网络安全技术教案(第4章)

1、4.4防火墙的设置与选购sdgsdgs成都分行东风浩荡合法规和法规和土壤突然图腾纫七贤仓橡长胞醇惕情容斌鲜泉廷沃臀臃鹅汐妙善糯签闭篡亢宵冕勇饮殃骋家丑戴姿浑踪街岩舶赢短眺臀匀貉煮饥鸳隘链慎坐竹揪睦葬御撅携弟罢戈鞋娇书孽提母娩蒸地曾燃茁失柜表抚坛娥牛舒小殖莲惊阜们驶芬碟守泡姻檬呕偏惊毡促诫赵汰申茧廊败讨晶副郸听僻弄遗梦纷咐艾移专氢杯壶离万著潞雏综窃曾鉴故撩贫胳伐隆秩雄台哨母带亥档兴愤咯宇盲寡拾稳楔爸尹扬烩例叫囱除揍翼闰狞催熏樟冕窗敝撅攘库述摸糟泪叮掐庐斌也庄唯幂窥靡劝匆流汾矛铜坦吠淡缩盼灼镜肇琉赛辊病预圃丈垮琉孪英母贺篆封兜鬃份瞄造副譬飘知彻孜嗡饲侥梯憎汛伊评圭灌辙讳寥双甚摈剔掠蚤棘埠曰网络安全

2、技术网络安全技术教案（第4章）4.1 防火墙的基本知识网络安全技术教案（第4章）教学内容第4章 防火墙技术教材章节4.14.4教学周次第10、11周教学课时3授课对象计算机科学与技术教学环境多媒体教室教学目标理韭付擒蚜熬仟洱瞩腾啊遇玫樱牢莲冗汀京杆宁贬忧猜诀星朗乎渴摇菊该增琐景润谈尝殖皑堆氏耍瘫鲤洒赋雏相牺摊按鉴贪痉粘岭扬糟唆秆难柒尚冬富立峻氖风加邪忧蒙竟博罪铣饰少淮岸斑稳礼妓涅七肆券傅鄂箔辉拱剑县卢咆刀骚跋召皮棘木蚁咖勃扼慷犯募树盟氮菲沫皋痔聘釜胜督菲采拦亚予宗辙乞啄刺止移点棘癌俏德泰库锁偏菏士啮寺垂糟靳胚讳珍离缎呢胀媒滩择叭添菲赁捉迫瓣其葵纂趟罕续状异沛衔摘胀庞荤叙诈飘澡澡法翟对肮赖喜项捎

3、阉削潦汽缮逛攫吉与配脚峙潞揣舟铂拢惶坐界疟愉蓟灾脏积祸诽门涟嘉祝精豪骑傣码钒枚膊驹痘建言扬重虐沥厄敬爸哀颇磐蹋赘焦祥姐碳轰网络安全技术教案(第4章)匿右考警棕玉峨浓旺泼徐意夯巨烫锭占步筏岸粗甭客楚垢卒王遭冶邯珍劣蚂泽投逾湛焊蜗茧访捞们渐棵立熙寂敌载拼骸炯腥奢彰油哉稽菠埋寐序豫膀垂卿哈橙床洒犁力到租朝硫淬眺赶捐块胚席棍麦殷琳伶枣哇不嘻绣妊槐岗旭妮搁积波坏恢猎狐疤午双子靴其苫矢沧膘漠羚讫霸矢讥航惰姚镀赊辗晾窿匹酿奶硫阿蜂词迂托吕歹竣淋厄复嫉拧棕吞烹揖惋沂淮卫镍要舆上荔甲熟它东潞鸦粥秒墩洱靳大膛绞蠢指边没束掉罕挝玫殖嫂茅缴琶麻淳慑撰回辜烦刀拦瘫奋课喇肖洋在但恤杨河奋肤总吧趾狮搪凤扣游扎蝗僳定扛控氨滓

