防火墙与入侵功能检测

防火墙与入侵功能检测防火墙与入侵功能检测 分类 计算机论文 计算机网络论文 发布时间 2009 6 9 8 09 00 浏览 24765 次 阅读本论文的英文阅读本论文的英文 版版 数码购物 超级本本降价风暴 华夏大地教育网注册 2010 自考网络习题讲练班热招 辅导串讲班 自考公共课 专业课课程列表 论文关键字 网络 安全 防火墙 入侵检测 VPN 论文摘要 随着计算机的飞速发展以及网络技术的普遍应用 随着信息时代的来临 信 息作为一种重要的资源正得到了人们的重视与应用 因特网是一个发展非常活跃的领域 可能会受到黑客的非法攻击 所以在任何情况下 对于各种事故 无意或有意的破坏 保 护数据及其传送 处理都是非常必要的 计划如何保护你的局域网免受因特网攻击带来的 危害时 首先要考虑的是防火墙 防火墙的核心思想是在不安全的网际网环境中构造一个 相对安全的子网环境 本文介绍了防火墙技术的基本概念 系统结构 原理 构架 入侵 检测技术及 VPN 等相关问题 Abstract Along with the fast computer development and the universal application of t he network technology along with information times coming up on Information is attracti ng the world s attention and employed as a kind of important resources Internet is a very actively developed field Because it may be illegally attacked by hackers It is very neces sary for data s protection delivery and protection against various accidents intentional or want destroy under any condition Firewall is the first consideration when plan how to pro tect your local area network against endangers brought by Internet attack The core cont ent of firewall technology is to construct a relatively safe environment of subnet in the not so safe network environment This paper introduces the basic conception and system str ucture of fire wall technology and also discusses two main technology means to realize fi re wall One is based on packet filtering which is to realize fire wall function through Scre ening Router and the other is Proxy and the typical representation is the gateway on app lication level 第一章 绪论 1 1 概述 随着以 Internet 为代表的全球信息化浪潮的来临 信息网络技术的应用正日益广泛 应用层次正在深入 应用领域也从传统的 小型业务系统逐渐向大型 关键业务系统扩展 其中以党政系统 大中院校网络系统 银行系统 商业系统 管理部门 政府或军事领 域等为典型 伴随网络的普及 公共通信网络传输中的数据安全问题日益成为关注的焦点 一方面 网络化的信息系统提供了资源的共享性 用户使用的方便性 通过分布式处理 提高了系统效率和可靠性 并且还具备可扩充性 另一方面 也正是由于具有这些特点增 加了网络信息系统的不安全性 开放性的网络 导致网络所面临的破坏和攻击可能是多方面的 例如 可能来自物理传 输线路的攻击 也可以对网络通信协议和实现实施攻击 可以是对软件实施攻击 也可以 对硬件实施攻击 国际性的网络 意味着网络的攻击不仅仅来自本地网络的用户 也可以 来自 