计算机网络安全-06防火墙技术

第6章防火墙技术本章主要内容：6.1防火墙简介6.2防火墙的类型6.3防火墙配置6.4防火墙系统6.5防火墙的选购和使用6.6防火墙产品介绍2/1/20231网络安全概述知识点防火墙的概念\功能特点和安全性防火墙的分类防火墙的配置和防火墙系统防火墙的选购、安装和维护2/1/20232网络安全概述难点

防火墙系统

2/1/20233网络安全概述要求熟练掌握以下内容：●防火墙的概念、功能特点和安全性●防火墙分类、配置●防火墙的选购、安装和维护了解以下内容：●防火墙系统和防火墙产品2/1/20234网络安全概述提起防火墙，大家比较熟悉，大凡有计算机的人都用过。所以对这个名字并不陌生，“防火墙”这个术语来自建筑结构中的安全术语，过去人们常在寓所之间建起一道砖墙，一旦某个单元起火，它就能够防止火势蔓延到其他单元起到防火的作用。现在的防火墙和古代寓意已不同。本章将从防火墙的主要功能、基本类型及其体系结构等方面介绍防火墙的有关知识。2/1/20235网络安全概述6.1防火墙简介防火墙的概念防火墙的功能特点防火墙的安全性设计2/1/20236网络安全概述6.1.1防火墙的概念防火墙原意是古典建筑在房屋之间的一道墙。当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。RichKosinski(InternetSecurity公司总裁）指出防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。防火墙是一种广泛应用的一种技术,是控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。防火墙定义为置于两个网络之间的保障网络安全的一组构件或一个系统。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，安全、管理、速度是防火墙的三大要素。防火墙在系统中的位置如图6-1所示。2/1/20237网络安全概述6.1.1防火墙的概念防火墙可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。

内部网络外部网络防火墙2/1/20238网络安全概述6.1.2防火墙的功能特点防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙主要功能有：1.防止易受攻击的服务防火墙能过滤不安全的服务。防火墙能防止非授权用户进入内部网络。大大提高了企业内部网的安全性。2/1/20239网络安全概述6.1.2防火墙的功能特点2.防火墙对内部实现了集中的安全管理对一个企业而言，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙可以对软件、附件统一到防火墙上集中管理。如果不使用防火墙，软件分散到个主机上单独管理。3.控制访问网点利用防火墙对内部网段的划分，可以实现重点网段分离，限制安全问题的扩散。4.对网络存取和访问进行监控审计可以方便监视网络的安全并及时报警.所有访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。2/1/202310网络安全概述6.1.2防火墙的功能特点5.提供网络地址翻译NAT功能，可以实现网络地址转换利用NAT技术可以缓解地址资源短缺，隐藏内部网的结构。Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的IP地址变动，方便网络管理，缓解地址空间短缺的问题.2/1/202311网络安全概述6.1.3防火墙的安全性设计1．防火墙经典安全模型防火墙技术的思想源于经典安全，经典模型策略是为了保护计算机安全。该安全模型是一个抽象，用来定义实体和实体之间是如何允许进行交互的。经典安全模型中包括识别和验证、访问控制、审计三大部件，通过参考监视器的参考和授权功能来控制主题针对对象的访问。参考监视器提供两个功能：第一功能是参考功能，用于评价由主体发出的访问请求，而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求；而第二个功能就是控制对授权数据库改变的授权功能，通过改变授权数据库的配置来改变主体的访问权限。识别和验证部件的作用就是确定主体的身份。访问控制部件的作用就是控制主体的访问对象，由参考监视器、授权数据库构成；而审计部件的功能就是监测访问控制的具体执行情况，由审计子系统构成。2/1/202312网络安全概述6.1.3防火墙的安全性设计2.用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员的认证。3.域名服务防火墙可以对内部网内外用户提供修改名字的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机的名字；而对于来自内部网内的主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。2/1/202313网络安全概述6.1.3防火墙的安全性设计4.IP层的安全IP层的安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的。此外，认证机构还要保证该书剧组在传送中未被篡改。保密性保证通信节点对所传消息进行加密，防止第三者窃听。5.邮件处理电子邮件是内部网络与Internet连通的一项主要业务。是互联网上用户之间交换信息时广泛采用的手段。一般采用简单邮件传输协议SMTP。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过他与防火墙连通，在与internet上用户连通。2/1/202314网络安全概述6.2防火墙的类型防火墙的概念防火墙的功能特点防火墙的安全性设计2/1/202315网络安全概述6.2防火墙的类型

