防火牆策略預編譯技術

① 防火牆設計策略有哪些

在了解TCP和UDP之前，我們需要來了解倆個概念，面向連接的服務和無連接的服務，應用面向連接的服務時，客戶和伺服器在發送在進行數據發送前，彼此向對方發送控制分組，這就是所謂的握手過程，使得客戶和伺服器都做好分組交換准備。

4月到6月，國外傳統上稱為「防火牆月」，據說這與「防火牆」的誕生有關。此後，每一種革命意義的防火牆技術都在此期間發布。遵照傳統，編輯也收集了國內外論壇中的防火牆專帖，一起分享其中的安全理念與部署技巧。

定義所需要的防禦能力

防火牆的監視、冗餘度以及控制水平是需要進行定義的。

百事通通過企業系統策略的設計，IT人員要確定企業可接受的風險水平（偏執到何種程度）。接下來IT人員需要列出一個必須監測什麼傳輸、必須允許什麼傳輸通行，以及應當拒絕什麼傳輸的清單。換句話說，IT人員開始時先列出總體目標，然後把需求分析與風險評估結合在一起，挑出與風險始終對立的需求，加入到計劃完成的工作清單中。

關注財務問題

很多專家建議，企業的IT人員只能以模糊的表達方式論述這個問題。但是，試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如，一個完整的防火牆的高端產品可能價值10萬美元，而低端產品可能是免費的；從頭建立一個高端防火牆可能需要幾個月。另外，系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好，但重要的是，使建立的防火牆不需要高額的維護和更新費用。

體現企業的系統策略

IT人員需要明白，安裝後的防火牆是為了明確地拒絕——除對於連接到網路至關重要的服務之外的所有服務。或者，安裝就緒的防火牆是為以非威脅方式對「魚貫而入」的訪問提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂，防火牆的最終功能可能將是行政上的結果，而非工程上的決策。

網路設計

出於實用目的，企業目前關心的是路由器與自身內部網路之間存在的靜態傳輸流路由服務。因此，基於這一事實，在技術上還需要做出幾項決策：傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現，或通過代理網關和服務在應用層實現。

IT人員需要做出的決定是，是否將暴露的簡易機放置在外部網路上為Telnet、ftp、News等運行代理服務，或是否設置像過濾器這樣的屏蔽路由器，允許與一台或多台內部計算機通信。這兩種方式都存在著優缺點，代理機可以提供更高水平的審計和潛在的安全性，但代價是配置費用的增加，以及提供的服務水平的降低。

② 網際網路防火牆技術，不少於一千字，論文

隨著internet的迅猛發展，安全性已經成為網路互聯技術中最關鍵的問題。本文——計算機與信息技術論文Internet防火牆技術綜述，全面介紹了internet防火牆技術與產品的發展歷程；詳細剖析了第四代防火牆的功能特色、關鍵技術、實現方法及抗攻擊能力；同時簡要描述了internet防火牆技術的發展趨勢。

關鍵詞：internet 網路安全 防火牆 過濾 地址轉換

1． 引言 

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境之中，尤以internet網路為最甚。internet的迅猛發展，使得防火牆產品在短短的幾年內異軍突起，很快形成了一個產業：1995年，剛剛面市的防火牆技術產品市場量還不到1萬套；到1996年底，就猛增到10萬套；據國際權威商業調查機構的預測，防火牆市場將以173%的復合增長率增長，今年底將達到150萬套，市場營業額將從1995年的�1.6�億美元上升到今拍尺年的9.8億美元。�

為了更加全面地了解internet防火牆及其發展過程，特別是第四代防火牆的技術特色，我們非常有必要從產品和技術角度對防火牆技術的發展演變做一個詳細的考察。�

2. internet防火牆技術簡介�

防火牆原是指建築物大廈用來防止火災蔓延的隔斷牆。從理論上講，internet防火牆服務也屬於類似的用襲侍高來防止外界侵入的。它可以防
止internet上的各種危險(病毒、資源盜用等)傳播到你的網路內部。而事實上，防火牆並不像現實生活中的防火牆，它有點像古代守護城池用的護城河，服務於以下多個目的：�
1)限定人們從一個特定的控制點進入；�
2)限定人們從一個特定的點離開；�
3)防止侵入者接近你的其他防禦設施；�
4)有效地阻止破壞者對你的計算機系統進行破壞。�
在現實生活中，internet防火牆常常被安裝在受保護的內部網路上並接入internet。

所有來自internet的傳輸信息或你發出的信息都必須經過防火牆。這樣，防火牆就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講，防火牆是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那麼，防火牆究竟是什麼呢?實際上，防火牆是加強internet(內部網)之間安全防禦的一個或一談灶組系統，它由一組硬體設備(包括路由器、伺服器)及相應軟體構成。3. 防火牆技術與產品發展的回顧�

防火牆是網路安全策略的有機組成部分，它通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理。從總體上看，防火牆應該具有以下五大基本功能：�
●過濾進、出網路的數據；�
●管理進、出網路的訪問行為；�
●封堵某些禁止行為；�
●記錄通過防火牆的信息內容和活動；�
●對網路攻擊進行檢測和告警。�

為實現以上功能，在防火牆產品的開發中，人們廣泛地應用了網路拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展，可以將其劃分為如下四個階段(即四代)。�

3.1 基於路由器的防火牆�

由於多數路由器本身就包含有分組過濾功能，故網路訪問控制可能通過路控制來實現，從而使具有分組過濾功能的路由器成為第一代防火牆產品。第一代防火牆產品的特點是：�
1)利用路由器本身對分組的解析，以訪問控製表(access list)方式實現對分組的過濾；�
2)過濾判斷的依據可以是：地址、埠號、ip旗標及其他網路特徵；�
3)只有分組過濾的功能，且防火牆與路由器是一體的。這樣，對安全要求低的網路可以採用路由器附帶防火牆功能的方法，而對安全性要求高的網路則需要單獨利用一台路由器作為防火牆。�

第一代防火牆產品的不足之處十分明顯，具體表現為：�

●路由協議十分靈活，本身具有安全漏洞，外部網路要探尋內部網路十分容易。例如，在使用Ftp協議時，外部伺服器容易從20號埠上與內部網相連，即使在路由器上設置了過濾規則，內部網路的20號埠仍可以由外部探尋。�
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性。作用埠的有效性和規則集的正確性，一般的網路系統管理員難於勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。�
●路由器防火牆的最大隱患是：攻擊者可以「假冒」地址。由於信息在網路上是以明文方式傳送的，黑客(hacker)可以在網路上偽造假的路由信息欺騙防火牆。�
●路由器防火牆的本質缺陷是：由於路由器的主要功能是為網路訪問提供動態的、靈活的路由，而防火牆則要對訪問行為實施靜態的、固態的控制，這是一對難以調和的矛盾，防火牆的規則設置會大大降低路由器的性能。
�
可以說基於路由器的防火牆技術只是網路安全的一種應急措施，用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2 用戶化的防火牆工具套�

為了彌補路由器防火牆的不足，很多大型用戶紛紛要求以專門開發的防火牆系統來保護自己的網路，從而推動了用戶防火牆工具套的出現。�
作為第二代防火牆產品，用戶化的防火牆工具套具有以下特徵：�
1)將過濾功能從路由器中獨立出來，並加上審計和告警功能；�
2)針對用戶需求，提供模塊化的軟體包；�
3)軟體可以通過網路發送，用戶可以自己動手構造防火牆；�
4)與第一代防火牆相比，安全性提高了，價格也降低了。�

由於是純軟體產品，第二代防火牆產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求，並帶來以下問題：�
配置和維護過程復雜、費時；�
對用戶的技術要求高；�
全軟體實現，使用中出現差錯的情況很多。�

3.3 建立在通用操作系統上的防火牆�

基於軟體的防火牆在銷售、使用和維護上的問題迫使防火牆開發商很快推出了建立在通用操作系統上的商用防火牆產品。近年來市場上廣泛使用的就是這一代產品，它們具有如下一些特點：�
1)是批量上市的專用防火牆產品；�
2)包括分組過濾或者借用路由器的分組過濾功能；�
3)裝有專用的代理系統，監控所有協議的數據和指令；�
4)保護用戶編程空間和用戶可配置內核參數的設置；
5)安全性和速度大大提高。�

第三代防火牆有以純軟體實現的，也有以硬體方式實現的，它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現出不少問題，比如：�
1)作為基礎的操作系統及其內核往往不為防火牆管理者所知，由於源碼的保密，其安全性無從保證；�
2)由於大多數防火牆廠商並非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；�
3)從本質上看，第三代防火牆既要防止來自外部網路的攻擊，還要防止來自操作系統廠商的攻擊；�
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能；�
5)透明性好，易於使用。�

4. 第四代防火牆的主要技術及功能�

第四代防火牆產品將網關與安全系統合二為一，具有以下技術功能。�

4.1 雙埠或三埠的結構�

新一代防火牆產品具有兩個或三個獨立的網卡，內外兩個網卡可不做ip轉化而串接於內部與外部之間，另一個網卡可專用於對伺服器的安全保護。
�

4.2 透明的訪問方式�

以前的防火牆在訪問方式上要麼要求用戶做系統登錄，要麼需通過socks等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。�

4.3 靈活的代理系統�

代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模塊，第四代防火牆採用了兩種代理機制：一種用於代理從內部網路到外部網路的連接；另一種用於代理從外部網路到內部網路的連接。前者採用網路地址轉接(nit)技術來解決，後者採用非保密的用戶定製代理或保密的代理系統技術來解決。�

4.4 多級過濾技術�

為保證系統的安全性和防護水平，第四代防火牆採用了三級過濾措施，並輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒ip地址；在應用級網關一級，能利用Ftp、smtp等各種網關，控制和監測internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，並對服務的通行實行嚴格控制。�

4.5 網路地址轉換技術�

第四代防火牆利用nat技術能透明地對所有內部地址做轉換，使得外部網路無法了解內部網路的內部結構，同時允許內部網路使用自己編的ip源地址和專用網路，防火牆能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。�

4.6 internet網關技術�

由於是直接串聯在網路之中，第四代防火牆必須支持用戶在internet互聯的所有服務，同時還要防止與internet服務有關的安全漏洞，故它要能夠以多種安全的應用伺服器(包括ftp、finger、mail、ident、news、www等)來實現網關功能。為確保伺服器的安全性，對所有的文件和命令均要利用「改變根系統調用(chroot)」做物理上的隔離。�

在域名服務方面，第四代防火牆採用兩種獨立的域名伺服器：一種是內部dns伺服器，主要處理內部網路和dns信息；另一種是外部dns伺服器，專門用於處理機構內部向internet提供的部分dns信息。在匿名ftp方面，伺服器只提供對有限的受保護的部分目錄的只讀訪問。在www伺服器中，只支持靜態的網頁，而不允許圖形或cgi代碼等在防火牆內運行。在finger伺服器中，對外部訪問，防火牆只提可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統信息。smtp與pop郵件伺服器要對所有進、出防火牆的郵件做處理，並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。ident伺服器對用戶連接的識別做專門處理，網路新聞服務則為接收來自isp的新聞開設了專門的磁碟空間。

4.7 安全伺服器網路(ssn)�

為了適應越來越多的用戶向internet上提供服務時對伺服器的需要，第四代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護，它利用一張網卡將對外伺服器作為一個獨立網路處理，對外伺服器既是內部網路的一部分，又與內部網關完全隔離，這就是安全伺服器網路(ssn)技術。而對ssn上的主機既可單獨管理，也可設置成通過Ftp、tnlnet等方式從內部網上管理。�

ssn方法提供的安全性要比傳統的「隔離區(dmz)」方法好得多，因為ssn與外部網之間有防火牆保護，ssn與風部網之間也有防火牆的保護，而dmz只是一種在內、外部網路網關之間存在的一種防火牆方式。換言之，一旦ssn受破壞，內部網路仍會處於防火牆的保護之下，而一旦dmz受到破壞，內部網路便暴露於攻擊之下。�

4.8 用戶鑒別與加密�

為了減低防火牆產品在tnlnet、ftp等服務和遠程管理上的安全風險，鑒別功能必不可少。第四代防火牆採用一次性使用的口令系統來作為用戶的鑒別手段，並實現了對郵件的加密。�

4.9 用戶定製服務�

為了滿足特定用戶的特定需求，第四代防火牆在提供眾多服務的同時，還為用戶定製提供支持，這類選項有：通用tcp、出站udp、ftp、smtp等，如果某一用戶需要建立一個資料庫的代理，便可以利用這些支持，方便設置。�

4.10 審計和告警�

第四代防火牆產品採用的審計和告警功能十分健全，日誌文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日誌、進站代理、ftp代理、出站代理、郵件伺服器、名伺服器等。告警功能會守住每一個tcp或udp探尋，並能以發出郵件、聲響等多種方式報警。�

此外，第四代防火牆還在網路診斷、數據備份保全等方面具有特色。�

5． 第四代防火牆技術的實現方法

在第四代防火牆產品的設計與開發中，安全內核、代理系統、多級過濾、安全伺服器、鑒別與加密是關鍵所在。�

5.1 安全內核的實現�

第四代防火牆是建立在安全操作系統之上的，安全操作系統來自對專用操作系統的安全加固和改造，從現在的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾個方面進行：�
1)取消危險的系統調用；�
2)限制命令的執行許可權；�
3)取消ip的轉發功能；�
4)檢查每個分組的介面；�
5)採用隨機連接序號；�
6)駐留分組過濾模塊；�
7)取消動態路由功能；�
8)採用多個安全內核。�
5.2 代理系統的建立�

防火牆不允許任何信息直接穿過它，對所有的內外連接均要通過代理系統來實現，為保證整個防火牆的安全，所有的代理都應該採用改變根目錄方式存在一個相對獨立的區域以安全隔離。�

在所有的連接通過防火牆前，所有的代理要檢查已定義的訪問規則，這些規則控制代理的服務根據以下內容處理分組：�
1)源地址；�
2)目的地址；�
3)時間；�
4)同類伺服器的最大數量。�

所有外部網路到防火牆內部或ssn的連接由進站代理處理，進站代理要保證內部主機能夠了解外部主機的所有信息，而外部主機只能看到防火牆之外或ssn的地址。�

所有從內部網路ssn通過防火牆與外部網路建立的連接由出站代理處理，出站代理必須確保完全由它代表內部網路與外部地址相連，防止內部網址與外部網址的直接連接，同時還要處理內部網路ssn的連接。�

5.3 分組過濾器的設計�

作為防火牆的核心部件之一，過濾器的設計要盡量做到減少對防火牆的訪問，過濾器在調用時將被下載到內核中執行，服務終止時，過濾規則會從內核中消除，所有的分組過濾功能都在內核中ip堆棧的深層運行，極為安全。分組過濾器包括以下參數。�
1)進站介面；�
2)出站介面；�
3)允許的連接；�
4)源埠范圍；�
5)源地址；�
6)目的埠的范圍等。�

對每一種參數的處理都充分體現設計原則和安全政策。�

5.4 安全伺服器的設計�

安全伺服器的設計有兩個要點：第一，所有ssn的流量都要隔離處理，即從內部網和外部網而來的路由信息流在機制上是分離的；第二，ssn的作用類似於兩個網路，它看上去像是內部網，因為它對外透明，同時又像是外部網路，因為它從內部網路對外訪問的方式十分有限。�

ssn上的每一個伺服器都隱蔽於internet，ssn提供的服務對外部網路而言好像防火牆功能，由於地址已經是透明的，對各種網路應用沒有限制。實現ssn的關鍵在於：�
1)解決分組過濾器與ssn的連接；�
2)支持通過防火對ssn的訪問;
3)支持代理服務。

5.5鑒別與加密的考慮

鑒別與加密是防火牆識別用戶、驗證訪問和保護信息的有效手段，鑒別機制除了提供安全保護之外，還有安全管理功能，目前國外防火牆產品中廣泛使用令牌鑒別方式，具體方法有兩種：一種是加密卡（cryptocard）;另一種是secure id,這兩種都是一次姓口令的生成工具。

對信息內容的加密與鑒別測涉及加密演算法和數字簽名技術，除pem、pgp和kerberos外，目前國外防火牆產品中尚沒有更好的機制出現，由於加密演算法涉及國家安全和主權，各國有不同的要求。

6. 第四代防火牆的抗攻擊能力

作為一種安全防護設備，防火牆在網路中自然是眾多攻擊者的目標，故抗攻擊能力也是防火牆的必備功能。在internet環境中針對防火牆的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火牆的抗攻擊能力。

6.1 抗ip假冒攻擊

ip假冒是指一個非法的主機假冒內部的主機地址，騙取伺服器的「信任」，從而達到對網路的攻擊目的。由於第四代防火牆已經將網內的實際地址隱蔽起來，外部用戶很難知道內部的ip地址，因而難以攻擊。

6.2 抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計算機網路，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載病執行這一程序，其中的病毒便會發作。第四代防火牆是建立在安全的操作系統之上的，其內核中不能執行下載的程序，故而可以防止特洛伊木馬的發生。必須指出的是，防火牆能抗特洛伊木馬的攻擊並並不表明其保護的某個主機也能防止這類攻擊。事實上，內部用戶可以通過防火牆下載程序，並執行下載的程序。

6.3 抗口令字探尋攻擊

在網路中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監測網路通信，截獲用戶轉給伺服器的口令字，記錄下來，以便使用；解密是指採用強力攻擊、猜測或截獲含有加密口令的文件，並設法解密。此外，攻擊者還常常利用一些常用口令直接登錄。

第四代防火牆採用了一次性口令字和禁此直接登錄防火牆措施，能夠有效防止對口令字的攻擊。

6.4 抗網路安全性分析

網路安全性分析工具是提供管理人員分析網路安全性之用，一旦這類工具用作攻擊網路的手段，則能夠比較方便地探測到內部網路的安全缺陷和弱點所在。目前，sata軟體可以從網上免費獲得，internet scanner可以從市面上購買，這些分析工具給網路安全構成了直接的威脅。第四代防火牆採用了地主轉換技術，將內部網路隱蔽起來，使網路安全分析工具無法從外部對內部網路做分析。

6.5 抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火牆不接收任何郵件，故難以採用這種方式對它攻擊，同樣值得一提的是，防火牆不接收郵件，並不表示它不讓郵件通過，實際上用戶仍可收發郵件，內部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。

7. 防火牆技術展望

伴隨著internet的飛速發展，防火牆技術產品的更新步伐必然會加強，而要全面展望防火牆技術的發展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：
1）防火牆將從目前對子網或內部網管理的方式向遠程上網集中管理是方式發展。
2）過濾深度會不斷加強，從目前的地址、服務過濾，發展到url（頁面）過濾、關鍵字過濾和對activex、java等的過濾，並逐漸有病毒掃描功能。
3）利用防火牆建立專用網是較長一段時間用戶使用的主流，ip的加密需求越來越強，安全協議的開發是一大熱點。�
4)單向防火牆(又叫做網路二極體)將作為一種產品門類而出現。�
5)對網路攻擊的檢測和各種告警將成為防火牆的重要功能。
6)安全管理工具不斷完善，特別是可以活動的日誌分析工具等將成為防火牆產品中的一部分。�

另外值得一提的是，伴隨著防火牆技術的不斷發展，人們選擇防火牆的標准將主要集中在易於管理、應用透明性、鑒別與加密功能、操作環境和硬體要求、vpn的功能與ca的功能、介面的數量、成本等幾個方面。

③ 防火牆的主要功能和幾種類型

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

主要功能：

1、入侵檢測功能

網路防火牆技術的主要功能之一就是入侵檢測功能，主要有反埠掃描、檢測拒絕服務工具、檢測CGI/IIS伺服器入侵、檢測木馬或者網路蠕蟲攻擊、檢測緩沖區溢出攻擊等功能，可以極大程度上減少網路威脅因素的入侵，有效阻擋大多數網路安全攻擊。

2、網路地址轉換功能

利用防火牆技術可以有效實現內部網路或者外部網路的IP地址轉換，可以分為源地址轉換和目的地址轉換，即SNAT和NAT。

SNAT主要用於隱藏內部網路結構，避免受到來自外部網路的非法訪問和惡意攻擊，有效緩解地址空間的短缺問題，而DNAT主要用於外網主機訪問內網主機，以冊迅此避免內部網路被攻擊。

3、網路操作的審計監控功能

通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄，提供有關網路使用情況的統計數據，方便計算機網路管理以進行信息追蹤。

4、強化網路安全服務

防火牆技術管理可以實現集中化的安全管理，將安全系統裝配在防火牆上，在信息訪問的途徑中就可以實現對網路信息安全的監管。

類型

1、過濾型防火牆

過濾型防火牆是在網路層與傳輸層中，可以基於數據源頭的地址以及協議類型等標志特徵進行分析，確定是否可以通過。在符合防火牆規定標准之下，滿足安全性能以及類型才可以進行信息的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。

2、應用代理類型防火牆

應用代理防火牆主要的工作范圍就是在OIS的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通信流，通過特定的代理程序就可以實現對應用層的監督與控制。

這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

3、復合型

目前應用較為廣泛的防火牆技術當屬復合型防火牆技術，綜合了包過濾防火牆技術以及應用代理防火牆技術的優點，譬如發過來的安全策略是包過濾策略，那麼可以針對報文的報頭部分進行訪問控制。

如果安全策略是代理策略，就可以針對報文的內容數據進行訪問控制，因此復合型防火牆技術綜合了其組成部分的優點明姿陵，同時摒棄了兩種防火牆的原有缺點，大大提高了防火牆技術在應用實踐中的靈活性和安全性。