linternet 上的任何一台机器 也就是说 网络安全所面临的是一个国际化的挑战 开 放的 国际化的 Internet 的发展给政府机构 企事业单位的工作带来了革命性的变革和开 放 使得他们能够利用 Internet 提高办事效率 市场反应能力和竞争力 通过 Internet 他们可以从异地取回重要数据 同时也面临 Internet 开放所带来的数据安全的挑战与危险 如何保护企业的机密信息不受黑客和工业间谍的入侵 己成为政府机构 企事业单位信 息化建设健康发展所要考虑的重要因素之一 广泛分布的企业内部网络由公共网络互联起 来 这种互联方式面临多种安全威胁 极易受到外界的攻击 导致对网络的非法访问和信 息泄露 防火墙是安全防范的最有效也是最基本的手段之一 虽然国内己有许多成熟的防火墙及其他相关安全产品 并且这些产品早已打入市场 但是对于安全产品来说 要想进入我军部队 我们必须自己掌握安全测试技术 使进入部 队的安全产品不出现问题 所以对网络安全测试的研究非常重要 具有深远的意义 1 2 本文主要工作 了解防火墙的原理 架构 技术实现 了解防火墙的部署和使用配置 熟悉防火墙测试的相关标准 掌握防火墙产品的功能 性能 安全性和可用性的测试方法 掌握入侵检测与 VPN 的概念及相关测试方法 第二章 防火墙的原理 架构 技术实现 2 1 什么是防火墙 防火墙是指设置在不同网络 如可信任的企业内部网和不可信的公共网 或网络安全 域之间的一系列部件的组合 它是不同网络或网络安全域之间信息的唯一出入口 能根据 企业的安全政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击 能力 它是提供信息安全服务 实现网络和信息安全的基础设施 2 2 防火墙的原理 随着网络规模的扩大和开放性的增强 网络上的很多敏感信息和保密数据将受到很多 主动和被动的人为攻击 一种解决办法是为需要保护的网络上的每个工作站和服务器装备 上强大的安全特征 例如入侵检测 但这几乎是一种不切合实际的方法 因为对具有几百 个甚至上千个节点的网络 它们可能运行着不同的操作系统 当发现了安全缺陷时 每个 可能被影响的节点都必须加以改进以修复这个缺陷 另一种选择就是防火墙 Firewall 防 火墙是用来在安全私有网络 可信任网络 和外部不可信任网络之间安全连接的一个设备或 一组设备 作为私有网络和外部网络之间连接的单点存在 防火墙是设置在可信任的内部 网络和不可信任的外部网络之间的一道屏障 它可以实施比较广泛的安全策略来控制信息 流 防止不可预料的潜在的入侵破坏 DMZ 外网和内部局域网的防火墙系统 2 3 防火墙的架构 防火墙产品的三代体系架构主要为 第一代架构 主要是以单一 cpu 作为整个系统业务和管理的核心 cpu 有 x86 powe rpc mips 等多类型 产品主要表现形式是 pc 机 工控机 pc box 或 risc box 等 第二代架构 以 np 或 asic 作为业务处理的主要核心 对一般安全业务进行加速 嵌入 式 cpu 为管理核心 产品主要表现形式为 box 等 第三代架构 iss integrated security system 集成安全体系架构 以高速安全处理芯 片作为业务处理的主要核心 采用高性能 cpu 发挥多种安全业务的高层应用 产品主要表 现形式为基于电信级的高可靠 背板交换式的机架式设备 容量大性能高 各单元及系统 更为灵活 2 4 防火墙的技术实现 从 Windows 软件防火墙的诞生开始 这种安全防护产品就在跟随着不断深入的黑客 病毒与反黑反毒之争 不断的进化与升级 从最早期的只能分析来源地址 端口号以及未 经处理的报文原文的封包过滤防火墙 后来出现了能对不同的应用程序设置不同的访问网 络权限的技术 近年来由 ZoneAlarm 等国外知名品牌牵头 还开始流行了具有未知攻击拦 截能力的智能行为监控防火墙 最后 由于近来垃圾插件和流氓软件的盛行 很多防火墙 都在考虑给自己加上拦截流氓软件的功能 综上 Windows 软件防火墙从开始的时候单纯 的一个截包丢包 堵截 IP 和端口的工具 发展到了今天功能强大的整体性的安全套件 第三章 防火墙的部署和使用配置 3 1 防火墙的部署 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙 但由于监测型 防火墙技术的实现成本较高 也不易管理 所以目前在实用中的防火墙产品仍然以第二代 代理型产品为主 但在某些方面也已经开始使用监测型防火墙 