6.2.1包过滤防火墙2/1/202316网络安全概述6.2.1包过滤防火墙1.包过滤防火墙的工作原理包过滤防火墙的信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。静态包过滤防火墙工作在TCP/IP协议的IP层，如图6-2所示。包过滤的内容有：2/1/202317网络安全概述6.2.1包过滤防火墙数据包协议类型：TCP、UDP、ICMP、IGMP等；源、目的IP地址；源、目的端口：FTP、HTTP、DNS等；IP选项：源路由、记录路由等；TCP选项：SYN、ACK、FIN、RST等；其他协议选项：ICMP、ECHO等；数据包流向：in或out；数据包流经网络接口：eth0、eth1。2/1/202318网络安全概述6.2.1包过滤防火墙2.包过滤操作过程（1）包过滤规则必须被存储作为包过滤设备的端口上。（2）当数据包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等包头中的域。（3）包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。（4）如果一条规则阻止传输，包就被弃掉。（5）如果一条规则允许传输，包就被通过。（6）如果一个包不满足任意规则，它就被弃掉。

2/1/202319网络安全概述6.2.1包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。2/1/202320网络安全概述6.2.1包过滤防火墙3.包过滤防火墙优缺点包过滤防火墙优点是包过滤防火墙逻辑简单，性能优越，计算量小，很容易用硬件实现。对网络性能影响小，它的工作与应用层无关，不需要对客户端计算机进行专门的配置，易于安装和使用。通过NAT，可以对外部用户屏蔽内部IP。包过滤防火墙缺点是安全要求不充分，无法识别应用层协议，不能防止地址欺骗；允许外部客户和和内部主机直接相连，不提供用户鉴别机制，无法约束入侵者由内部主机到防火墙服务带来安全隐患；处理包内信息能力有限，通常不能提供其他功能；由于支持众多网络，很难对规则的有效性进行测试。2/1/202321网络安全概述6.2.2代理服务器防火墙2.代理型防火墙的优缺点代理防火墙的优点：代理服务可以识别并实施高层协议，如http,ftp；可提供部分传输层、全部应用层和部分会话层的信息；用于禁止访问特定的网络服务，并允许其他服务；能处理数据包；不允许外部和内部主机间直接通信，代理服务可转送和屏蔽内部服务；代理服务具有良好的日志纪录，可以有效的追踪。代理型防火墙的缺点：不可以在防火墙服务器上开设本级的网络服务；代理服务有延迟；需要为通过防火墙的每个协议添加一个新的代理；应用级防火墙不提供udp,rpc特殊协议的代理；代理防火墙培植起来比较麻烦；以来操作系统和应用协议；代理需要附加口令和验证，从而造成延迟；最大的缺点就是速度比较慢，会成为内外网络之间的瓶颈。2/1/202322网络安全概述6.2.3状态检测防火墙1.状态检测防火墙工作原理状态检测防火墙是基于动态包过滤技术，又称动态包过滤技术，采用一个网关上执行网络安全引擎，即监测模块。监测模块工作在网络层和链路层之间，对网络通信各层实时监测分析，提取相关的通信和状态信息，并动态存储和更新连接表中的状态，为下一通信检查积累数据。状态检测技术是包过滤技术的延伸，使用各种状态表（statetables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。状态检测防火墙工作示意图如图6-4所示。2/1/202323网络安全概述6.2.3状态检测防火墙状态检测技术防火墙是对包过滤技术、电路层网关和代理服务技术的折中，它的速度和灵活性没有包过滤机制好，但比代理服务技术好。它的应用级安全不如代理服务技术强，但又比包过滤的机制的高。这种结合是对包过滤技术和代理服务技术的折中。

