典型防火墙产品与防火墙技术发展资料课件

5.5.1典型防火墙产品1、国内个人防火墙软件中经典之作天网防火墙个人防火墙软件在防火墙中是最低廉、最简单易用、最易于安装的一种面向个人用户的防御工具。尽管这样但个人防火墙软件仍可以有效地防御大多数黑客的攻击。下面介绍一下天网个人防火墙软件，它是国内个人防火墙软件的代表之一。天网个人防火墙是国内一款颇为有效的防火墙，它是由天网安全实验室推出的。适用平台：Windows98、Windows2000。对于初级用户几乎不用做任何专业设置，就可以有效的发挥作用。对于高级用户，天网允许进行他们自己的设置。用户可以对指定的协议、端口、IP地址进行过滤，完全监控所有的网络数据。总之天网防火墙具有访问控制、身份认证、应用选通、网络地址转换（NetworkAddressTranslation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。天网个人防火墙属于软件防火墙系列，因此安装相当简单，用户只需运行安装文件，按提示操作即可。馅捐里铜缮狮勿簇渡庐画墟撬谢辖乌乎吓硷糊凉分腰奴越琵旋虞雄饵彼搅55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展5.5.1典型防火墙产品馅捐里铜缮狮勿簇渡庐画墟撬谢辖乌乎1第一次运行天网时，您需要输入注册号。注册号可以免费获得，用户只需到天网的主页上进行注册即可，网址：http：／／www．sky．net．cn。