(3)防火牆策略預編譯技術擴展閱讀

具體應用

1、內網中的防火牆技術

防火牆在內網中的設定位置是比較固定的，一般將其設置在伺服器的入口處，通過對外部的訪問者進行控制，從而達到保護內部網路的作用，而處於內部網路的用戶，可以根據自己的需求明確許可權規劃，使用戶可以訪問規劃內的路徑。

總的來說，內網中的防火牆主要起到以下兩個作用：一是認證應用，內網中的多項行為具有遠程的特點，只有在約束的情況下，通過相關認證才能進行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。

2、外網中的防火牆技術

應用於外網中的防火牆，主要發揮其防範作用，外網在防火牆授權的情況下，才可以進入內網。針對外網布設防火牆時，激戚必須保障全面性，促使外網的所有網路活動均可在防火牆的監視下，如果外網出現非法入侵，防火牆則可主動拒絕為外網提供服務。

基於防火牆的作用下，內網對於外網而言，處於完全封閉的狀態，外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑，所以防火牆能夠詳細記錄外網活動，匯總成日誌，防火牆通過分析日常日誌，判斷外網行為是否具有攻擊特性。

④ iptables和firewalled的區別

保證數據的安全性是繼可用性之後最為重要的一項工作，防火牆技術作為公網與內網之間的保護屏障，起著至關重要的作用。面對同學們普遍不了解在紅帽RHEL7系統中新舊兩款防火牆的差異，劉遄老師決定先帶領讀者正確的認識在紅帽RHEL7系統中firewalld防火牆服務與iptables防火牆服務之間的關系，從理論和事實層面剖析真相。
本章節內將會分別使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火牆策略配置服務來完成敏寬數十個根據真實工作需求而設計的防火牆策略配置實驗，讓同學們不僅能夠熟練的對請求數據包流量賀豎進行過濾，還能夠基於服務程序進行允許和關閉操作，做到保證linux系統安全萬無一失。

保證數據的安全性是繼可用性之後最為重要的一項工作，眾所周知外部公網相比企業內網更加的「罪惡叢生」，因此防火牆技術作為公網與內網之間的保護屏障，雖然有軟體或硬體之分，但主要功能都是依據策略對外部請求進行過濾。防火牆技術能夠做到監控每一個數據包並判斷是否有相應的匹配策略規則，直到匹配到其中一條策略規則或執行默認策略為止，防火牆策略可以基於來源地址、請求動作或協議等信息來定製，最終僅讓合法的用戶請求流入到內網中，其餘的均被丟棄。

在紅帽RHEL7系統中Firewalld服務取代了Iptables服務，對於接觸Linux系統比較早或學習過紅帽RHEL6系統的讀者來講，突然改用Firewalld服務後確實不免會有些抵觸心理，或許會覺得Firewalld服務是一次不小的改變。但其實Iptables服務與Firewalld服務都不是真正的防火牆，它們都只是用來定義防火牆策略功能的「防火牆管理工具」而已，iptables服務會把配置好的防火牆策略交由內核層面的netfilter網路過濾器來處理，而firewalld服務則是把配置好的防火牆策略交由內核層面的nftables包過濾框架來處理。換句話說，當前在Linux系統中其實同時有多個防火牆管理工具共同存在，它們的作用都是為了方便運維人員管理Linux系統的防火牆策略，而咱們只要配置妥當其中一個就足夠了。雖然各個工具之間各有優劣特色，但對於防火牆策略的配置思路上是保持一致的，同學們甚至可以不用完全掌握本章節內的知識，而是在這諸多個防火牆管理工具中任選一款來學透即可，完全能夠滿足日常的工作所需。

在較早期的Linux系統中想配置防火牆默認使用的都是iptables防火牆管理命令，而新型Firewalld防火牆管理服務已經被投入使用多年，但還記得劉遄老師在第0章0.6小節里談到過企業不願意及時升級的原因吧，於是不論出於什麼禪拿大樣的原因，目前市場上還有大量的生產環境中在使用著iptables命令來管理著防火牆的規則策略。雖然明知iptables可能有著即將被「淘汰」的命運，但為了讓同學們不必在面試時尷尬以及看完手中這本《Linux就該這么學》書籍後能「通吃」各個版本的Linux系統，劉遄老師覺得還是有必要把這一項技術好好賣力氣講一下，更何況各個工具的配置防火牆策略思路上大體一致，具有很高的相同性及借鑒意義。

防火牆會從上至下來讀取規則策略，一旦匹配到了合適的就會去執行並立即結束匹配工作，但也有轉了一圈之後發現沒有匹配到合適規則的時候，那麼就會去執行默認的策略。因此對防火牆策略的設置無非有兩種，一種是「通」，一種是「堵」——當防火牆的默認策略是拒絕的，就要設置允許規則，否則誰都進不來了，而如果防火牆的默認策略是允許的，就要設置拒絕規則，否則誰都能進來了，起不到防範的作用。

iptables命令把對數據進行過濾或處理數據包的策略叫做規則，把多條規則又存放到一個規則鏈中，規則鏈是依據處理數據包位置的不同而進行的分類，包括有：在進行路由選擇前處理數據包（PREROUTING）、處理流入的數據包（INPUT）、處理流出的數據包（OUTPUT）、處理轉發的數據包（FORWARD）、在進行路由選擇後處理數據包（POSTROUTING）。從內網向外網發送的數據一般都是可控且良性的，因此顯而易見咱們使用最多的就是INPUT數據鏈，這個鏈中定義的規則起到了保證私網設施不受外網駭客侵犯的作用。

比如您所居住的社區物業保安有兩條規定——「禁止小商販進入社區，各種車輛都需要登記」，這兩條安保規定很明顯應該是作用到了社區的正門（流量必須經過的地方），而不是每家每戶的防盜門上。根據前面提到的防火牆策略的匹配順序規則，咱們可以猜想有多種情況——比如來訪人員是小商販，則會被物業保安直接拒絕在大門外，也無需再對車輛進行登記，而如果來訪人員是一輛汽車，那麼因為第一條禁止小商販策略就沒有被匹配到，因而按順序匹配到第二條策略，需要對車輛進行登記，再有如果來訪的是社區居民，則既不滿足小商販策略，也不滿足車輛登記策略，因此會執行默認的放行策略。

不過只有規則策略還不能保證社區的安全，物業保安還應該知道該怎麼樣處理這些被匹配到的流量，比如包括有「允許」、「登記」、「拒絕」、「不理他」，這些動作對應到iptables命令術語中是ACCEPT（允許流量通過）、LOG（記錄日誌信息）、REJECT（拒絕流量通過）、DROP（拒絕流量通過）。允許動作和記錄日誌工作都比較好理解，著重需要講解的是這兩條拒絕動作的不同點，其中REJECT和DROP的動作操作都是把數據包拒絕，DROP是直接把數據包拋棄不響應，而REJECT會拒絕後再回復一條「您的信息我已收到，但被扔掉了」，讓對方清晰的看到數據被拒絕的響應。就好比說您有一天正在家裡看電視，突然有人敲門，透過「貓眼」一看是推銷商品的，咱們如果不需要的情況下就會直接拒絕他們（REJECT）。但如果透過「貓眼」看到的是債主帶了幾十個小弟來討債，這種情況不光要拒絕開門，還要默不作聲，偽裝成自己不在家的樣子（DROP），這就是兩種拒絕動作的不同之處。

