

8.4防火墙的主要应用

在规划网络时，就必须考虑整体网络的安全性，而在这其中，防火墙是第一道防护。防火墙的选择必须考虑的问题，建议以下几点。

好的防火墙是一个整体网络的保护者，保护整个局域网。好的防火墙必须能弥补其他操作系统的不足：好的防火墙必须是建立在操作系统之前而不是在操作系统之上，所以操作系统有的漏洞可能并不会影响到一个好的防火墙系统所提供的安全性，由于硬件平台的普及以及执行效率的因素，大部分企业均会把对外提供各种服务的服务器分散至许多操作平台上，但我们在无法保证所有主机安全的情况下，选择防火墙作为整体安全的保护者，这正说明了操作系统提供了B级或是C级的安全并不一定会直接对整体安全造成影响，好的防火墙必须能弥补操作系统的不足。8.4防火墙的选择与应用

在现代企业中，为了加强自身网络的安全，免受非法用户的入侵，企业通常采用“被屏蔽子网”体系结构来构建本企业网络，这通常由三部分组成：边界网络、外围网络和内部网络,其结构如图所示。8.4.1企业网络的体系结构8.4防火墙的选择与应用

8.4.1企业网络的体系结构8.4防火墙的选择与应用

8.4.1企业网络的体系结构8.4防火墙的选择与应用8.4.2内部防火墙系统设计1.内部防火墙应用思想内部防火墙在控制外围网络和内部网络通信的同时，还负有审查内部通信流量的责任，因为内部通信的合法目的地可能是内部网络中的任何服务器，因而更难控制,因此内部防火墙比外围防火墙在技术上具有更严格的要求。内部防火墙要能实现对内外接口处异常IP数据包的检测；实现防火墙两侧DNS服务器间的映射；解决内网SMPT、FTP和WEB等服务器与相应堡垒主机间的数据转发；解决VPN的通信问题以及支持通过代理服务器来实现对外网的Web访问等多种功能。不同企业的网络具有很大差异性，有些规则对企业网并非是必需的。企业网内部防火墙规则的选择，涉及到企业网所处的具体网络环境和企业特点等多个因素，规则过多过细则影响网络运行效率，过少过粗又可能妨碍网络的安全运行。因此，在应用企业网络内部防火墙时，应谨慎和仔细的选择。8.4防火墙的选择与应用8.4.2内部防火墙系统设计1.内部防火墙的应用方案内部防火墙主要防止外部用户访问内部网络，并且限制内部用户可以执行的操作。因此，内部防火墙具体应用方案可以实现如下功能：(1)内部防火墙可以精确制定各用户的访问权限，保证内网用户只能访问必要资源。(2)对于拨号备份线路的连接，通过强大的认证功能，实现对远程用户的管理。(3)内部防火墙可以记录网段的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为。(4)通过集中的安全策略管理，每个网段上的主机不必单独设立安全策略，降低了人为因素导致产生网络安全问题的可能性。8.4防火墙的选择与应用8.4.3外部防火墙系统设计外部防火墙是处于企业内部网络与外部网络（包括Internet、广域网、边界网络和其他公司的专用网络）之间的安全防线。防火墙的内、外网卡分别连接于内、外网络，但内部网络和外部网络是从逻辑上完全隔开的。8.4防火墙的选择与应用8.4.3外部防火墙系统设计外部防火墙的应用方案在企业设计网络时，外部防火墙是内、外网络间的唯一通信通道。安装外部防火墙后，可以实现内部网络与外部网络的有效隔离，防范来自外部网络的非法攻击。同时，保证了DMZ区服务器的相对安全性和使用便捷性。外部防火墙是目前应用最主要的防火墙。如果要保证网络的安全性，就不能再有另外的其他网络连接途径。在有些企业中允许一些特殊用户（如企业高层领导）通过拨号方式与其他网络连接。这样，企业网络的安全性就无法控制，在无形之中就给非法用户打开了一个可以入侵的大门，这是需要绝对禁止的。8.4防火墙的选择与应用8.4.3外部防火墙系统设计外部防火墙具体可以实现以下功能：(1)通过源地址过滤，拒绝外部非法IP地址，有效避免了外部网络上与业务无关的主机越权访问，防火墙可以只保留有用的服务。(2)关闭其他不需要的服务，将系统受攻击的可能性降低到最小限度，使黑客无机可乘。(3)制定访问策略，使只有被授权的外部主机可以访问内部网络有限的IP地址，保证外部网络只能访问内部网络中必要的资源，与业务无关的操作将被拒绝。8.4防火墙的选择与应用8.4.3外部防火墙系统设计外部防火墙具体可以实现以下功能：(4)由于外部网络的DMZ区主机的所有访问都要经过防火墙，防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细记录，通过分析可以发现可疑的攻击行为。(5)对于远程登录的用户，如TELNET等，防火墙利用加强的认证功能，可以有效地防止非法入侵。(6)集中管理网络的安全策略，因此入侵者无法通过更改一台主机的安全策略而达到控制其他资源，获取访问权限的目的。(7)进行地址转换工作，是外部网络不能看到内部网络的结构，从而使入侵者找不到攻击目标。8.4防火墙的选择与应用8.4.3外部防火墙系统设计2.外部防火墙系统设计规则在通常情况下，外部防火墙要以默认形式或者通过配置来实现以下规则。(1)除了被允许的通信外，拒绝所有其他通行。(2)阻止声明具有内部或外围网络源地址的外来数据包。(3)阻止声明具有外部源IP地址的外出数据包（通信应该只来自堡垒主机）。(4)允许从DNS解析程序到Internet上的DNS服务器的基于TCP或UDP协议的DNS查询和应答。(5)允许基于UDP的外部客户端查询DNS解析程序并提供应答。(6)允许SMTP堡垒主机与Internet的邮件相互进出。(7)允许有代理发起的通信从代理服务器到达Internet。(8)允许代理应答从Internet定向到外围网络上的代理服务器。8.4防火墙的选择与应用8.4.3外部防火墙系统设计8.5智能防火墙8.5.1传统防火墙遗留的主要安全问题