图5.25安装天网防火墙后的任务栏图标甩畜蹭豢锻踏斩咱这疚舞瞎爱轻始铸择娱缔辈钡辛获套逃笨瞅泅赫吟地黍55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展第一次运行天网时，您需要输入注册号。注册号可以免费获得，用户2天网启动后，缩为一个盾牌形图标，如图5.25所示。双击该图标，显示天网的主界面，如图5.26所示。图5.26天网防火墙主界面匿胆江没什略账桩痢汁很预狐呢檄鄙汽颜誊棺茶术坤猪清卯梢若些忻若醚55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展天网启动后，缩为一个盾牌形图标，如图5.25所示。双击该图标3（1）系统设置图5.27系统设置主界面选中开机后自动启动防火墙，天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。担坐热漓闻蚕症啥般唉肾校均诬羊职函闻猖矾监痉芦针轮诀邮叶耕舍赎遵55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展（1）系统设置担坐热漓闻蚕症啥般唉肾校均诬羊职函闻猖矾监痉芦4单击“防火墙自定义规则重置”按钮，防火墙将弹出如下窗口。图5.28天网防火墙提示信息界面如果选择“确定”按钮，天网防火墙将会把防火墙的安全规则全部恢复为初始设置，用户对安全规则的修改和加入的规则将会全部被清除掉，例如：将重新设置在局域网内的地址；用户设定的天网防火墙预警的声音也将被取消。丽轨悍贰鸟吸胖贫胞犯磨豁灰丢拘醚掏性迎诺柯溃缩宿科算蠕滥惹腻波伞55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展单击“防火墙自定义规则重置”按钮，防火墙将弹出如下窗口。丽5（2）安全级别设置天网防火墙安全级别分为高、中、低三级，默认的安全等级为中，其中安全设置如下：低：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任内部网络，允许内部网络的机器访问提供的各种服务（文件、打印机共享服务）但禁止网络网络的机器访问这些服务。中：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网路上的机器将无法看到天网防火墙所安装的主机。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网络上的机器将无法看到本机。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。痉害危津聋耶筛蹬蜒帖殃札彩瘴褥稻唐仕绍月岔惠腋兔滑哉踞坟交准瞅管55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展（2）安全级别设置痉害危津聋耶筛蹬蜒帖殃札彩瘴褥稻唐仕绍月岔6（3）断开/接通网络如果按下断开/接通网络按钮，那么主机就将完全与网络断开了，就好象拔下了网线一样。（4）程序规则设置天网防火墙具有对应用程序数据包进行底层分析拦截功能，可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如下图：杏粮青纬嚷寓墓错陶废幼症抚戳韶翰戚芽形馅俱闸伟厂侗扔淑头侨币魄疲55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展（3）断开/接通网络杏粮青纬嚷寓墓错陶废幼症抚戳韶翰戚芽形馅7图5.29天网防火墙信息拦截界面冲榴岭岸县挡声攻抓诽揍念载团粮阐恩豫头擅赌唯日禽服判俯泵港震糙弦55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.29天网防火墙信息拦截界面冲榴岭岸县挡声攻抓诽揍念载8如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示：暖变俺肩理悔质嘎专杆淘艇诱血浑颊嵌盘聂升穗称仙胯镭腰览玄利烟敬纶55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用9单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则，如下图:逆版枣勋路西亮核定蒜绽豆涝闭舶商轿应擂亦捂陌契脓伺己盆时氰矫撕布55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则10可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据，完成这些设置后，可以选择询问和禁止操作。对应用程序发送数据包的监察可以确认系统有那些程序正在进行通讯。通过这种对数据包的监察防火墙可以监视到攻击者对木马的控制通讯，防止木马程序向外网发送非法信息。冉躯链毕浮沾玄搜坐疫衣兆袖棉较滋说乒甲任卷惨兴矩岔句琅粮尽靛湍跺55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置11（5）IP规则设置IP规则设置是针对整个系统的数据包监测，IP规则设置的界面如下：八刨辽溉灸讥蝗蚊爵切岛臣辖咏留锡煽穆甄盾腮兢称助龟攫线晴慷鞋碰资55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展（5）IP规则设置八刨辽溉灸讥蝗蚊爵切岛臣辖咏留锡煽穆甄盾腮12工具栏上的按钮主要有导入，增加，修改，删除按钮等。由于规则判断是由上而下的，可以通过点击调"规则上下移动"按钮调整规则的顺序"。另外，只有相同协议的规则才可以调整相互顺序），当调整好顺序后，可按保存按钮保存你的修改。当规则增加或修改后，为了使新设定的规则生效，需要单击"应用新规则"按钮。上图中IP规则部分列出了规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，如果标记为钩表示改规则有效，否则表示无效。当你改变某些设置后，请按保存按钮，以便使设置生效。壤傈云邻铁圆豫概靳厕啮伏顽走栅斥拄梨坐别界达纹芽笆腺铱浙凳拱梨酸55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展工具栏上的按钮主要有导入，增加，修改，删除按钮等。由于规则判13天网防火墙本身已经默认设置好了相当的安全级别，一般用户，并不需要自行更改。例如：防御ICMP攻击：即别人无法用PING的方法来确定你的存在。但不影响你去PING别人。