把Linux系統設置成REJECT拒絕動作策略後，對方會看到本機的埠不可達的響應：

把Linux系統設置成DROP拒絕動作策略後，對方會看到本機響應超時的提醒，無法判斷流量是被拒絕，還是對方主機當前不在線：

iptables是一款基於命令行的防火牆策略管理工具，由於該命令是基於終端執行且存在有大量參數的，學習起來難度還是較大的，好在對於日常控制防火牆策略來講，您無需深入的了解諸如「四表五鏈」的理論概念，只需要掌握常用的參數並做到靈活搭配即可，以便於能夠更順暢的勝任工作所需。iptables命令可以根據數據流量的源地址、目的地址、傳輸協議、服務類型等等信息項進行匹配，一旦數據包與策略匹配上後，iptables就會根據策略所預設的動作來處理這些數據包流量，另外再來提醒下同學們防火牆策略的匹配順序規則是從上至下的，因此切記要把較為嚴格、優先順序較高的策略放到靠前位置，否則有可能產生錯誤。下表中為讀者們總結歸納了幾乎所有常用的iptables命令參數，劉遄老師遵循《Linux就該這么學》書籍的編寫初衷而設計了大量動手實驗，讓您無需生背硬記這些參數，可以結合下面的實例來逐個參閱即可。

使用iptables命令-L參數查看已有的防火牆策略：

使用iptables命令-F參數清空已有的防火牆策略：

把INPUT鏈的默認策略設置為拒絕：

如前面所提到的防火牆策略設置無非有兩種方式，一種是「通」，一種是「堵」，當把INPUT鏈設置為默認拒絕後，就要往裡面寫入允許策略了，否則所有流入的數據包都會被默認拒絕掉，同學們需要留意規則鏈的默認策略拒絕動作只能是DROP，而不能是REJECT。

向INPUT鏈中添加允許icmp數據包流入的允許策略：

在日常運維工作中經常會使用到ping命令來檢查對方主機是否在線，而向防火牆INPUT鏈中添加一條允許icmp協議數據包流入的策略就是默認允許了這種ping命令檢測行為。

刪除INPUT鏈中的那條策略，並把默認策略還原為允許：

設置INPUT鏈只允許指定網段訪問本機的22埠，拒絕其他所有主機的數據請求流量：

防火牆策略是按照從上至下順序匹配的，因此請一定要記得把允許動作放到拒絕動作上面，否則所有的流量就先被拒絕掉了，任何人都獲取不到咱們的業務。文中提到的22埠是下面第9章節講的ssh服務做佔用的資源，劉遄老師在這里挖個小坑，讀者們稍後學完再回來驗證這個實驗效果吧！

使用IP地址在192.168.10.0/24網段內的主機訪問伺服器的22埠：

使用IP地址在192.168.20.0/24網段外的主機訪問伺服器的22埠：

向INPUT鏈中添加拒絕所有人訪問本機12345埠的防火牆策略：

向INPUT鏈中添加拒絕來自於指定192.168.10.5主機訪問本機80埠（web服務）的防火牆策略：

向INPUT鏈中添加拒絕所有主機不能訪問本機1000至1024埠的防火牆策略：

是不是還意猶未盡？但對於iptables防火牆管理命令的學習到此就可以結束了，考慮到以後防火牆的發展趨勢，同學們只要能把上面的實例看懂看熟就可以完全搞定日常的iptables防火牆配置工作了。但請特別留意下，iptables命令配置的防火牆規則默認會在下一次重啟時失效，所以如果您想讓配置的防火牆策略永久的生效下去，還要執行一下保存命令：

RHEL7是一個集合多款防火牆管理工具並存的系統，Firewalld動態防火牆管理器服務（Dynamic Firewall Manager of Linux systems）是目前默認的防火牆管理工具，同時擁有命令行終端和圖形化界面的配置工具，即使是對Linux命令並不熟悉的同學也能快速入門。相比於傳統的防火牆管理工具還支持了動態更新技術並加入了「zone區域」的概念，簡單來說就是為用戶預先准備了幾套防火牆策略集合（策略模板），然後可以根據生產場景的不同而選擇合適的策略集合，實現了防火牆策略之間的快速切換。例如咱們有一台筆記本電腦每天都要在辦公室、咖啡廳和家裡使用，按常理推斷最安全的應該是家裡的內網，其次是公司辦公室，最後是咖啡廳，如果需要在辦公室內允許文件共享服務的請求流量、回到家中需要允許所有的服務，而在咖啡店則是除了上網外不允許任何其他請求，這樣的需求應該是很常見的，在以前只能頻繁的進行手動設置，而現在只需要預設好zone區域集合，然後輕輕點擊一下就可以切換過去了上百條策略了，極大的提高了防火牆策略的應用效率，常見的zone區域名稱及應用可見下表（默認為public）：

前面第2章學習Linux命令時劉遄老師提到過的，命令行終端是一種極富效率的工作方式，firewall-cmd命令是Firewalld動態防火牆管理器服務的命令行終端。它的參數一般都是以「長格式」來執行的，但同學們也不用太過於擔心，因為紅帽RHEL7系統非常酷的支持了部分命令的參數補齊，也正好包括了這條命令，也就是說現在除了能夠用Tab鍵來補齊命令或文件名等等內容，還可以用Tab鍵來補齊下列長格式參數啦（這點特別的棒）。

與Linux系統中其他的防火牆策略配置工具一樣，使用firewalld配置的防火牆策略默認為運行時（Runtime）模式，又稱為當前生效模式，而且隨著系統的重啟會失效。如果想讓配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常設置防火牆策略時添加--permanent參數，這樣配置的防火牆策略就可以永久生效了。但是，永久生效模式有一個「不近人情」的特點，就是使用它設置的策略只有在系統重啟之後才能自動生效。如果想讓配置的策略立即生效，需要手動執行firewall-cmd --reload命令。

接下來的實驗都很簡單，但是提醒大家一定要仔細查看劉遄老師使用的是Runtime模式還是Permanent模式。如果不關注這個細節，就算是正確配置了防火牆策略，也可能無法達到預期的效果。

查看firewalld服務當前所使用的區域：

查詢eno16777728網卡在firewalld服務中的區域：

把firewalld服務中eno16777728網卡的默認區域修改為external，並在系統重啟後生效。分別查看當前與永久模式下的區域名稱：

把firewalld服務的當前默認區域設置為public：

啟動/關閉firewalld防火牆服務的應急狀況模式，阻斷一切網路連接（當遠程式控制制伺服器時請慎用）：

查詢public區域是否允許請求SSH和HTTPS協議的流量：

把firewalld服務中請求HTTPS協議的流量設置為永久允許，並立即生效：

把firewalld服務中請求HTTP協議的流量設置為永久拒絕，並立即生效：

把在firewalld服務中訪問8080和8081埠的流量策略設置為允許，但僅限當前生效：

把原本訪問本機888埠的流量轉發到22埠，要且求當前和長期均有效：

在客戶端使用ssh命令嘗試訪問192.168.10.10主機的888埠：

firewalld中的富規則表示更細致、更詳細的防火牆策略配置，它可以針對系統服務、埠號、源地址和目標地址等諸多信息進行更有針對性的策略配置。它的優先順序在所有的防火牆策略中也是最高的。比如，我們可以在firewalld服務中配置一條富規則，使其拒絕192.168.10.0/24網段的所有用戶訪問本機的ssh服務（22埠）：