2/1/202324网络安全概述6.2.3状态检测防火墙2.状态检测防火墙的优缺点状态检测防火墙优点：为基于无连接的协议和动态分配协议的应用提供安全支持，减少了端口的开放时间，能支持所有服务。状态检测防火墙缺点：允许外部客户和内部主机直接相连，不提供用户鉴别。2/1/202325网络安全概述6.3防火墙配置WinRoutePro(版本WinRoutePro4.2.5)是一个集路由器、DHCP服务器、DNS服务器、NAT、防火墙于一身的代理服务器软件，同时它还是一个可以应用于局域网内部的邮件服务器软件。WinRoute由三个管理工具组成：1、WinRoute引擎；2、WinRoute引擎监视器；3、WinRoute管理程序。其中WinRoute引擎执行所有路由和地址分析操作（包括信息包过滤、端口映射等等），WinRoute引擎监视器用来开始和停止你的WinRoute引擎。WinRoute引擎监视器监听WinRoute引擎是否处于激活状态，它会在系统的桌面下角任务栏上显示出蓝白色的图标。2/1/202326网络安全概述6.3.1服务器置于防火墙之内1.防火墙布局布置防火墙的主机安装两个网络接口卡，分别为eth0和ethl。其中，eth0连接在外网，其IP地址为6；ethl连接在内网，其IP地址为0。Web服务器主机位于内网，其IP地址为，如图6-6所示。通过防火墙的NAT功能和端口映射功能，可以使外网的Web客户机对6的Web访问请求转给，从而外网的Web客户机就可以正常访问内网中的Web服务器。2/1/202327网络安全概述6.3.1服务器置于防火墙之内2．配置过程在网络上下载WinRoutePro4.2.5,执行setup，安装完毕，重启电脑后，开始运行WinRoute。在系统的桌面下角任务栏上显示出一个小圆型的蓝白色图标如图6-7所示，这表示WinRoute引擎正在运行。如是有红圆型的图标则表明WinRoute处于停止。在图标上简单点击鼠标右键，在弹出菜单项选择“StartWinRouteEngine”。

2/1/202328网络安全概述6.3.1服务器置于防火墙之内启动后显示图6-8所示对话框，设置winroute主机的ip地址，用户名，如果输入admin则不必输入密码，点击“OK”。1）设置NAT

设置NAT的步骤如下：(1)在WinRoute运行界面KerioWinRouteAdministration窗口中选择Settings-interfaceTable命令，打开Interfaces/NAT对话框，如图6-10所示。

2/1/202329网络安全概述6.3.1服务器置于防火墙之内

(2)选择内部网络接口，即选择IP地址为0的网卡，单击Properties按钮，弹出InterfacePropertioes对话框，在Settings选项区中，选中PerformNATwiththeIPaddressofthisinterfaceonallcommunicationpassing复选框，对所有经过该接口的通信执行NAT。如图6-11所示。2/1/202330网络安全概述6.3.1服务器置于防火墙之内本框中输入目的IP地址，也就是本地网络中对外提供服务的服务器的IP地址，这里输入;在DestinationPort文本框中输入目的端口号，即本地网络中服务器提供服务的端口，通常与监听的端口是一致的，这里输入80。以上设置如图6-12所示。单击OK按钮，返回到如图6-13所示的对话框。在该对话框中可以根据情况对新添加的映射项列表进行修改和删除。

2/1/202331网络安全概述6.3.2服务器置于防火墙之外防火墙只能对内网的主机提供一定的保护功能。如果将Web服务器放置在防火墙之外，防火墙就不会对该服务器有任何的防护作用。因此，在防火墙主机上也不需要有任何的设置了。