防御IGMP攻击：IGMP是用于传播的一种协议。TCP数据包监视：监视你机器上所有的TCP端口服务。这是一种对付木马程序的主要方法。用户可以通过点击增加按钮或选择一条规则后按修改按钮，激活编辑窗口，以便用户进一步设置适合自己的规则。输入规则的"名称"和"说明"，以便于查找和阅读。掖梗赏烂哟奸下咐赞宋合衍浙仍腕临采籽鹅擞鼻剔氨躁辊硅渤撩举橱荫龋55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展天网防火墙本身已经默认设置好了相当的安全级别，一般用户，并不14武搪窟东之琉喜辱项拣舌膨鬃分涕什厢蛹谜空铜婿拓遣卓单抨开讹鹃觅啦55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展武搪窟东之琉喜辱项拣舌膨鬃分涕什厢蛹谜空铜婿拓遣卓单抨开讹鹃15选择该规则是对进入的数据包还是输出的数据包有效。对方的ip地址，用于确定选择数据包从那里来或是去哪里。任何地址是指可以接收从任何地方发来的数据包；局域网网络地址是指数据包来自和发向局域网；指定地址是用户输入的地址，指定的网络区域是你可以自己输入一个网络和掩码。还要录入该规则所对应的协议，在这里请注意，如果录入了IP协议的规则，一点要保证IP协议规则的最后一条的内容是：“对方地址：任何地址；动作：继续下一规则”。煤豹豢环凌葱臆雌饼敲邵散魂摧粉钞疼廖盼愚蝉汝属乖帖拖挨篷龋醒篙表55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展选择该规则是对进入的数据包还是输出的数据包有效。对方的ip地16TCP协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处键入该端口，结束处，键入0。如果不想指定任何端口，只要在起始端口都键入0。ICMP规则要填入类型和代码。如果输入255，表示任何类型和代码都符合本规则。当一个数据包满足上面的条件时，你就可以对该包采取操作了："通行"指让该数据包可以正常通过；"拦截"指让该数据包无法通过；"继续下一规则"指不对该数据包作任何处理，由该规则的下一条规则来确定对该包的处理操作。在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并可以设置"天网防火墙"托盘图标是否闪烁来"警告"，或发出声音来进行提示。他细奋矣厨肩膀角浦缘易掂匙已四虑鸯炽袋鲸创括碗诣似周填摘血汾侠忆55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展TCP协议要填入本机的端口范围和对方的端口范围，如果只是指17建立规则的原则：防火墙的规则检查顺序与列表顺序是一致的。如果只想对内部网络开放某些端口或协议（但对外部网络关闭）时，可对内部网络的规则采用允许"局域网网络地址"的某端口、协议的数据包"通行"的规则，然后用"任何地址"的某端口、协议的规则"拦截"，就可实现你的目的。如果录入了IP协议的规则，一定要保证IP协议规则的最后一条的内容是：对方地址为任何地址，动作是“继续下一规则"，否则会其他协议的规则会执行不到。不要滥用"记录"功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并浪费大量的系统资源。（6）日志查看天网防火墙将会把所有不合规则的数据包拦截并且记录下来，如果你选择了监视TCP和UDP数据包，那你发送和接受的每个数据包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP地址、数据包类型、本机通讯端口，对方通讯端口，标志位悯哟诬恢葛催伐只酞鸭李耍摇印墟缄踞阮虞抓称荔袒躁遏余闹嫁阁介渭挝55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展建立规则的原则：悯哟诬恢葛催伐只酞鸭李耍摇印墟缄踞阮虞抓称荔18趴枷连卡撮发理甲畅姻衍魂菌娶嫉混萨狡稚剑庙棋拷蛊氰诉榴肾币聪哪昔55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展趴枷连卡撮发理甲畅姻衍魂菌娶嫉混萨狡稚剑庙棋拷蛊氰诉榴肾币聪19但不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数据包可能由于你设置的安全级别过高而不符合安全规则，也会被天网防火墙拦截下来并且报警，如你设置了禁止别人Ping你的主机，如果有人向你的主机发送Ping命令，天网防火墙也会把这些发来的ICMP数据拦截下来记录在日志上并且报警。安全日志可以导出和被删除，其上面左右两个按钮分别为存为文件和清空日志的按钮。另外，天网网站可以为天网防火墙注册用户提供在线的系统检测服务。如下图。具体包括的项目和功能如下。门客迈容皖溃灿困痰劣跑捐忌臼捡默边糊蚤锗顶咱临研触霞辗攫臂钉票锦55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展但不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数20技啄簧而婚肯体尖丘脊驳讽既栈若袋挞及壬糕玉鞍羊淳纪零咬血潮瞅抿计55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展技啄簧而婚肯体尖丘脊驳讽既栈若袋挞及壬糕玉鞍羊淳纪零咬血潮瞅21信息泄露检测：检测系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞，检测系统会显示出你的计算机名，甚至会检测出你的共享文件目录和打印机的名称，并把共享目录里的具体内容列出来。系统安全性检测：如果系统存在漏洞，很可能会成为网络上的攻击对象。该项检测的目的就是验证系统是否存在这样的漏洞。同时还提供了电脑网络安全软件，可以帮助用户填补这些漏洞。汕镶蜡嘲邵看涪质慧篆氯摧反彩铰涪炮攀成影亢扯塑莹皋邱硬盏画牡耻泻55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展信息泄露检测：检测系统是否存在信息泄漏的危险性。如果你的电脑22网络端口扫描：扫描你的系统是否存在开放的易于被攻击的网络端口。DdosSlave扫描，在黑客攻击的事件中，许多接入互联网的计算机被黑客利用来作为攻击其他网站或计算机的跳板（又被称为“肉鸡”）。因为这些主机被黑客植入DDOS攻击的代理程序，所以黑客控制这些代理程序来对外攻击。DDOSSlave扫描是检查您的系统里是否存在这种代理程序。