在客戶端使用ssh命令嘗試訪問192.168.10.10主機的ssh服務（22埠）：

在各種版本的Linux系統中，幾乎沒有能讓劉遄老師欣慰並推薦的圖形化工具，但是firewall-config做到了。它是firewalld防火牆配置管理工具的GUI（圖形用戶界面）版本，幾乎可以實現所有以命令行來執行的操作。毫不誇張的說，即使讀者沒有扎實的Linux命令基礎，也完全可以通過它來妥善配置RHEL 7中的防火牆策略。firewall-config的界面如圖8-2所示，其功能具體如下。

劉遄老師再啰嗦幾句。在使用firewall-config工具配置完防火牆策略之後，無須進行二次確認，因為只要有修改內容，它就自動進行保存。下面進行動手實踐環節。

我們先將當前區域中請求http服務的流量設置為允許，但僅限當前生效。具體配置如圖8-3所示。

嘗試添加一條防火牆策略規則，使其放行訪問8080～8088埠（TCP協議）的流量，並將其設置為永久生效，以達到系統重啟後防火牆策略依然生效的目的。在按照圖8-4所示的界面配置完畢之後，還需要在Options菜單中單擊Reload Firewalld命令，讓配置的防火牆策略立即生效（見圖8-5）。這與在命令行中執行--reload參數的效果一樣。

前面在講解firewall-config工具的功能時，曾經提到了SNAT（Source Network Address Translation，源網路地址轉換）技術。SNAT是一種為了解決IP地址匱乏而設計的技術，它可以使得多個內網中的用戶通過同一個外網IP接入Internet。該技術的應用非常廣泛，甚至可以說我們每天都在使用，只不過沒有察覺到罷了。比如，當我們通過家中的網關設備（比如無線路由器）訪問本書配套站點 www.linuxprobe.com 時，就用到了SNAT技術。

大家可以看一下在網路中不使用SNAT技術（見圖8-6）和使用SNAT技術（見圖8-7）時的情況。在圖8-6所示的區域網中有多台PC，如果網關伺服器沒有應用SNAT技術，則互聯網中的網站伺服器在收到PC的請求數據包，並回送響應數據包時，將無法在網路中找到這個私有網路的IP地址，所以PC也就收不到響應數據包了。在圖8-7所示的區域網中，由於網關伺服器應用了SNAT技術，所以互聯網中的網站伺服器會將響應數據包發給網關伺服器，再由後者轉發給區域網中的PC。

使用iptables命令實現SNAT技術是一件很麻煩的事情，但是在firewall-config中卻是小菜一碟了。用戶只需按照圖8-8進行配置，並選中Masquerade zone復選框，就自動開啟了SNAT技術。

為了讓大家直觀查看不同工具在實現相同功能的區別，這里使用firewall-config工具重新演示了前面使用firewall-cmd來配置防火牆策略規則，將本機888埠的流量轉發到22埠，且要求當前和長期均有效，具體如圖8-9和圖8-10所示。

配置富規則，讓192.168.10.20主機訪問到本機的1234埠號，如圖8-11所示。

如果生產環境中的伺服器有多塊網卡在同時提供服務（這種情況很常見），則對內網和對外網提供服務的網卡要選擇的防火牆策略區域也是不一樣的。也就是說，可以把網卡與防火牆策略區域進行綁定（見圖8-12），這樣就可以使用不同的防火牆區域策略，對源自不同網卡的流量進行針對性的監控，效果會更好。

最後，劉遄老師想說的是，firewall-config工具真的非常實用，很多原本復雜的長命令被用圖形化按鈕替代，設置規則也簡單明了，足以應對日常工作。所以再次向大家強調配置防火牆策略的原則—只要能實現所需的功能，用什麼工具請隨君便。

TCP Wrappers是RHEL 7系統中默認啟用的一款流量監控程序，它能夠根據來訪主機的地址與本機的目標服務程序作出允許或拒絕的操作。換句話說，Linux系統中其實有兩個層面的防火牆，第一種是前面講到的基於TCP/IP協議的流量過濾工具，而TCP Wrappers服務則是能允許或禁止Linux系統提供服務的防火牆，從而在更高層面保護了Linux系統的安全運行。

TCP Wrappers服務的防火牆策略由兩個控制列表文件所控制，用戶可以編輯允許控制列表文件來放行對服務的請求流量，也可以編輯拒絕控制列表文件來阻止對服務的請求流量。控制列表文件修改後會立即生效，系統將會先檢查允許控制列表文件（/etc/hosts.allow），如果匹配到相應的允許策略則放行流量；如果沒有匹配，則去進一步匹配拒絕控制列表文件（/etc/hosts.deny），若找到匹配項則拒絕該流量。如果這兩個文件全都沒有匹配到，則默認放行流量。

TCP Wrappers服務的控制列表文件配置起來並不復雜，常用的參數如表4所示。

表4 TCP Wrappers服務的控制列表文件中常用的參數

在配置TCP Wrappers服務時需要遵循兩個原則：

下面編寫拒絕策略規則文件，禁止訪問本機sshd服務的所有流量（無須/etc/hosts.deny文件中修改原有的注釋信息）：

接下來，在允許策略規則文件中添加一條規則，使其放行源自192.168.10.0/24網段，訪問本機sshd服務的所有流量。可以看到，伺服器立刻就放行了訪問sshd服務的流量，效果非常直觀：

⑤ 防火牆默認應添加哪些服務及策略。

從防火牆產品和技術發展來看，分為三種類型：基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。

LAN介面

列出支持的 LAN介面類型：防火牆所能保護的網路類型，如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。

支持的最大 LAN介面數：指防火牆所支持的區域網絡介面數目，也是其能夠保護的不同內網數目。

伺服器平台：防火牆所運行的操作系統平台（如 Linux、UNIX、Win NT、專用安全操作系統等）。

協議支持

支持的非 IP協議：除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協議。

建立 VPN通道的協議： 構建VPN通道所使用的協議，如密鑰分配等，主要分為IPSec，PPTP、專用協議等。

可以在 VPN中使用的協議：在VPN中使用的協議，一般是指TCP/IP協議。

加密支持

支持的 VPN加密標准：VPN中支持的加密演算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密演算法。

除了 VPN之外，加密的其他用途： 加密除用於保護傳輸數據以外，還應用於其他領域，如身份認證、報文完整性認證，密鑰分配等。

提供基於硬體的加密： 是否提供硬體加密方法，硬體加密可以提供更快的加密速度和更高的加密強度。

認證支持

支持的認證類型： 是指防火牆支持的身份認證協議，一般情況下具有一個或多個認證方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網路資源的訪問，防火牆管理員必須決定客戶以何種方式通過認證。

列出支持的認證標准和 CA互操作性：廠商可以選擇自己的認證方案，但應符合相應的國際標准，該項指所支持的標准認證協議，以及實現的認證協議是否與其他CA產品兼容互通。

支持數字證書：是否支持數字證書。

訪問控制

通過防火牆的包內容設置：包過濾防火牆的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火牆的數據包的處理方法，對於沒有明確定義的數據包，應該有一個預設處理方法；過濾規則應易於理解，易於編輯修改；同時應具備一致性檢測機制，防止沖突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議欄位表明封裝協議為ICMP、TCP或UDP，那麼再根據 ICMP頭信息（類型和代碼值）、TCP頭信息（源埠和目的埠）或UDP頭信息（源埠和目的埠）執行過濾，其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。