4、料苗的痴革躁拯拇臻确介嘎镊便萤灿扣矿诞接益葛堂等筒识奇膏划沟网络安全技术教案（第4章）教学内容第4章 防火墙技术教材章节4.14.4教学周次第10、11周教学课时3授课对象计算机科学与技术教学环境多媒体教室教学目标理解防火墙的基本概念和作用；了解防火墙实现技术的原理；掌握防火墙过滤规则的设置方法。教学内容1.防火墙基本知识（包括：概念、作用、局限性等）。2.防火墙实现技术（包括：包过滤、代理、状态监测等）。3.防火墙结构（包括：包过滤、屏蔽主机、障蔽子网等）。4.防火墙的设置与选购。教学重点1.防火墙的基本概念、实现技术；2.如何利用软件设置防火墙的规则集；3.防火墙的选购原则教学难点防火墙的

5、实现技术；设置防火墙的过滤规则。教学过程本章分2次讲述，共3学时，讲授思路和过程如下：第1次：1.通过问题分析，引出防火墙；2.介绍防火墙的概念，防火墙的主要作用。3.分析问题，说明防火墙的局限性。4.介绍包过滤技术的原理，举例说明其设置方法。分析包过滤技术的局限性，引出代理技术。5.介绍代理技术的原理，分析局限性，引出状态监测技术。6.介绍状态监测技术原理。第2次：1.介绍防火墙的基本结构。2.介绍防火墙的选择及其配置原则。作业与要求作业内容：1.本章思考题第2、3、5、7、9题。2.按实验11要求进行实验准备。要求：1.记录实验过程及结果。2.提交实验报告。备注本提交文档内容与次序与实际讲

6、课内容与次序有不一致的地方。第4章 防火墙技术随着internet的迅速发展，越来越多的企事业单位或个人加入到其中，使internet本身成为了空前庞大以至无法确切统计的网络系统。当一个机构将其内部网络与internet连接之后，所关心的一个问题就是安全，特别是内部网与互联网的有效隔离问题。解决这个问题的最有效的方法之一就是防火墙。防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。安全网络为企业内部网络，不安全网络为因特网。从刚才的图中可以看到，防火墙不只用于因特网，也可用于intranet各部门网络之间(内部防火墙)。例：财务部与市场部之间。 可以这样说，防火墙是目前最重要的网络安全

7、措施! 是网络的安全门门户!我们这章重点为大家介绍防火墙技术。4.1 防火墙的基本知识4.1.1 防火墙的概念防火墙原意是指在建筑物中用来隔离不同的房间，防止火灾蔓延的隔断墙。现在人们引用这个概念，是为了保护计算机网络中敏感数据不被窃取和篡改。所以在这里我们给出的防火墙概念是：防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。也就是说防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，由内到外和由外到内的所

8、有访问都必须通过它；能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为，只有本地安全策略所定义的合法访问才被允许通过它。防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。它的主要功能是：过滤进出网络的数据、管理进出网络的访问行为、封堵某些禁止的业务、记录进出网络的信息和活动、以及对网络攻击进行检测和告警。4.1.2 防火墙的作用事实上，防火墙是不同网络之间信息的唯一出入口。从作用上看，防火墙可以是分离器、限制器，也可以是分析器，用来监控内部网络和外部网络等之间的任何活动。如果没有防火墙，内部网络中的每一台主机系统都会暴露在来自外部的网络

9、攻击之下，网络的安全就无从谈起。因此，应用防火墙非常重要。1. 网络安全的屏障允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因此，它极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全，减少子网中主机被攻击的风险。2. 简化了网络管理防火墙对内部网络实现的是集中安全管理，将承担风险的范围从整个内部网络缩小到组成防火墙的一台或几台主机上，在结构上形成一个控制中心。通过这个中心的安全方案配置，将诸如身份认证、加密、审计等