基于对系统成本与安全技 术成本的综合考虑 用户可以选择性地使用某些监测型技术 这样既能够保证网络系统的 安全性需求 同时也能有效地控制安全系统的总拥有成本 实际上 作为当前防火墙产品的主流趋势 大多数代理服务器 也称应用网关 也集 成了包过滤技术 这两种技术的混合应用显然比单独使用具有更大的优势 由于这种产品 是基于应用的 应用网关能提供对协议的过滤 例如 它可以过滤掉 FTP 连接中的 PUT 命令 而且通过代理应用 应用网关能够有效地避免内部网络的信息外泄 正是由于应用 网关的这些特点 使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对 网络整体性能的影响上 那么我们究竟应该在哪些地方部署防火墙呢 首先 应该安装防火墙的位置是公司内部网络与外部 Internet 的接口处 以阻挡来自 外部网络的入侵 其次 如果公司内部网络规模较大 并且设置有虚拟局域网 VLAN 则 应该在各个 VLAN 之间设置防火墙 第三 通过公网连接的总部与各分支机构之间也应该 设置防火墙 如果有条件 还应该同时将总部与各分支机构组成虚拟专用网 VPN 安装防火墙的基本原则是 只要有恶意侵入的可能 无论是内部网络还是与外部公 网的连接处 都应该安装防火墙 3 2 防火墙的使用配置 一 防火墙的配置规则 没有连接的状态 没有握手或握手不成功或非法的数据包 任何数据包无法穿过防火 墙 内部发起的连接可以回包 通过 ACL 开放的服务器允许外部发起连接 inside 可以访问任何 outside 和 dmz 区域 dmz 可以访问 outside 区域 inside 访问 dmz 需要配合 static 静态地址转换 outside 访问 dmz 需要配合 acl 访问控制列表 二 防火墙设备的设置步骤 1 确定设置防火墙的部署模式 2 设置防火墙设备的 IP 地址信息 接口地址或管理地址 设置在 VLAN 1 上 3 设置防火墙设备的路由信息 4 确定经过防火墙设备的 IP 地址信息 基于策略的源 目标地址 5 确定网络应用 如 FTP EMAIL 等应用 6 配置访问控制策略 第四章 防火墙测试的相关标准 防火墙作为信息安全产品的一种 它的产生源于信息安全的需求 所以防火墙的测试 不仅有利于提高防火墙的工作效率 更是为了保证国家信息的安全 依照中华人民共和国 国家标准 GB T 18019 1999 信息技术包过滤防火墙安全技术要求 GB T18020 1999 信息技术应用级防火墙安全技术要求 和 GB T17900 1999 网络代理服务器的安全技 术要求 以及多款防火墙随机提供的说明文档 中国软件评测中心软件产品测试部根据有 关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准 4 1 规则配置方面 要使防火墙软件更好的服务于用户 除了其默认的安全规则外 还需要用户在使用过 程中不断的完善其规则 而规则的设置是否灵活方便 实际效果是否理想等方面 也是判 断一款防火墙软件整体安全性是否合格的重要标准 简单快捷的规则配置过程让防火墙软 件具备更好的亲和力 一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们 分别对应用程序 文件或注册表键值实施单独的规则添加等等 这将成为此款软件防火 墙规则配置的一个特色 4 2 防御能力方面 对于防火墙防御能力的表现 由于偶然因素太多 因此无法从一个固定平等的测试环 境中来得出结果 但是可以使用了 X Scan 等安全扫描工具来测试 虽然得出的结果可能 仍然有一定的出入 但大致可以做为一个性能参考 4 3 主动防御提示方面 对于网络访问 系统进程访问 程序运行等本机状态发生改变时 防火墙软件一般都 会有主动防御提示出现 这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作 选择 4 4 自定义安全级别方面 用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则 防火 墙可设置系统防火墙的安全等级 安全规则 以防止电脑被外界入侵 一般的防火墙共有 四个级别 高级 预设的防火墙安全等级 用户可以上网 收发邮件 l 中级 预设的防火墙安全等级 用户可以上网 收发邮件 网络聊天 FTP Telnet 等 l 低级 预设的防火墙安全等级 只对已知的木马进行拦截 对于其它的访问 只是给于 提示用户及记录 l 