3大安全问题:以拒绝访问（DDOS）为主要目的的网络攻击。以蠕虫（Worm）为主要代表的病毒传播。以垃圾电子邮件（SPAM）为代表的内容控制。原因：计算机能力有限。访问控制机制为简单的过滤。无法区分识别善意和恶意的行为8.5智能防火墙8.5.2新一代智能防火墙

智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。8.5智能防火墙智能防火墙体系结构图8-14智能防火墙体系结构8.5智能防火墙8.5.4智能防火墙的关键技术

1.防攻击技术智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYNFlooding，LandAttack，UDPFlooding，PingFlooding，Smurf，PingofDeath，UnreachableHost等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。关于这部分内容我们在后面还会进一步阐述。

2.防扫描技术智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。8.5智能防火墙8.5.4智能防火墙的关键技术

3.防欺骗技术智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

4.入侵防御技术智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。

5.包擦洗和协议正常化技术6.AAA技术8.5智能防火墙8.5.4智能防火墙的关键技术

5.包擦洗和协议正常化技术智能防火墙支持包擦洗技术，对IP、TCP、UDP、ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。6.AAA技术IPv4版本的一大缺陷是缺乏身份认证功能，所以在IPv6版本中增加了该功能。问题是IPv6的推广尚需时日，IPv4在相当长一段时间内，还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。8.5智能防火墙8.5.4新一代智能防火墙的主要特点智能防火墙相比与传统的防火墙，增加了规则自学习模块以及规则优化模块，而这恰恰是智能防火墙的核心。智能防火墙执行全访问的访问控制，而不是简单的进行过滤策略。基于对行为的识别，可以根据什么人、什么时间、什么地点（网络层），什么行为（OSI7层）来执行访问控制，大大增强了防火墙的安全性，更聪明更智能。智能防火墙具备集中网络管理平台，具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。智能防火墙提供对日志的监控，自动处理，人工或自动导出，数据库导入，查看，查询，显示，报警等功能。支持条件查询。8.5智能防火墙8.5.5用智能防火墙阻止攻击

威胁网络安全行为的90%来自于以拒绝访问（DOS和DDOS）为主要目的网络攻击。DOS（DenialofService）攻击是一种很简单但又很有效的进攻方式，能够利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DDOS(DistributedDenialofService)是一种基于DOS的特殊形式的拒绝服务攻击，攻击者通过事先控制大批傀儡机，并控制这些设备同时发起对目标的DOS攻击，具有较大的破坏性。从现在和未来看，防火墙都是抵御DOS/DDOS攻击的重要组成部分，这是由防火墙在网络拓扑的位置和扮演的角色决定的。8.5智能防火墙8.5.5用智能防火墙阻止攻击1基于状态的资源控制，保护防火墙资源