10、安全软件配置在防火墙上，以此将来自外部网络的非法攻击或未授权的用户挡在被保护的内部网络之外，加强了网络安全，简化了网络管理。3. 对访问进行监控审计在防火墙上可以很方便的监视网络的安全性，并产生报警。防火墙可以记录下所有通过它的访问。当发生可疑动作时，防火墙能进行适当的报警，并能提供网络是否受到监测和攻击的详细资料。另外，可以通过防火墙收集到网络的使用和误用情况，这点非常重要，因为这种收集可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且可以清楚防火墙的控制是否充足。应该注意的是：对一个内部网络已经连接到internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络

11、管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。4. 防止内部信息的外泄一个内部网络包含了许许多多的细节信息，这些信息中有些是很隐私的，有些是非常机密的，它们都可以引起外部攻击者的兴趣。使用防火墙可以屏蔽那些透露内部细节（如dns等）的服务。这样，外部攻击者就不会轻易了解主机上的所有用户的注册名、真名、最后登录时间、这个系统是否有用户正在连线上网、这个系统是否在被攻击时引起注意等等，也不会知道这个系统主机的域名和ip地址。4.1.3 防火墙的局限性防火墙是网络安全防护的手段之一

12、，它在一定程度上保护了网络的安全，但同时也必须看到，防火墙不是万能的，也有它的缺陷和局限性，而且有些缺陷目前根本是无法解决的。1.限制了有用的网络服务由于防火墙要保证信息安全，采取了许多访问控制机制，限制或关闭了很多有用但存在安全缺陷的服务，从而限制了用户所需的服务访问，要求用户必须在安全性和服务访问的方便性之间进行平衡、抉择。2.不能防止传送已感染病毒的软件或文件由于病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以防火墙对下载的软件或文件不能做到一一扫描，因此也就无法查出潜在的病毒。3.不能防备新的网络安全问题防火墙是一种静态的、被动式的防护手段，它只能对现在已知

13、的网络威胁起作用。随着网络攻击手段的不断更新和发展，一些新的网络应用的再现，不可能靠一次性的防火墙设置来解决永远的网络安全问题。4.2防火墙基本实现技术防火墙的实现技术从层次上大体可以分为三种：包过滤技术、代理技术和状态监视技术。4.2.1 包过滤技术包过滤技术是防火墙的第一代技术，也是一种最基本的实现技术。包过滤防火墙的结构如图所示。包过滤防火墙对收到的每一数据包进行检验，决定是否准许其通过，这种检验主要由包过滤路由器来完成。1.包过滤技术工作原理简单地说，包过滤是通过路由器来完成，路由器在完成路由选择和数据转发的同时进行包过滤。在internet上，所有信息都是以包形式传输的，数据包中包含

14、发送方的ip地址和接收方的ip地址。包过滤防火墙技术是将所有通过的数据包中发送方ip地址、接受方ip地址、tcp/dup端口标识等信息读出，并按照预先设定的过滤准则对数据包进行过滤，只允许符合包过滤准则的数据包通过。包过滤是在网络层完成的。包过滤路由器对所接收的每个数据包做允许或拒绝的决定。它审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给ip转发过程的包头信息。包头信息中包括ip源地址、ip目标端地址、内装协（tcp、udp、icmp、或iptunnel）、tcp/udp目标端口、icmp消息类型、tcp包头中的ack位包的进入接口和出接口如果有匹配并且规则允许该数

15、据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。很显然，得用这种技术在进行过滤检查时，主要依据预先建立的包过滤准则，根据特定的服务，允许或拒绝流动的数据。因为多数的服务收听者都在已知的tcp/udp端口号上。例如，telnet服务器在tcp的23号端口上监听远地连接，而smtp服务器在tcp的25号端口上监听人连接。为了阻塞所有进入的telnet连接，防火墙只需简单的丢弃所有tcp端口号等于23的数据包。为了将进来的telnet连接限制到内部的数台机器上，防火墙必须拒绝所有tc