自定义 用户可自定义防火墙的安全规则 可以根据需要自行进行配置 l 4 5 其他功能方面 这主要是从软件的扩展功能表现 操作设置的易用性 软件的兼容性和安全可靠性方面 来综合判定 比如是否具有过滤网址 实施木马扫描 阻止弹出广告窗口 将未受保护的 无线网络 学习 为规则 恶意软件检测 个人隐私保护等丰富的功能项 是否可以满足用 户各方面的需要 4 6 资源占用方面 这方面的测试包括空闲时和浏览网页时的 CPU 占用率 内存占有率以及屏蔽大量攻 击时的资源占用和相应速度 总的来是就是资源占用率越低越好 启动的速度越快越好 4 7 软件安装方面 这方面主要测试软件的安装使用是否需要重启系统 安装过程是不是方便 安装完成 后是否提示升级本地数据库的信息等等 4 8 软件界面方面 软件是否可切换界面皮肤和语言 界面是否简洁等等 简洁的界面并不代表其功能就 不完善 相反地 简化了用户的操作设置项也就带来了更智能的安全防护功能 比如有的 防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项 这方便用户根据不同的 安全级别启动相应的防护 第五章 防火墙的入侵检测 5 1 什么是入侵检测系统 入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过 程 它不仅检测来自外部的入侵行为 同时也检测内部用户的未授权活动 入侵检测系统 IDS 是从计算机网络系统中的若干关键点收集信息 并分析这些信息 检查网络中是否有违反安全策略的行为和遭到袭击的迹象 IDS 被公认为是防火墙之后 的第二道安全闸门 它作为一种积极主动的安全防护技术 从网络安全立体纵深 多层次 防御的角度出发 对防范网络恶意攻击及误操作提供了主动的实时保护 从而能够在网络 系统受到危害之前拦截和响应入侵 5 2 入侵检测技术及发展 自 1980 年产生 IDS 概念以来 已经出现了基于主机和基于网络的入侵检测系统 出 现了基于知识的模型识别 异常识别和协议分析等入侵检测技术 并能够对百兆 千兆甚 至更高流量的网络系统执行入侵检测 入侵检测技术的发展已经历了四个主要阶段 第一阶段是以基于协议解码和模式匹配为主的技术 其优点是对于已知的攻击行为非 常有效 各种已知的攻击行为可以对号入座 误报率低 缺点是高超的黑客采用变形手法或 者新技术可以轻易躲避检测 漏报率高 第二阶段是以基于模式匹配 简单协议分析 异常统计为主的技术 其优点是能够分析 处理一部分协议 可以进行重组 缺点是匹配效率较低 管理功能较弱 这种检测技术实际 上是在第一阶段技术的基础上增加了部分对异常行为分析的功能 第三阶段是以基于完全协议分析 模式匹配 异常统计为主的技术 其优点是误报率 漏报率和滥报率较低 效率高 可管理性强 并在此基础上实现了多级分布式的检测管理 缺点是可视化程度不够 防范及管理功能较弱 第四阶段是以基于安全管理 协议分析 模式匹配 异常统计为主的技术 其优点是入 侵管理和多项技术协同工作 建立全局的主动保障体系 具有良好的可视化 可控性和可 管理性 以该技术为核心 可构造一个积极的动态防御体系 即 IMS 入侵管理系统 新一代的入侵检测系统应该是具有集成 HIDS 和 NIDS 的优点 部署方便 应用灵活 功能强大 并提供攻击签名 检测 报告和事件关联等配套服务功能的智能化系统 5 3 入侵检测技术分类 从技术上讲 入侵检测技术大致分为基于知识的模式识别 基于知识的异常识别和协 议分析三类 而主要的入侵检测方法有特征检测法 概率统计分析法和专家知识库系统 1 基于知识的模式识别 这种技术是通过事先定义好的模式数据库实现的 其基本思想是 首先把各种可能的 入侵活动均用某种模式表示出来 并建立模式数据库 然后监视主体的一举一动 当检测 到主体活动违反了事先定义的模式规则时 根据模式匹配原则判别是否发生了攻击行为 模式识别的关键是建立入侵模式的表示形式 同时 要能够区分入侵行为和正常行为 这种检测技术仅限于检测出已建立模式的入侵行为 属已知类型 对新类型的入侵是无 能为力的 仍需改进 2 基于知识的异常识别 这种技术是通过事先建立正常行为档案库实现的 其基本思想是 首先把主体的各种 正常活动用某种形式描述出来 并建立 正常活动档案 当某种活动与所描述的正常活动 存在差异时 就认为是 入侵 行为 进而被检测识别 异常识别的关键是描述正常活动和构建正常活动档案库 利用行为进行识别时 存在四种可能 一是入侵且行为正常 二是入侵且行为异常 三 是非入侵且行为正常 