在應用層提供代理支持：指防火牆是否支持應用層代理，如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接，代為向伺服器發出連接請求，代理伺服器應根據伺服器的應答，決定如何響應客戶端請求，代理服務進程應當連接兩個連接（客戶端與代理服務進程間的連接、代理服務進程與伺服器端的連接）。為確認連接的唯一性與時效性，代理進程應當維護代理連接表或相關資料庫（最小欄位集合），為提供認證和授權，代理進程應當維護一個擴展欄位集合。

在傳輸層提供代理支持：指防火牆是否支持傳輸層代理服務。

允許 FTP命令防止某些類型文件通過防火牆：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如 HTTP、POP3 。

支持網路地址轉換 (NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後，可以隱藏受保護網路的內部結構，在一定程度上提高了網路的安全性。

支持硬體口令、智能卡： 是否支持硬體口令、智能卡等，這是一種比較安全的身份認證技術。

防禦功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的 DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。

提供內容過濾： 是否支持內容過濾，信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制，防火牆控制的結果是：允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防禦的 DoS攻擊類型：拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源，導致伺服器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止 ActiveX、Java、Cookies、Javascript侵入：屬於HTTP內容過濾，防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，並向瀏覽器用戶報警。同時，能夠過濾用戶上載的 CGI、ASP等程序，當發現危險代碼時，向伺服器報警。

安全特性

支持轉發和跟蹤 ICMP協議（ICMP 代理）：是否支持ICMP代理，ICMP為網間控制報文協議。

提供入侵實時警告：提供實時入侵告警功能，當發生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。

提供實時入侵防範：提供實時入侵響應功能，當發生入侵事件時，防火牆能夠動態響應，調整安全策略，阻擋惡意報文。

識別 /記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網路進行攻擊，防火牆應該能夠禁止來自外部網路而源地址是內部IP地址的數據包通過。

管理功能

通過集成策略集中管理多個防火牆：是否支持集中管理，防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆運行狀態的管理，管理員的行為主要包括：通過防火牆的身份鑒別，編寫防火牆的安全規則，配置防火牆的安全參數，查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。

提供基於時間的訪問控制：是否提供基於時間的訪問控制。

支持 SNMP監視和配置：SNMP是簡單網路管理協議的縮寫。

本地管理：是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。

遠程管理：是指管理員通過乙太網或防火牆提供的廣域網介面對防火牆進行管理，管理的通信協議可以基於 FTP、TELNET、HTTP等。

支持帶寬管理：防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。

負載均衡特性：負載均衡可以看成動態的埠映射，它將一個外部地址的某一 TCP或UDP埠映射到一組內部地址的某一埠，負載均衡主要用於將某項服務（如HTTP）分攤到一組內部伺服器上以平衡負載。

失敗恢復特性（ failover)：指支持容錯技術，如雙機熱備份、故障恢復，雙電源備份等。

記錄和報表功能

防火牆處理完整日誌的方法：防火牆規定了對於符合條件的報文做日誌，應該提供日誌信息管理和存儲方法。

提供自動日誌掃描：指防火牆是否具有日誌的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事後分析、亡羊補牢的目的。

提供自動報表、日誌報告書寫器：防火牆實現的一種輸出方式，提供自動報表和日誌報告功能。

警告通知機制：防火牆應提供告警機制，在檢測到入侵網路以及設備運轉異常情況時，通過告警來通知管理員採取必要的措施，包括 E－mail、呼機、手機等。

提供簡要報表（按照用戶 ID或IP 地址）：防火牆實現的一種輸出方式，按要求提供報表分類列印。

提供實時統計：防火牆實現的一種輸出方式，日誌分析後所獲得的智能統計結果，一般是圖表顯示。

列出獲得的國內有關部門許可證類別及號碼：這是防火牆合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。

⑥ 防火牆技術有哪些

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(6)防火牆策略預編譯技術擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

⑦ 如何防範計算機網路攻擊

一、計算機網路攻擊的常見手法

互聯網發展至今，除了它表面的繁榮外，也出現了一些不良現象，其中黑客攻擊是最令廣大網民頭痛的事情，它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。

（一）利用網路系統漏洞進行攻擊

許多網路系統都存在著這樣那樣的漏洞，這些漏洞有可能是系統本身所有的，如WindowsNT、UNIX等都有數量不等的漏洞，也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

對於系統本身的漏洞，可以安裝軟體補丁；另外網管也需要仔細工作，盡量避免因疏橘粗盯忽而使他人有機可乘。

（二）通過電子郵件進行攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對於正常的工作反映緩慢，甚至癱瘓，這一點和後面要講到的「拒絕服務攻擊（DDoS）比較相似。

對於遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟體來解決，其中常見的有SpamEater、Spamkiller等，Outlook等收信軟體同樣也能達到此目的。

（三）解密攻擊

在互聯網上，使用密碼是最常見並且最重要的安全保護方法，用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人，只要有密碼，系統就會認為你是經過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的一重要手法。

取得密碼也還有好幾種方法，一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到伺服器端，而黑客就能在兩端之間進行數據監聽。

但一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用於區域網，一旦成功攻擊者將會得到很大的操作權益。

另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，並且不要以自己的生圓和日和電話甚至用戶名作為密碼，因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息，如生日等，然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼，這樣使其被破解的可能性又下降了不少。

（四）後門軟體攻擊

後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。

這些後門軟體分為伺服器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好伺服器端程序的電腦，這些伺服器端程序都比較小，一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時，後門軟體的伺服器端就安裝完成了，而且大部分後門軟體的重生能力比較強，給用戶進行清除造成一定的麻煩。

當在網上下載數據時，一定要在其運行之前進行病毒掃描，並使用一定的反編譯軟體，查看來源數據是否有其他可疑的應用程序，從而杜絕這些後門軟體。

（五）拒絕服務攻擊

互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包，幾乎佔取該伺服器所有的網路寬頻，從而凳譽使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。

現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件，而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。

對於個人上網用戶而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作，所以大家在上網時一定要安裝好防火牆軟體，同時也可以安裝一些可以隱藏IP地址的程序，怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術

計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境里，信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的，就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。

（一）防火牆的含義

所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。

（二）防火牆的安全性分析

防火牆對網路的安全起到了一定的保護作用，但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究，作者對防火牆的安全性有如下幾點認識：

1．只有正確選用、合理配置防火牆，才能有效發揮其安全防護作用

防火牆作為網路安全的一種防護手段，有多種實現方式。建立合理的防護系統，配置有效的防火牆應遵循這樣四個基本步驟：

a.風險分析；

b.需求分析；

c.確立安全政策；

d.選擇准確的防護手段，並使之與安全政策保持一致。

然而，多數防火牆的設立沒有或很少進行充分的風險分析和需求分析，而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆，這樣的防火牆能否「防火」還是個問題。

2．應正確評估防火牆的失效狀態

評價防火牆性能如何，及能否起到安全防護作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡，而且要看到一旦防火牆被攻破，它的狀態如何? 按級別來分，它應有這樣四種狀態：

a.未受傷害能夠繼續正常工作；

b.關閉並重新啟動，同時恢復到正常工作狀態；

c.關閉並禁止所有的數據通行；

d. 關閉並允許所有的數據通行。

前兩種狀態比較理想，而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證，無法確定其失效狀態等級，因此網路必然存在安全隱患。