2/1/202332网络安全概述6.3.3服务器置于防火墙之上布置防火墙的主机安装两个网络接口，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为6;eth1连接在内网，其IP地址为。将Web服务器绑定在内网的接口卡上，如图6-15所示。将Web服务器放置在防火墙上，可以按照如下的策略来设置。2/1/202333网络安全概述6.3.3服务器置于防火墙之上布置防火墙的主机安装两个网络接口，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为6;eth1连接在内网，其IP地址为。将Web服务器绑定在内网的接口卡上，如图6-15所示。将Web服务器放置在防火墙上，可以按照如下的策略来设置。2/1/202334网络安全概述6.3.3服务器置于防火墙之上1.在IIS上设置Web服务器的绑定地址和监听端口右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口。在左边窗口中依依展开“服务和应用程序”-“Internet信息服务(IIS)管理器”-“网站”，选择需要设置的网站，这里选择默认网站。单击右键，在弹出的快捷菜单中选择“属性”命令，打开“默认属性”对话框。在“网站标识”选项区中的“IP地址”文本框中输入绑定的网络接口地址，这里输入0，在“TCP端口”文本框中输入80，如图6-16所示。单击“确定”按钮，完成Web服务器的配置。2/1/202335网络安全概述6.3.3服务器置于防火墙之上2.设置防火墙在WinRoute防火墙上运行Internet服务器，比如Web服务器等，由于WinRoute的侦测模块在数据包到达任何一个应用程序之前就进行了NAT操作，因此，应该像访问内部网络中的Web服务器一样设置端口映射。如果没有对外部接口启用NAT功能，就可以直接使用该WinRoute服务器的外部地址或公用域名来访问。具体配置如下：在如图6-17所示的EditItem对话框中，从Protocol下拉列表框中选择TCP选项；在ListenIP下拉列表框中选择<Unspecifled>选项；在ListenPort文本框中输入80；在Desti—nation1P文本框中输入192.168.O.10；在DestinationPort文本框中输入80。注意：将Web服务器布置在防火墙之上的做法是不值得推荐的，因为一旦堡垒主机被攻破，Web服务器就完全暴露在黑客的攻击之下了。2/1/202336网络安全概述6.4防火墙系统屏蔽主机（ScreenedHost）防火墙屏蔽子网（ScreenedSubnet）防火墙2/1/202337网络安全概述6.4.1屏蔽主机防火墙

屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。屏蔽主机模式(ScreenedHostFirewall)由包过滤器和堡垒主机组成，堡垒主机安装在内部网络上，确保内部网络不受外部攻击。屏蔽主机模式分为单宿堡垒主机和双宿堡垒主机。2/1/202338网络安全概述6.4.1屏蔽主机防火墙单宿堡垒主机由一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接如图6-17所示。双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器，如图6-18所示。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。2/1/202339网络安全概述6.4.1屏蔽主机防火墙在实际的网络管理中，有时某些主机提供特别的服务，比如银行的服务器，需要进行特别的安全保护，使外网的主机无法知道它的存在。这时，就可以使用防火墙来屏蔽该主机(假设IP地址为0)。具体的办法就是，将网络数据包中凡是源地址为0的进人防火墙的数据包和目的地址为0的从防火墙外出的数据包都丢弃。可以在WinRoute防火墙中添加如下的规则，实现对内部主机192.168.O.50的屏蔽。

2/1/202340网络安全概述6.4.1屏蔽主机防火墙1．设置丢弃进入的数据包规则打开KerioWinRouteAdministration窗口，选择Settings-Advanced-PacketFilter命令，弹出PacketFilter对话框。单击Incoming选项卡，选中内部网络接口。这里选择ethl。单击Add按钮，弹出EditItem对话框。在EditItem对话框中，从Protocol下拉列表框中选择TCP选项；在Source选项区Type下拉列表框中选择Host选项，在随后出现的IPAddress文本框中输入要屏蔽的主机的IP，这里输人0；在TCPFlags选项区中选中OnlyestablishingTCPcon-nections复选框；在Action选项区中，选中Drop单选按钮；在LogPacket选项区中，将两个复选框全部选中；其他的选项保持默认值，如图6-20所示。

2/1/202341网络安全概述6.4.1屏蔽主机防火墙

采用同样的方法设置主机的UDP进入数据包屏蔽规则。在EditItem对话框中，从Protocol下拉列表框中选择UDP选项；在Source选项区中，在Type下拉列表框中选择Host选项，在随后出现的IPAddress文本框中输入192.168.O.50；在Action选项区中，选中Drop单选按钮；在Log．Packet选项区中，两个复选框全部选中。设置完主机的TCP和UDP进入数据包屏蔽规则后，单击OK按钮，返回到PacketFilter对话框中，如图6-21所示。单击“确定”按钮完成设置。