(1)控制连接、与半连的超时时间；必要时，可以缩短半连接的超时时间，加速半连接的化；

(2)限制系统各个协议的最大连接值，保证协议的连接数不超过系统限制，在达到连接上限后删除新建的连接；

(3)限制系统符合条件源/目的主机连接数量；2智能TCP代理有效防范SYNFlood攻击3基于流量分析的包过滤对DOS和病毒检测8.5智能防火墙8.5.5用智能防火墙阻止攻击2智能TCP代理有效防范SYNFlood攻击SYNFlood攻击原理。要达到防御此类攻击目的，首先就要了解该类攻击的原理。SYNFlood攻击所利用的是TCP协议存在的漏洞，那么TCP的漏洞在哪里呢？原来TCP协议是面向连接的，在每次发送数据以前，都会在服务器与客户端之间先虚拟出一条路线，称TCP连接，以后的各数据通信都经由该路线进行，直到本TCP连接结束。而UDP协议则是无连接的协议，基于UDP协议的通信，各数据报并不经由相同的路线。在整个TCP连接中需要经过三次协商，俗称“三次握手”来完成。8.5智能防火墙8.5.5用智能防火墙阻止攻击2智能TCP代理有效防范SYNFlood攻击第一次：客户端发送一个带有SYN标记的TCP报文到服务端，正式开始TCP连接请求。在发送的报文中指定了自己所用的端口号以及TCP连接初始序号等信息。第二次：服务器端在接收到来自客户端的请求之后，返回一个带有SYN+ACK标记的报文，表示接受连接，并将TCP序号加l。第三次：客户端接收到来自服务器端的确认信息后，也返回一个带有ACK标记的报文，表示已经接收到来自服务器端的确认信息。服务器端在得到该数据报文后，一个TCP连接才算真正建立起来。8.5智能防火墙8.5.5用智能防火墙阻止攻击2智能TCP代理有效防范SYNFlood攻击在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后，可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接(并不是完全不连接，连接并未完全中断)。由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，并且由于不断发送SYN+ACK报文，使得CPU及其他资源严重消耗，还因大量报文使得网络出现堵塞，这样不仅服务器可能崩溃，而且网络也可能处于瘫痪。8.5智能防火墙8.5.5用智能防火墙阻止攻击2智能TCP代理有效防范SYNFlood攻击SYNFlood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。8.5智能防火墙8.5.5用智能防火墙阻止攻击用防火墙防御SYNFlood攻击。智能TCP代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，因为它位于客户端与服务器端(通常分别位于外、内部网络)中间，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。一个成功的TCP连接所经历的两个三次握手过程(先是客户端到防火墙的三次握手，再是防火墙到服务器端的三次握手)8.5智能防火墙8.5.5用智能防火墙阻止攻击用防火墙防御SYNFlood攻击。8.5智能防火墙8.5.5用智能防火墙阻止攻击用防火墙防御SYNFlood攻击。从整个过程可以看出，由于所有的报文都是通过防火墙转发，而且未同防火墙建立起TCP连接就无法同服务器端建立连接，所以使用这种防火墙就相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYNFlood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。8.5智能防火墙8.5.5用智能防火墙阻止攻击用防火墙防御SYNFlood攻击。防火墙工作时，并不会立即开启TCP代理（以免影响速度），只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时，正常TCPIntercept会自动启动，并且当系统的TCP半连接超过系统TCPIntercept高警戒线时，系统进入入侵模式，此时新连接会覆盖旧的TCP连接；此后，系统全连接数增多，半连接数减小，当半连接数降到入侵模式低警戒线时，系统推出入侵模式。如果此时攻击停止，系统半连接数量逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYNFlood攻击，保证网络资源安全。8.5智能防火墙8.5.5用智能防火墙阻止攻击用防火墙防御SYNFlood攻击。8.5智能防火墙8.5.5用智能防火墙阻止攻击3基于流量分析的包过滤对DoS和病毒检测网络监控在抵御DDOS攻击中有重要的意义。智能防火墙支持流量分析功能，它将网络交换中的数据包识别为流的方式加以记录，并封装为UDP包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源(学习资料)。可以在不影响转发性能的同时记录、发送流量数据信息，并能够利用防火墙的安全管理平台对接收到的资料进行分析、处理。8.5智能防火墙8.5.5用智能防火墙阻止攻击3基于流量分析的包过滤对DoS和病毒检测通过监控网络流量，防火墙可以有效的抵御DDOS攻击，但当攻击流数量超过一定程度，已经完全占据了带宽时，虽然防火墙已经通过安全策略把攻击数据包丢弃（过滤掉），但由于攻击数据包已占据所有的网络带宽，这时正常的用户访问依然无法完成。利用流量分析监视蠕虫病毒。防止蠕虫病毒的攻击，重要的是防止蠕虫病毒的扩散，只有尽早发现，才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后，为了传播自身，会主动向外发送特定的数据包并扫描相关端口。利用这个特性，防火墙可在安全管理平台上建立相关的蠕虫病毒查询模板，定期查询，当发现了匹配的资料时，可以分析该地址是否已经感染病毒，通过相应过滤规则，采取相应的措施。8.6WindowsServer2016防火墙安全配置

1．启用/关闭防火墙

（1）打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

（2）选择“高级”选项卡，单击“设置”按钮，出现启动/停止防火墙界面。如果要启用

Internet

连接防火墙，请单击“启用(O)”按钮；如果要禁用Internet

连接防火墙，请单击“关闭(F)”按钮。

8.6WindowsServer2016防火墙安全配置2．防火墙服务设置

Windows

Server2016

火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

（1）解除阻止设置。在“例外”选项卡中，可以通过设定让防火墙禁止和允许本机中某些应用程序访问网络，加上“√”表示允许，不加“√”表示禁止。如果允许本机中某项应用程序访问网络，则在对话框中间列表中所列出该项服务前加“√”

（如果不存在则可单击“添加程序”按钮进行添加）；如果禁止本机中某项应用程序访问网络，则将该项服