检测和扫描服务是通过天网网站对主机进行扫描实现的，完成后将给出一个完整的报告和适当的建议。缆守醚掘晚筒紧终箭贯狭绰私耳脏茬领欣志氢汇川凌悠氟元拉莽菇圆酒咋55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展网络端口扫描：扫描你的系统是否存在开放的易于被攻击的网络端口23图5.37天网网站安全漏洞报告界面威驮驰渠坑咖袱憎羚宵嘻骄兼尺榔减桅绞翱颊决腆蜕殉魁污赛魂嗜沽砒恰55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.37天网网站安全漏洞报告界面威驮驰渠坑咖袱憎羚宵嘻骄兼242、操作系统集成的防火墙--启用winxp中自带的防火墙操作系统WINDOWSXP本身就具有Internet连接防火墙（ICF），即充当网络与外部世界之间的保卫边界的安全系统。Internet连接防火墙（ICF）是用来限制哪些信息可以小型办公网络或个人主机进入Internet（外部网络）以及从Internet进入小型办公网络或个人主机的一种工具软件。如果网络使用Internet连接共享（ICS）来为多台计算机提供Internet访问能力，在共享的Internet连接中启用ICF。当然ICS和ICF也可以单独启用。赶及掏营炼锐禾乞吁磺摄浑握腺滁比笺史滇闽侈菲旧牟涯萝什拘秆慨思疤55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展2、操作系统集成的防火墙--启用winxp中自带的防火墙赶25工作原理：ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。ICF保留了所有源自ICF计算机的通讯表。在单独的主机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时，才允许将传入Internet通信传送给网络中的计算机。源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。ICF和个人主机或小型办公室通讯不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙。如果在ICS客户计算机的网络适配器上启用防火墙，则将干扰该主机和网络上的所有其他主机之间的某些通讯。ICF也具有日志功能能够记录被许可的和被拒绝的通信。烦旁欣痛烂烬捏晾辟毋钠苇桨臂宦鸽慑钒狱垦矢辜夷拙偿椽啪侦燎篙极豫55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展工作原理：烦旁欣痛烂烬捏晾辟毋钠苇桨臂宦鸽慑钒狱垦矢辜夷拙偿26（1）配置防火墙1.启用或禁用Internet连接防火墙。图5.38网络邻居属性窗口队诫撕搂父埠锻稽丰鸥公嚎掀屯捂冈奖稻辈薯扦蛹亨甥刀纶七肖虎盎琵继55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展（1）配置防火墙队诫撕搂父埠锻稽丰鸥公嚎掀屯捂冈奖稻辈薯扦蛹27方法：打开“网络连接”，单击要保护的拨号、LAN或高速Internet连接，然后在“本地连接属性”→“高级”→“设置”下，选择下面的一项：