2/1/202342网络安全概述6.4.1屏蔽主机防火墙2．设置丢弃外出的数据包规则

设置丢弃外出的数据包规则的在PacketFilter对话框中，单击Outgoing选项卡，其他步骤和设置丢弃进入的数据包规则类似。

2/1/202343网络安全概述6.4.2屏蔽子网防火墙屏蔽子网结构，如图6-24所示，采用了两个包过滤防火墙和一个堡垒主机，建立隔离的子网，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。

2/1/202344网络安全概述6.5防火墙的选购和使用6.5.1防火墙的选购策略6.5.2防火墙的安装6.5.3防火墙的维护

2/1/202345网络安全概述6.5.1防火墙的选购策略1．防火墙自身的安全性防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。

2/1/202346网络安全概述6.5.1防火墙的选购策略2．系统的稳定性目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。实际调查，这是最有效的办法：考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对于该防火墙的评价。自己试用。在自己的网络上进行一段时间的试用（一个月左右）。厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。

2/1/202347网络安全概述6.5.1防火墙的选购策略3．是否高效高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。4．是否可靠可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。所以要求设备本身部件的强健性，这要求有较高的生产标准和设计冗余度。

2/1/202348网络安全概述6.5.1防火墙的选购策略5．是否功能灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的产品。6．是否配置方便支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。

2/1/202349网络安全概述6.5.1防火墙的选购策略7．是否管理简便对于防火墙类访问控制设备，不但要调整由于安全事件导致的安全控制注意，还要不断地的调整业务系统访问控制，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。8．是否可扩展、可升级用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。

2/1/202350网络安全概述6.5.2防火墙的安装1.安装防火墙前应该进行的工作对不同类型的防火墙，安装的难易程度有所差别。但为了完成企业内部网的防火墙的安装，网管人员必须制定详细的计划和进行精心的安排。对于内行来说，可能花费的时间和精力会少些，对于新手，可能要话费很长时间来进行精心的准备。

2/1/202351网络安全概述6.5.2防火墙的安装2.防火墙的安装方法安装防火墙最简单的方法是使用可编程路由器作为包过滤，此法是目前用的最普遍的的网络互联安全结构。路由器根据源/目的地址或包头部的信息，有选择的使数据包通过或阻塞。安装防火墙的另一种方法是把防火墙安装在一台双端口的主机系统中，连接内部网络。而不管是内部网络还是外部网络均可访问这台主机，但内部网上的主机不能直接进行通信。

2/1/202352网络安全概述6.5.2防火墙的安装还有一种方法是把防火墙安装在一个公共子网中，其作用相当于一台双端口的主机。采用应用与线路入口及信息包过滤来安装防火墙也是常用的方法之一。所谓应用与线路的入口，就是把所有的包都按地址送给入口上的用户级应用程序，入口在两点间传送这些包。对于多数应用入口，需要一个附加的包过滤机制来控制、筛选入口和网络之间的信息流。典型的配置包括两个路由器，其中之一作为设防主站，起两者间的应用入口的作用。而应用入口对用户、对应用程序、对运行的入口主站均不透明。对用户而言，必须对他们使用的每一个应用程序安装一个特定的客户机应用程序，而带入口的每一个应用程序均是一段独立的专用软件，需要一组自己的管理工具和许可才行。

2/1/202353网络安全概述6.5.3防火墙的维护1.建立防火墙的安全策略安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。2.对网络维护人员培训必须对网管人员经过一定的业务培训，使他们对自己的计算机网络，包括防火墙的内部结构配置要清楚。

2/1/202354网络安全概述6.5.3防火墙的维护3.实施定期安全检查网管人员要实施定期的扫描和检查，发现系统结构出了问题能及时排除和恢复。4．网络服务访问策略网络服务访问策略主要用于定义在网络中答应的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，假如一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。