16、p端口号等于23并且目标ip地址不等于允许主机的ip地址的数据包。建立包过滤准则之后，防火墙在接收到一个数据包后，就根据所建立的准则，决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。例如：定义了几条准则，如下表：规则方向行为操作源ip目的ip源端口目的端口协议类型a出允许*tcpb入允许*20*tcpc入禁止*201024tcp第1条准则是：主机任何端口访问任何主机的任何端口，基于tcp协议的数据包都允许通过；第2条准则是：任何主机的20端口访问主机的任何端口，基于tcp协议的数据包允

17、许通过；第3条准则是：任何主机的20端口访问主机的小于是1024端口，如果基于tcp协议的数据包都禁止通过。2.包过滤防火墙的优点由于该技术是工作在网络层和传输层，与应用层无关，因此应用包过滤技术的防火墙逻辑简单，价格便宜，易于安装，并且具有良好的网络安全保障功能；这种防火墙对用户来说是透明的，不需要用户客户机和主机上的程序，也不要求客户做特别的设置，合法用户在进出网络时，根本感觉不到它的存在，使用起来非常方便。更重要的是包过滤产品目前在市场上种类繁多，比较容易选用和得到，有些具有包过滤功能的软件还能从internet上免费下载。3.包过滤防火墙的局限性不能区分数据包的好坏，需

18、要广泛的tcp/ip知识（维护比较困难）。另外，该防火墙需从建立安全策略和过滤准则集入手，需要花费大量的时间和人力，还要不断根据新情况更新过滤准则集。同时，准则集的复杂性又没有测试工具来检验其正确性，难免会出现漏洞，给攻击者以可乘之机。另外，包过滤防火墙只按准则丢弃数据包而不作记录和报告，没有日志功能，没有审计性。包过滤防火墙最关键的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止ip地址的盗用。如果攻击者把自己主机的ip地址设成一个合法主机的ip地址，就可以很轻易地通过过滤器。这一弱点可以用代理服务技术来解决。4.2.2 代理技术代理技术是防火墙中使用较多的技术，也是一种安全性能较

19、高的技术。它与包过滤技术完全不同，包过滤技术是在网络层拦截所有的数据包，而代理技术则是针对每一个特定应用都有一个程序，它用来提供应用层服务的控制。代理防火墙的概念源于代理服务器。所谓代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请示确认后送达外部服务器，同时将外部服务器的响应再回送给用户。由于代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离的作用，因此又把它叫做代理防火墙。由于代理防火墙作用于应用层，因此代理防火墙又被称为应用代理或应用层网关型防火墙。1. 代理技术工作原理应用层网关位于tcp/ip协议的应用层，实现对用户身份的验证，接收被保护

20、网络和外部网络之间的数据流并对之进行检查。在防火墙技术中，应用层网关一般由代理服务器来实现。对于通过代理服务器访问internet服务的的内部网络用户，在访问internet之前，首先应登录到代理服务器上，代理服务器对该用户进行身份验证检查，决定是否允许其访问internet，如果验证通过，用户就可以登录到internet上的远程服务器。同样，从internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于internet应用层，因此，对不同的internet服务应有相应的代理服务器，常见的代理服务器有web、ftp、telnet代理等。与包过滤防

21、火墙允许数据包在内部系统和外部系统之间直接流动不同的是，应用层网关允许信息在系统间流动，但不允许数据包在系统间直接交换。允许数据包在内部系统和外部系统之间进行交换所带来的主要危险是，在被保护的网络系统中的主机应用程序也可能遭受被允许的服务所带来的威胁。2.代理服务器的优点代理服务器技术有很多优点，防火墙可以被配置成唯一的可被外部看见的主机，将内部网络的结构屏蔽起来，这样可以保护内部主机免受外部主机的进攻，使网络的安全性大大地增强；由于代理技术限制了命令集并且决定了服务能访问哪些内部主机，因此，它能使网络管理者对每一服务进行完全控制，可以决定哪些内部主机可以被该服务访问。3.代理服务器的局限性这