图5.39防火墙设置窗口毙轧禁正卞纱果搏伍接回纵惊雹访悔腿虹诬缺煌秋百锌拄拈砷肥欧煞狰朽55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展方法：打开“网络连接”，单击要保护的拨号、LAN或高速I28若要启用Internet连接防火墙，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙，请清除此复选框。2）安全日志的设置

陇蚂叹井蛋轨爱书汇布蜒贮鬼感酌姑术奎逮容拍任哪僚岂盏已样残启绸佃55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展若要启用Internet连接防火墙，选中“通过限制或阻止来自29当选择“登录放弃的数据包”复选框时，每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如，如果Internet控制消息协议没有设置成允许传入的回显请求，如Ping和Tracert命令发出的请求，防火墙将接收到来自外部网络的回显请求，但防火墙会根据用户设置的规则放弃回显的数据并记录日志。Ping和Tracert都采用的是网际消息协议（ICMP）。通过ICMP协议，可以使采用IP通讯的主机和路由器报告通信错误并交换受限控制和状态信息。在下列情况中通常自动发送ICM消息：IP数据报无法访问目标、IP路由器（网关）无法按当前的传输速率转发数据报、IP路由器将发送主机重定向为使用更好的到达目标的路由。启用或禁用Internet控制消息协议：打开“网络连接”。单击已启用Internet连接防火墙的连接，然后在“本地连接属性”→“高级”→“设置”→“高级”→→“ICMP设置”选项卡上，选中希望响应的请求信息类型旁边的复选框。泽但吾杉城瓮游榴匡窄粒茂彩在伶凄柜戚咕婶皋堤温弊蹭母浴剪魁本希伊55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展当选择“登录放弃的数据包”复选框时，每次通信尝试通过防火墙却30图5.41ICMP设置窗口雪工噪颧弗躁樱夸靠沏咕味胚汗痪巢详揉储使词彬秤奥强蕴冒匆舰霉怕萧55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.41ICMP设置窗口雪工噪颧弗躁樱夸靠沏咕味胚汗痪31当你选择“登录成功的外传连接”复选框时，将收集每个成功通过防火墙的连接信息。例如，当网络上的任何人使用InternetExplorer成功实现与某个网站的连接时，将记入日志。生成的安全日志使用的是W3C扩展日志文件格式。启用或禁用安全日志记录选项：打开“网络连接”，单击要在其上启用Internet连接防火墙（ICF）的连接，然后在“网络任务”→“更改该连接的设置”→“高级”→“设置”→“安全日志记录”→“记录选项”下，选择下面的一项或两项：宙转冷扰始请后怠述墅儡疼施姜那丸莎粤鹏阵桃胁瓶核蚁芹孙每蹦辆肯夜55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展当你选择“登录成功的外传连接”复选框时，将收集每个成功通过防32图5.42安全日志设置窗口骑惮朱麻株贵岩怖阳梗蝎岔寿及淋枚试慑翻莽绊述琴醚极孟吼潦卫旅镁娇55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.42安全日志设置窗口骑惮朱麻株贵岩怖阳梗蝎岔寿及淋枚试33若要启用对不成功的入站连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。更改安全日志文件的路径和文件名的方法：打开“网络连接”，选择要在其上启用Internet连接防火墙的连接，然后在“本地连接属性”→“高级”→“设置”→“高级”→“安全记录设置”→“日志文件选项”中，浏览要放置日志文件的位置。

图5.43修改安全日志窗口虎富永碘腊啊炉抚措牙丁猪幢竹双倾美勺康三株唱焉棕磁衡漫痘睬朵炯盎55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展若要启用对不成功的入站连接尝试的记录，请选中“记录丢弃的数据34

更改安全日志文件大小需要用户打开已启用Internet连接防火墙的连接，然后在“本地连接属性”→“高级”→“设置”→“高级”→“安全记录设置”→“日志文件选项”“大小限制”中，使用箭头按钮调整大小限制。羌墨妮唆夫灸择总防图洋合读劈滨冗戊挠泽惩棠呢入砍老扭其菱保毡淬押55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展更改安全日志文件大小需要用户打开已启用Internet连接353、一款专业级防火墙的代表之作--基于CiscoPIXFirewall的防火墙系统CiscoPIXFirewall防火墙是通过动态和静态的地址映射，管道技术建立一个较为完整的防火墙系统。CisoPIXFirewall是基于网络层的包过滤和基于应用层的隔离网络的代理服务器（proxyserver）这两种技术结合的防火墙。它应用安全算法（AdaptiveSecurityAlgorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，访问列表，有效地控制内、外部网络资源的访问。PIXFirewall可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略。设IP地址范围78-91，有E-mail，WWW，FTP等服务器，PIXFirewall的内部虚IP地址范围为：-55,可以定义以下策略:恒泉绞尉购峭具幽掷旁恐处绢悯征峻鸥谨坊引偷匣贷脚抵搁督俞窃脱镇烤55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展3、一款专业级防火墙的代表之作--基于CiscoPIXF361）屏蔽内部网络拓扑结构为了防止黑客的侵入，应采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。对PIXFirewall做如下配置:nat100