四是非入侵且行为异常 根据异常识别思想 把第二种和第四种情况 判定为 入侵 行为 这种检测技术可以检测出未知行为 并具有简单的学习功能 以下是几种基于知识的异常识别的检测方法 1 基于审计的攻击检测技术 这种检测方法是通过对审计信息的综合分析实现的 其基本思想是 根据用户的历史 行为 先前的证据或模型 使用统计分析方法对用户当前的行为进行检测和判别 当发现 可疑行为时 保持跟踪并监视其行为 同时向系统安全员提交安全审计报告 2 基于神经网络的攻击检测技术 由于用户的行为十分复杂 要准确匹配一个用户的历史行为和当前的行为是相当困难 的 这也是基于审计攻击检测的主要弱点 而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进 方向 它能够解决传统的统计分析技术所面临的若干问题 例如 建立确切的统计分布 实现方法的普遍性 降低算法实现的成本和系统优化等问题 3 基于专家系统的攻击检测技术 所谓专家系统就是一个依据专家经验定义的推理系统 这种检测是建立在专家经验基 础上的 它根据专家经验进行推理判断得出结论 例如 当用户连续三次登录失败时 可 以把该用户的第四次登录视为攻击行为 4 基于模型推理的攻击检测技术 攻击者在入侵一个系统时往往采用一定的行为程序 如猜测口令的程序 这种行为程 序构成了某种具有一定行为特征的模型 根据这种模型所代表的攻击意图的行为特征 可 以实时地检测出恶意的攻击企图 尽管攻击者不一定都是恶意的 用基于模型的推理方法 人们能够为某些行为建立特定的模型 从而能够监视具有特定行为特征的某些活动 根据 假设的攻击脚本 这种系统就能检测出非法的用户行为 一般为了准确判断 要为不同的 入侵者和不同的系统建立特定的攻击脚本 使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大 甚至得出相反结 论 这是因为基于知识的模式识别的核心是维护一个入侵模式库 它对已知攻击可以详细 准确地报告出攻击类型 但对未知攻击却无能为力 而且入侵模式库必须不断更新 而 基于知识的异常识别则是通过对入侵活动的检测得出结论的 它虽无法准确判断出攻击的 手段 但可以发现更广泛的 甚至未知的攻击行为 5 4 入侵检测技术剖析 1 信号分析 对收集到的有关系统 网络 数据及用户活动的状态和行为等信息 一般通过三种技 术手段进行分析 模式匹配 统计分析和完整性分析 其中前两种方法用于实时的入侵检 测 而完整性分析则用于事后分析 2 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较 从 而发现违背安全策略的行为 该过程可以很简单 如通过字符串匹配以寻找一个简单的条 目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 一般来 讲 一种进攻模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该方法的一大优点是只需收集相关的数据集合 显著减少系统负担 且技术已相当成熟 它与病毒防火墙采用的方法一样 检测准确率和效率都相当高 但是 该方法存在的弱 点是需要不断的升级以对付不断出现的黑客攻击手法 不能检测到从未出现过的黑客攻击 手段 3 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 在比较这一点 上与模式匹配有些相象之处 测量属性的平均值将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 例如 本来都默认用 GUEST 帐号 登录的 突然用 ADMINI 帐号登录 这样做的优点是可检测到未知的入侵和更为复杂的入 侵 缺点是误报 漏报率高 且不适应用户正常行为的突然改变 具体的统计分析方法如 基于专家系统的 基于模型推理的和基于神经网络的分析方法 目前正处于研究热点和迅 速发展之中 4 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属 性 它在发现被更改的 被特咯伊化的应用程序方面特别有效 完整性分析利用强有力的 加密机制 称为消息摘要函数 例如 MD5 它能识别哪怕是微小的变化 其优点是不管 模式匹配方法和统计分析方法能否发现入侵 只要是成功的攻击导致了文件或其它对象的 任何改变 它都能够发现 缺点是一般以批处理方式实现 用于事后分析而不用于实时响 应 尽管如此 