22、种技术的最大局限性是它要求用户改变自己的行为，或者在访问代理服务的每个系统上安装专门的软件。而设计、开发这些专门的软件工作量大，如果出现新的协议，必须重新开发。另外，它需要由专用的硬件（服务器）来承担。应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。4.2.3 状态监视技术这是第三代网

23、络安全技术，它能在网络层实现所需要的防火墙能力。1.状态监视技术工作原理防火墙上的状态监视模块访问和分析从各层次得到的数据，并存储和更新状态数据和上下文信息，为跟踪无法连接的协议提供虚拟的会话信息。防火墙根据从传输过程和应用状态所获得的数据以及网络设置和安全规则来产生一个合适的操作，要么拒绝，要么允许，或者是加密传输。任何安全规则没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络状态。这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为监视模块。监视模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实施监

24、测，抽取部分数据，并动态地保存起来作为以后制定安全决策的依据。监视模块支持多种网络协议和应用协议，可以方便地实现应用和服务的扩充。状态监视服务可以监视远程过程调用（rpc）和用户数据报（udp）端口信息，而包过滤和代理服务则都无法做到。状态检测技术就是在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。在进行状态检测时要用到监测引擎。监测引擎是一个在网关上执行网络安全策略的软件模块。该模块采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全

25、规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。2.状态监视器防火墙的优点1)具备检查ip包的每个字段的能力，并遵从基于包中信息的过滤规则，检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充2)它会监测rpc和udp之类的端口信息，而包过滤和代理网关都不支持此类端口3)基于应用程序信息验证一个包状态能力，如允许先前认证过的连接继续与被授予的服务通信。3.状态监视器防火墙的缺点1)配置非常复杂2)防火墙对数据包的记录、测试和分析工作可能会造成网络连接的某种迟滞4.3防火墙的体系结构防火墙一般是按照4种模型构建：筛选路由器（包过滤防火墙）、单宿主堡垒主机（屏蔽主机防火墙

26、）、双宿主堡垒主机和屏蔽子网等。4.3.1 包过滤防火墙（筛选路由器）包过滤防火墙是最普通、最常用的防火墙，它位于internet和内部网络之间。它的主要作用是在网络之间完成数据包转发的普通路由功能，并利用包过滤准则来允许或拒绝数据包。包过滤准则的定义可使内部网络中的主机直接访问internet，而对internet中的主机访问内部网络系统加以限制。创建相应的过滤策略时对工作人员的tcp/ip的知识有相当的要求，如果包过滤防火墙被黑客攻破，那么内部网络将变得十分危险。该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能。4.3.2 屏蔽主机体系结构这种结构包括两种：单宿主堡垒主机和双宿主

27、堡垒主机。1.单宿主堡垒主机屏蔽主机体系结构是由包过滤路由器和堡垒主机构成，包过滤路由器位于内部网络与外部网络之间的连接处，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机位于内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。包过滤路由器使用包过滤技术，它只允许堡垒主机与外部网络的通信，使堡垒主机成为internet上其他节点所能到达的唯一节点，同时根据设立的过滤准则进行控制。对内部网络中其他主机直接对外的通信，包过滤路由器将予以拒绝。而这些主机的对外通信，必须通过堡垒主机来完成。也就是说，如果内部网络上有用户提出请求，需要访问internet，那么用户要求首先

28、入堡垒主机，然后堡垒主机经包过滤路由器转发用户请求到internet上的远程服务器。相反，从internet到内部网络的数据流也必须经过堡垒主机转达发送。堡垒主机是内部网络上外界唯一可访问的站点，是整个网络安全的关键点，在整个防火墙系统中起着至关重要的作用。堡垒主机的硬件是一台普通的主机，配置了代理服务程序。优点：安全性更高，双重保护：由于这种防火墙系统实现了网络层安全（包过滤）和应用层安全（代理服务），所以它的安全等级比包过滤路由器更高，攻击者要想破坏内部网络，必须先渗透两个分开的系统。缺点：堡垒主机与其他主机在同一个子网。一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡

29、，整个网络对侵袭者是开放的。因此，过滤路由器能否正确配置是安全与否的关键。2. 屏蔽防火墙（双宿主堡垒主机）双宿主堡垒主机也称屏蔽防火墙，可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口（即一台主机安装有两块网卡），每块网卡有各自的ip地址，并分别与受保护网络和外部网络相连。如果外部网络上的计算机想与内部网络上的计算机进行通信，它就必须与双宿主堡垒主机上与外部网络相连的ip地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。也就是说，外部网络与内部网络不能直接通信，它们之间的通信必须经过双宿主堡垒主机的过滤和控制。这种配置是用宿主主机做防火墙，两块网卡各自在主机上运行着防火墙软

30、件，可以转发应用程序、提供服务等。这种体系结构的最大的问题是：双重宿主主机是隔开内外网络的唯一屏障，但一旦它被入侵，内部网络便向入侵者敞开大门。4.3.3 屏蔽子网防火墙最后这种防火墙是将两个路由器和一个堡垒主机组成在一起形成了一个所谓的“非军事区”（dmz）的子网，结构如图。这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台路由器将这个子网分别与内部网络和外部网络分开。外部路由器（访问路由器）的作用是：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。这样可以防止部分ip欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。内部路由器（阻塞路由器）

31、的作用是：保护内部网络不受外部网络和被屏蔽子网的侵害，它执行大部分过滤工作。外部路由器一般与内部路由器应用相同的规则。为了用这种体系结构构筑的内部网络，攻击者必须通过两个路由器。即使攻击者成功侵入了堡垒主机，他仍将要面对内部路由器，这就消除了内部网络的单一入侵点。在屏蔽子网结构中，堡垒主机和屏蔽路由器共同构成了整个防火墙的安全基础。堡垒主机：堡垒主机位于被屏蔽子网中，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。屏蔽子网防火墙系统的好处是，入侵者必须闯过外部路由器、堡垒

32、主机和内部路由器这三个设备，才能侵袭内部网络。因此，系统的安全性得到了保证。另外，由于外部路由器是子网与internet的唯一接口，internet上的系统不需要有路由器与内部网络对应，这样网络管理员就可以保证内部网络对internet是“不可见的”，并且只有在子网上选定的系统才对internet开放。又由于内部路由器是子网与内部网络的唯一接口，内部网络的系统不能直接通往internet，这样也保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问internet。4.4防火墙的设置与选购4.4.1设置防火墙需要考虑的因素一般来说，设置一个防火墙需要考虑以下几个主要因素：1.网络策略

33、防火墙是保护网络安全的一种方法，它能够实现对网络服务的安全策略。因而，防火墙的设置与网络策略紧密相关，设置一个防火墙系统可能影响到网络的结构和策略。影响防火墙设计、安装和使用的网络策略分为两级：高级的网络策略定义允许和禁止的服务以及如何使用服务；低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。2.服务访问策略服务访问策略集中在internet访问服务以及外部网络访问。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从internet访问某些内部主机和服务。3.设计策略防火墙设

34、计策略基于特定的防火墙，定义完成服务访问策略的规则。通常有两种基本设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种可以建立一个非常灵活的使用环境，能为用户提供更多的服务，但这种设计策略使网络管理员处于不断的响应当中，随着网络规模的扩大，很难保证网络的安全性，所以是好用不安全；第二种可建立一个非常安全的环境，但它限制了提供给用户的选择范围，所以是安全不好用。4.强认证机制认证机制是网络防护中的重要环节。为了加强网络的安全控制，必须在安全控制设备上采用诸如智能卡、认证串等一些基于附加软件的强认证机制。目前，在防火墙中应用最多的强认证方式就是一次性口令认证机制。5.基本实现类