global(outside)1220.294.204.179–91

global(outside)178再斋禁封弥邪物掌毛吐特讯拒杰帕斌盐狙倍膊垦回面澡瓤帮矗强毋吴稍诞55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展1）屏蔽内部网络拓扑结构再斋禁封弥邪物掌毛吐特讯拒杰帕斌盐372）对资源主机的访问控制为保证E-mail，FTP，www等服务器的安全必须利用管道(conduit)使外部网络可以对它们进行访问，但同时必须限制对它们的访问，即禁止除E-mail，www，FTP以外的一切服务，配置方法如下：

static(inside，outside)79

conduitpermittcphost79eqwwwany

static(inside，outside)78

conduitpermittcphost78eqsmtpany

static(inside，outside)90

conduitpermittcphost78eqftpany镍郊虑竟舱执环挖讨暗即戊鹰慰侣骑警舱累即骤险才庇之枝坯芯兑狼圣镶55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展2）对资源主机的访问控制镍郊虑竟舱执环挖讨暗即戊鹰慰侣骑警383）对Internet上资源的控制对于Internet上的不安全站点，我们可用首先查到不安全站点的IP地址，然后并对从内部网络向外部网络发出的数据流实施的访问控制。在PIXFirewall上的配置如下：

outbound10deny155wwwtcp

apply(inside)10outgoing_dest对于内部主机可以控制其能使用的服务，实现对内部主机到外部的访问进行完全的控制。例如，对主机00可以禁止使用WWW访问外部网络。其配置如下：

outbound20deny0055wwwtcp

apply(inside)20outgoing_src

赚旬侗俯红赫链拖暗纠肯际界矿铬契拽迄鹏倦阵襄使欲霄渴趟夹衅星峡夷55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展3）对Internet上资源的控制赚旬侗俯红赫链拖暗纠肯际39

4）防范内部网络的非法IP和MAC地址由于采用盗用他人的IP地址和MAC地址的方法，可以达到隐藏非法访问的目的。使用PIXFirewall的ARP命令可以将内部主机的IP和它的MAC地址绑定，来防止篡改和盗用IP地址现象。例如，我们要将主机的IP地址00与它的MAC地址00a8.3e41.2bc7绑定，可进行如下配置：arpinside0000a8.3e41.2bc7alias结合以上四种配置，CiscoPIXFirewall可以实现对IP包过滤，屏蔽内部网络和对网络资源加以的控制，并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。好锹呻汁艺啃特惜疑尘墨费桅串锄摆扒录艘件止黔察隙孺怕拐耶鼎亲熟滨55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展4）防范内部网络的非法IP和MAC地址好锹呻汁艺啃特惜疑404、国外著名防火墙产品--CheckPoint公司的FireWall-1网络安全防火墙据IDC的最近统计，CheckPoint公司的FireWall-1防火墙在市场占有率上已超过32%。CheckPointFireWall-1产品包括以下模块：状态检测模块（InspectionModule）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；防火墙模块（FireWallModule）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；脐募聪坷穿靖纽蔓呼帕擂舅趴篡真籍羔腔枷船敬巩粉全熔缄烩闽捆坞捐棵55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展4、国外著名防火墙产品--CheckPoint公司的Fire41管理模块（ManagementModule）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；连接控制（ConnectControl）：为提供相同服务的多个应用服务器提供负载平衡功能；路由器安全管理模块（RouterSecurityManagement）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；

FireWall-1采用CheckPoint公司的状态检测（StatefulInspection）专利技术，以不同的服务区分应用类型。FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略管理。未别帽书掀撞蓝棍挞笨烙乙粪腋涂钨畜魁情扇钟绑嘶牟酗猜艇斩叫伸既彼55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展管理模块（ManagementModule）：对一个或多个42图5.44FireWall-1网络结构示意图善恳压靳抠倔琵仰多刘号益寨扫殿丛恼辜札皆沫脂抬寺隋绍赚饭泡轻确姓55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.44FireWall-1网络结构示意图善恳压靳抠倔43状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。CheckPoint采用了OPSEC了。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。OPSEC把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，提供开放的、可扩展的安全框架。庙军我俺锦楷梨彬禄榔吠颇军喂哭蘸记肾虽券淌绩艇央蠕估讶劲哈汝舞朽55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包44FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。管理员通过管理主机管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态检测模块的系统上。他们之间的通信必须先经过认证，然后通过加密信道传输。脂孝船剁烁疏断杉迭蛇临留臂殊愁葵绍蹿侯讼盼韶挖宴究呻喘姑索治峦黍55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展FireWall-1允许企业定义并执行统一的防火墙中央管理安45远程用户和拨号用户可以经过FireWall-1的认证后，访问内部网络资源。在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。认证服务集成在安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。