3.防火牆必須進行動態維護

防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救(Patch) 產品，此時應盡快確認真偽(防止特洛伊木馬等病毒)，並對防火牆軟體進行更新。

4.目前很難對防火牆進行測試驗證

防火牆能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大，主要原因是：

a.防火牆性能測試目前還是一種很新的技術，尚無正式出版刊物，可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。

b.防火牆測試技術尚不先進，與防火牆設計並非完全吻合，使得測試工作難以達到既定的效果。

c.選擇「誰」進行公正的測試也是一個問題。

可見，防火牆的性能測試決不是一件簡單的事情，但這種測試又相當必要，進而提出這樣一個問題：不進行測試，何以證明防火牆安全？

5.非法攻擊防火牆的基本「招數」

a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面，因此攻擊者無需表明進攻數據包的真正來源，只需偽裝IP地址，取得目標的信任，使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。

b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能，處於失效狀態。

c.防火牆也可能被內部攻擊。因為安裝了防火牆後，隨意訪問被嚴格禁止了， 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息，個別人會對防火牆不滿進而可能攻擊它、破壞它，期望回到從前的狀態。這里，攻擊的目標常常是防火牆或防火牆運行的操作系統，因此不僅涉及網路安全，還涉及主機安全問題。
----------------------------------------------------------------------------
（三）防火牆的基本類型

實現防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。

1.網路級防火牆

一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。

先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網路級防火牆的訪問控制規則：

(1)允許網路123.1.0使用FTP(21口)訪問主機 ；

(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上；

(3)允許任何地址的E-mail(25口)進入主機 ；

(4)允許任何WWW數據（80口）通過；

(5)不允許其他數據包進入。

網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。

2.規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。

當然它也象應用級網關一樣， 可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務機模式來分析應用層的數據， 它允許受信任的客戶機和不受信任的主機建立直接連接。

規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。

如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。

從趨勢上看，未來的防火牆將位於網路級防火牆和應用級防火牆之間，也就是說，網路級防火牆將變得更加能夠識別通過的信息，而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統，可保護數據以加密方式通過，使所有組織可以放心地在節點間傳送數據。

（四）防火牆的配置

防火牆配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間，這個Dual-omedGateway又稱為bastionhost。

這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受「黑客」攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。

Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，並且只接受來自Bastionhost的數據作為出去的數據。

這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網，稱之為」停火區」（DMZ，即DemilitarizedZone）,Bastionhost放置在」停火區」內。這種結構安全性好，只有當兩個安全單元被破壞後，網路才被暴露，但是成本也很昂貴。
----------------------------------------------------------------------------
（四）防火牆的安全措施

各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施：

1.防電子欺騙術

防電子欺騙術功能是保證數據包的IP地址與網關介面相符，防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別，並向網路管理員報警。

2.網路地址轉移

地址轉移是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP定址方式的諸多限制，完善內部定址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。

3.開放式結構設計

開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易，典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。

4.路由器安全管理程序

它為Bay和Cisco的路由器提供集中管理和訪問列表控制。

（六）傳統防火牆的五大不足

1．無法檢測加密的Web流量

如果你正在部署一個光鍵的門戶網站，希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對於傳統的網路防火牆而言，是個大問題。

由於網路防火牆對於加密的SSL流中的數據是不可見的，防火牆無法迅速截獲SSL數據流並對其解密，因此無法阻止應用程序的攻擊，甚至有些網路防火牆，根本就不提供數據解密的功能。

2、普通應用程序加密後，也能輕易躲過防火牆的檢測

網路防火牆無法看到的，不僅僅是SSL加密的數據。對於應用程序加密的數據，同樣也不可見。在如今大多數網路防火牆中，依賴的是靜態的特徵庫，與入侵監測系統（IDS，Intrusion Detect System）的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時，防火牆才能識別和截獲攻擊數據。

但如今，採用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網路安全系統，又能夠在後台伺服器中執行。這種加密後的攻擊代碼，只要與防火牆規則庫中的規則不一樣，就能夠躲過網路防火牆，成功避開特徵匹配。

3、對於Web應用程序，防範能力不足

網路防火牆於1990年發明，而商用的Web伺服器，則在一年以後才面世。基於狀態檢測的防火牆，其設計原理，是基於網路層TCP和IP地址，來設置與加強狀態訪問控制列表（ACLs，Access Control Lists）。在這一方面，網路防火牆表現確實十分出色。

近年來，實際應用過程中，HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商，均已轉移到基於Web的體系結構，安全防護的目標，不再只是重要的業務數據。網路防火牆的防護范圍，發生了變化。

對於常規的企業區域網的防範，通用的網路防火牆仍佔有很高的市場份額，繼續發揮重要作用，但對於新近出現的上層協議，如XML和SOAP等應用的防範，網路防火牆就顯得有些力不從心。

由於體系結構的原因，即使是最先進的網路防火牆，在防範Web應用程序時，由於無法全面控制網路、應用程序和數據流，也無法截獲應用層的攻擊。由於對於整體的應用數據流，缺乏完整的、基於會話（Session）級別的監控能力，因此很難預防新的未知的攻擊。

4、應用防護特性，只適用於簡單情況

目前的數據中心伺服器，時常會發生變動，比如：

★ 定期需要部署新的應用程序；

★ 經常需要增加或更新軟體模塊；

★ QA們經常會發現代碼中的bug，已部署的系統需要定期打補丁。

在這樣動態復雜的環境中，安全專家們需要採用靈活的、粗粒度的方法，實施有效的防護策略。

雖然一些先進的網路防火牆供應商，提出了應用防護的特性，但只適用於簡單的環境中。細看就會發現，對於實際的企業應用來說，這些特徵存在著局限性。在多數情況下，彈性概念（proof-of-concept）的特徵無法應用於現實生活中的數據中心上。

比如，有些防火牆供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的URL中輸入太長數據，試圖使後台服務崩潰或使試圖非法訪問的時候，網路防火牆能夠檢測並制止這種情況。

細看就會發現，這些供應商採用對80埠數據流中，針對URL長度進行控制的方法，來實現這個功能的。

如果使用這個規則，將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁，確實需要涉及到很長的URL時，就要屏蔽該規則。

網路防火牆的體系結構，決定了網路防火牆是針對網路埠和網路層進行操作的，因此很難對應用層進行防護，除非是一些很簡單的應用程序。

5、無法擴展帶深度檢測功能

基於狀態檢測的網路防火牆，如果希望只擴展深度檢測（deep inspection）功能，而沒有相應增加網路性能，這是不行的。

真正的針對所有網路和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面：

★ SSL加密/解密功能；

★ 完全的雙向有效負載檢測；

★ 確保所有合法流量的正常化；

★ 廣泛的協議性能；

這些任務，在基於標准PC硬體上，是無法高效運行的，雖然一些網路防火牆供應商採用的是基於ASIC的平台，但進一步研究，就能發現：舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。

三、結束語

由於互聯網路的開放性和通信協議的安全缺陷，以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點，網上傳輸的數據信息很容易泄露和被破壞，網路受到的安全攻擊非常嚴重，因此建立有效的網。