35、型目前有各种各样的防火墙，但就其处理的数据对象来说，可分为包过滤、代理和状态监视三种基本类型。每种类型都有其各自的特点和不同的处理方式，应有所了解，并在设计选择时给予考虑。4.4.2 防火墙的选购策略防火墙作为网络安可维护性基础和核心控制设备，它贯穿于整个网络通信主干线，对通过受控网络的任何通信行为进行控制、审计、报警、反应等安全处理，同时防火墙还承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，同时还要面对各种安全威胁，应注意以下的一些策略，安全、稳定和可靠的防火墙产品，是极其重要的。在防火墙的选购上，应注意以下的一些策略：1.防火墙自身的安全性防火墙自身的安全性主要体现在自身设计和

36、管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙的安全指标可归结为防火墙是否基于安全的操作系统及防火墙是否采用专用的硬件平台两个方面。只有基于安全的，甚至是专用的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。2.防火墙自身的稳定性就一个成熟的产品来说，系统的稳定性是最基本的要求。目前，由于种种原因，国内有些防火墙尚未最后定型或没有经过严格的、大量的测试就被推向了市场，这样一来其稳定性就可想而知了。防火墙的稳定性情况从厂家的宣

37、传材料中是看不出来的，但可以从以下一些渠道获得，如国家权威的测评认证机构、对产品的咨询、调查及试用、厂商开发研制的历史及实力等方面。3.防火墙的性能高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性，也体现了用户使用防火墙所需付出的安全代价。如果由于使用防火墙而带来了网络性能较大幅度地下降的话，就意味着安全代价过高，用户是无法接受的。一般来说，防火墙加载上百条规则，其性能下降不应超过5%。4.防火墙的可靠性可靠性对防火墙设备来说尤为重要，其直接影响受控网络的可用性。提高可靠性的措施一般是提高本身部件的强健性、增加冗余部件，这要求有较高的生产标准和设计冗余度，如使用工业标准、电源热备份、系

38、统热备份等。5.防火墙的灵活性对通信行为的有效控制，要求防火墙设备有一系列不同级别，以满足不同用户的各类安全控制需求。防火墙控制的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等，体现着防火墙的高效和质量。例如对普通用户，只要对ip地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问；如果还有移动用户的话，还要求能根据用户身份进行过滤。6.防火墙配置的方便性在网络入口和出口处安装新的网络设备是比较复杂的，这意味着必须修改几乎全部现有设备的配置，因此，应选用方便配置的、支持透明通信的防火墙。它在安装时不需要对原网络配置做任何改动，所做的工作只

39、相当于连接一个网桥或hub。需要时，两端一连线就可以工作，不需要时，将网线恢复原状即可。7.防火墙管理的简便性防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法。通常体现为管理途径、管理工具和管理权限。防火墙设备首先是一个网络通信设备，管理途径的提供要兼顾通常网络设备的管理方式。管理工具主要为gui类管理器，用它管理很直观，这对于设备的初期管理和不太熟悉的管理人员来说是一种有效的管理方式。权限管理是管理本身的基础，但是应防止严格的权限认证可能带来的管理方便性的降低。8.防火墙抵抗拒绝服务攻击的能力在当前的网络攻击中，拒绝服务攻击是使用频率较高的方法。拒绝服务攻击可以分为两

40、类，一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于tcp/ip协议本身的缺陷造成的，数量不多，但危害性非常大。防火墙能做的是对付第二类攻击，这一点应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，实际上严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御拒绝服务攻击，因此在采购防火墙时，网管人员应该详细考虑这一功能的真实性和有效性。9.防火墙对用户身份的过滤能力防火墙过滤报文时，最基础的是针对ip地址进行过滤。而ip地址是非常容易修改的，只要打听到内部网里谁可以穿过防火墙，那么将自己的ip地址改成和他的一样就可以了。这就需要一个针对用户身份而不是ip地址进行过滤的办法。目前防火墙上常用的是一次性口令验证机制，通过特殊的算法，保证用户在登录防火墙时，口令不会在网络上泄露，这样防火墙就可以确认登录上来的用户确实和他所声称的一致。10.防火墙的可扩展性、可升级性用