2/1/202355网络安全概述6.5.3防火墙的维护5.保证通信线路畅通网管人员要保证系统监控计防火墙之间的通信线路畅通无阻，以便对安全问题进行报警、恢复、处理其他安装信息等。

2/1/202356网络安全概述6.6防火墙产品介绍（最新版本）6.5.1CheckPointFirewall-1FireWall-1是CheckPoint公司推出的一个基于策略的网络安全解决方案，它对访问控制、授权、加密、网络地址转换、内容安全服务和服务器负载平衡提供集中的管理。FireWall-1使得企业可以在提供完全的、透明的互联服务的情况下定义和实施统一的全面的安全策略。下面对CheckPointFireWall-1防火墙的主要技术特点及其相关技术做一介绍。

2/1/202357网络安全概述6.6防火墙产品介绍（最新版本）1.状态监测技术FireWall-1使用了CheckPoint的专利技术—状态监测技术（StatefulInspectionTechnology），状态监测技术保证了高级别的网络安全和性能，一个功能强大的监测模块检查每一个通过网络的关键处（如Internet网关、服务器、工作站、路由器或交换机）的包，并能阻止所有非法的通信企图，只有遵循企业安全策略的包才能进入网络。1）FireWall-1监测模块FireWall-1监测模块在OSI七层模型中所处的位置，并简单描述了它的工作流程。状态监测模块截获、分析并处理所有试图通过防火墙的数据包，据此判断该通信是否符合安全策略，以保证网络的高度安全和数据完整。一旦某个通信违反安全策略，安全警报器就会拒绝该通信，并作记录，向系统管理器报告网络状态。如图6-35所示。

2/1/202358网络安全概述6.6防火墙产品介绍（最新版本）2）全面的状态记录FireWall-1检查从整个七层模型的每层传送来的数据，并分析其中状态信息，以监测所有状态，并将网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。安全策略是用FireWall-1的图形用户界面来定义的。根据安全策略，FireWall-1生成一个INSPECT语言写成的脚本文件，这个脚本被编译后，加载到安装有状态监测模块的系统上，脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。监测模块检查IP地址、端口号以及其他决定其是否符合企业安全策略的信息。监测模块保存和更新动态连接表中的状态和内容信息，这些表不断更新，为FireWall-1检查后继的通信提供积累的先验数据。

2/1/202359网络安全概述6.6防火墙产品介绍（最新版本）2.FireWall-1的体系结构与组成FireWall-1具有可伸缩性、模块化的体系结构，采用的是集中控制下的分布式客户机/服务器结构，性能好，配置灵活。企业网安装了FireWall-1后，可以用一个工作站对多个网关和服务器的安全策略进行配置和管理。企业安全策略只须在中心管理控制台定义一次，并被自动下载到网络的多个安全策略执行点上，而不需逐一配制。FireWall-1由图形用户接口（GUI）、管理模块（ManagementModule）和防火墙模块(FireWallModule)三部分组成。

2/1/202360网络安全概述6.6防火墙产品介绍（最新版本）1）图形用户接口FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。FireWall-1的图形用户接口包括安全策略编辑器、日志管理器和系统状态查看器。安全策略编辑器维护被保护对象，维护规则库，添加、编辑、删除规则，加载规则到已安装了状态检测模块的系统上。日志管理器提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功能。系统状态查看器提供实时的系统状态、审计和报警功能。

2/1/202361网络安全概述6.6防火墙产品介绍（最新版本）2)管理模块管理模块对一个或多个安全策略执行点提供集中的、图形化的安全管理功能。安全策略存在管理服务器上，管理服务器维护FireWall-1的数据库，包括网络实体的定义、用户的定义、安全策略和所有防火墙软件执行点的日志文件。图形用户接口和管理服务器可以同时装在一台机器上，也可以采用客户机/服务器的结构。

2/1/202362网络安全概述6.6防火墙产品介绍（最新版本）3）防火墙模块FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。安全服务器为FTP、HTTP、TELNET和RLOGIN用户提供认证。FireWall-1还有一个独创功能，即客户认证。还具有NAT的功能。FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。FireWall-1管理员通过一个防火墙管理工作站管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态监测模块的系统上。这些系统和管理工作站之