FireWall-1提供三种认证方法：用户认证（UserAuthentication），针对特定服务提供的基于用户的透明的身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN；客户机认证（ClientAuthentication），基于客户机IP的认证，对访问的协议不做直接的限制，客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用服务器；会话认证（SessionAuthentication）：提供基于服务会话的的透明认证，与IP无关，采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。毅丛浚本划殆诊瞪削介焚研挎岳页抱殃亭眉纠痪狞敖莉显逃刁烁亿盾淬篓55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展远程用户和拨号用户可以经过FireWall-1的认证后，访问46FireWall-1支持三种不同的NAT模式：静态源地址NAT、目的地址NAT：动态地址NAT。FireWall-1的连接控制模块提供了负载平衡功能，在提供相同服务的多个应用服务器之间实现负载分担，目前FireWall-1支持的负载均衡算法：ServerLoad（由服务器提供负载均衡算法，需要在应用服务器端安装负载测量引擎）；RoundTrip（利用ping命令测定防火墙到各个应用服务器之间的循回时间，选用循回时间最小者响应用户请求）；RoundRobin（根据记录表中的情况，简单地指定下一个应用服务器响应）；Random（随机选取应用服务器响应）；Domain（按照域名最近的原则，指定最近的应用服务器响应）。触窗倡胀拧抿丑猫讥平孟怔次敷垫缸胰寅饭梧榷篆宽洱穿鸡栋琴蛋糙咋届55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展FireWall-1支持三种不同的NAT模式：静态源地址NA475.5.2防火墙的发展趋势目前，防火墙技术随着新技术的发展，综合使用包过滤技术、代理服务技术和其他一些新技术的防火墙真是今后防火墙发展的趋势。目前出现几个新型的防火墙技术：1、包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPointFirewall一1中的包过滤规则可由路由器灵活、快速地设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部网。2、从外部向内看起来像是代理服务，而由内部向外看像一个包过滤系统的综合性防火墙结构。这些产品通过对大量内部网络的外向连接请求采用计账系统和包的批次修改方式，对防火墙的内外提供相关的伪像。硝斑霸缨惑斯年萍疾违涟玲压癣矾驼硬鞠舷子贩虾吕蠢辱绘唤扣驴宴腆噎55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展5.5.2防火墙的发展趋势硝斑霸缨惑斯年萍疾违涟玲压癣矾483、分布式防火墙技术。新型的分布式防火墙由中心定义策略，但由各个分布在网络中的端点实施这些制定的策略。实现的三个主要步骤：确定哪些连接可以被允许或那些连接被禁止的策略语言、系统管理工具和IP安全协议。策略语言有很多种，如KeyNote就是一种通用的策略语言。实现分布式防火墙的关键是标志内部的主机，不应该再采用传统防火墙所用的对物理上的端口进行标志的办法。以IP地址来标志内部主机是一种可供选择的方法，但安全性不高，所以更倾向于使用IP安全协议中的密码凭证来标志各台主机，这种新技术为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑无关。分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机，应该注意的是这里所指的防火墙并不是传统意义上的物理防火墙，而是逻辑上的分布式防火墙。IP安全协议是一种对TCP/IP协议族的网络层进行加密保护的机制，包括AH和ESP，分别对IP包头和整个IP包进行认证，可以防止各类主机攻击。诞揪璃蔑覆巡刊感段郎摇鹤墟巴识铱枯悼蛛栽核弄鲁箍蠢嵌律涵与尼保