完整性检测方法还应该是网络安全产品的必要手段之一 例如 可以在每 一天的某个特定时间内开启完整性分析模块 对网络系统进行全面地扫描检查 5 5 防火墙与入侵检测的联动 网络安全是一个整体的动态的系统工程 不能靠几个产品单独工作来进行安全防范 理想情况下 整个系统的安全产品应该有一个响应协同 相互通信 协同工作 其中入侵 检测系统和防火墙之间的联动就能更好的进行安全防护 图 8 所示就是入侵检测系统和防 火墙之间的联动 当入侵检测系统检测到入侵后 通过和防火墙通信 让防火墙自动增加 规则 以拦截相关的入侵行为 实现联动联防 5 6 什么是 VPN VPN 的英文全称是 Virtual Private Network 翻译过来就是 虚拟专用网络 顾名思 义 虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线 它可以通过特殊的加 密的通讯协议在连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条 专有的通讯线路 就好比是架设了一条专线一样 但是它并不需要真正的去铺设光缆之类 的物理线路 这就好比去电信局申请专线 但是不用给铺设线路的费用 也不用购买路由 器等硬件设备 VPN 技术原是路由器具有的重要技术之一 目前在交换机 防火墙设备或 Windows 2000 等软件里也都支持 VPN 功能 一句话 VPN 的核心就是在利用公共网络 建立虚拟私有网 虚拟专用网 VPN 被定义为通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全 稳定的隧道 虚拟专用网是对企业内部 网的扩展 虚拟专用网可以帮助远程用户 公司分支机构 商业伙伴及供应商同公司的内 部网建立可信的安全连接 并保证数据的安全传输 虚拟专用网可用于不断增长的移动用 户的全球因特网接入 以实现安全连接 可用于实现企业网站之间安全通信的虚拟专用线 路 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网 5 7VPN 的特点 1 安全保障虽然实现 VPN 的技术和方式很多 但所有的 VPN 均应保证通过公用网络 平台传输数据的专用性和安全性 在安全性方面 由于 VPN 直接构建在公用网上 实现 简单 方便 灵活 但同时其安全问题也更为突出 企业必须确保其 VPN 上传送的数据 不被攻击者窥视和篡改 并且要防止非法用户对网络资源或私有信息的访问 2 服务质量保证 QoS VPN 网应当为企业数据提供不同等级的服务质量保证 不同的用户和业务对服务质量 保证的要求差别较大 在网络优化方面 构建 VPN 的另一重要需求是充分有效地利用有 限的广域网资源 为重要数据提供可靠的带宽 广域网流量的不确定性使其带宽的利用率 很低 在流量高峰时引起网络阻塞 使实时性要求高的数据得不到及时发送 而在流量低 谷时又造成大量的网络带宽空闲 QoS 通过流量预测与流量控制策略 可以按照优先级分 实现带宽管理 使得各类数据能够被合理地先后发送 并预防阻塞的发生 3 可扩充性和灵活性 VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流 方便增加新的节点 支持多种类型的传输媒介 可以满足同时传输语音 图像和数据等新应用对高质量传输 以及带宽增加的需求 4 可管理性 从用户角度和运营商角度应可方便地进行管理 维护 VPN 管理的目标为 减小网络 风险 具有高扩展性 经济性 高可靠性等优点 事实上 VPN 管理主要包括安全管理 设备管理 配置管理 访问控制列表管理 QoS 管理等内容 5 8 VPN 防火墙 VPN 防火墙就是一种过滤塞 目前你这么理解不算错 你可以让你喜欢的东西通过 这个塞子 别的玩意都统统过滤掉 在网络的世界里 要由 VPN 防火墙过滤的就是承载 通信数据的通信包 最简单的 VPN 防火墙是以太网桥 但几乎没有人会认为这种原始 VPN 防火墙能管多 大用 大多数 VPN 防火墙采用的技术和标准可谓五花八门 这些 VPN 防火墙的形式多种 多样 有的取代系统上已经装备的 TCP IP 协议栈 有的在已有的协议栈上建立自己的软 件模块 有的干脆就是独立的一套操作系统 还有一些应用型的 VPN 防火墙只对特定类 型的网络连接提供保护 比如 SMTP 或者 HTTP 协议等 还有一些基于硬件的 VPN 防 火墙产品其实应该归入安全路由器一类 以上的产品都可以叫做 VPN 防火墙 因为他们