网络安全郑万波网络安全5

《网络安全郑万波网络安全5》由会员分享，可在线阅读，更多相关《网络安全郑万波网络安全5（151页珍藏版）》请在装配图网上搜索。

1、LOGO第第 5 讲讲LOGO2LOGO3v 防火墙定义防火墙定义 防火墙的本义原是指房屋之间修建的可以防止火灾发防火墙的本义原是指房屋之间修建的可以防止火灾发生时蔓延到别的房屋的墙。多数防火墙里都有一个重生时蔓延到别的房屋的墙。多数防火墙里都有一个重要的门，允许人们进入或离开房屋。即：防火墙在提要的门，允许人们进入或离开房屋。即：防火墙在提供增强安全性的同时允许必要的访问。供增强安全性的同时允许必要的访问。计算机网络安全中的防火墙（计算机网络安全中的防火墙（Firewall）指位于不同）指位于不同网络安全域之间的软件和硬件设备的一系列部件的组网络安全域之间的软件和硬件设备的一系列部件的组合合

2、,做为不同网络安全域之间通信流的唯一通道，根做为不同网络安全域之间通信流的唯一通道，根据用户的有关安全策略控制进出不同网络安全域的访据用户的有关安全策略控制进出不同网络安全域的访问。问。LOGO网络安全 第7讲 保密通信（一）v 防火墙定义防火墙定义 William Cheswick和和Steve Beilovin（1994）：防火墙是放置在）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙双向通信信息必须通过防火墙 防火墙本身

3、不会影响信息的流通防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。传统防火墙概念特指网络层实现LOGO5防火墙系统模型防火墙系统模型 DMZ即隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问即隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这内部网络服务器的问题，而设立的一个非安全系统与安全系统

4、之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如内可以放置一些必须公开的服务器设施，如Web服务器、服务器、FTP服务器和论坛等。服务器和论坛等。LOGO6LOGO7v 防火墙本身必须具有很强的抗攻击能力，以确保其自身的防火墙本身必须具有很强的抗攻击能力，以确保其自身的安全性。简单的防火墙可以只用路由器实现，复杂的可以安全性。简单的防火墙可以只用路由器实现，复杂的可以用主机、专用硬件设备及软件甚至一个子网来实现。用主机、专用硬件设备及软件甚至一个子网

5、来实现。通常意义上讲的硬防火墙为硬件防火墙，它是通过专用硬件和专通常意义上讲的硬防火墙为硬件防火墙，它是通过专用硬件和专用软件的结合来达到隔离内、外部网络的目的，价格较贵，但效用软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现。果较好，一般小型企业和个人很难实现。软件防火墙是通过软件的方式来达到，价格便宜，但这类防火墙软件防火墙是通过软件的方式来达到，价格便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。只能通过一定的规则来达到限制一些非法用户访问内部网的目的。防火墙安装和投入使用后，要想充分发挥它的安全防护作用，必防火墙安装和

6、投入使用后，要想充分发挥它的安全防护作用，必须对它进行跟踪和动态维护，并及时对防火墙进行更新。须对它进行跟踪和动态维护，并及时对防火墙进行更新。LOGO8v防火墙的目的和功能防火墙的目的和功能 防火墙负责管理风险区域网络和安全区域网络防火墙负责管理风险区域网络和安全区域网络之间的访问。在没有防火墙时，内部网络上的之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给风险区域上的其他计算机，每个节点都暴露给风险区域上的其他计算机，内部网络极易受到攻击，内部网络的安全性要内部网络极易受到攻击，内部网络的安全性要由每台计算机来决定，并且由每台计算机来决定，并且整个内部网络的安整个内部网络的安全性等

7、于其中防护能力最弱的系统全性等于其中防护能力最弱的系统。可以把防。可以把防火墙想像成门卫，所有进入的消息和发出的消火墙想像成门卫，所有进入的消息和发出的消息都会被仔细检查以严格遵守选定的安全标准。息都会被仔细检查以严格遵守选定的安全标准。因此，对于连接到互联网的内部网络，一定要因此，对于连接到互联网的内部网络，一定要选用适当的防火墙。选用适当的防火墙。LOGO9v 应用防火墙的目的应用防火墙的目的1.所有内部网络与外部网络的信息交流必须经过所有内部网络与外部网络的信息交流必须经过防火墙。防火墙。2.确保内部网向外部网的全功能互联。确保内部网向外部网的全功能互联。3.防止入侵者接近防御设施，限制

8、进入受保护网防止入侵者接近防御设施，限制进入受保护网络，保护内部网络的安全。络，保护内部网络的安全。4.只有按本地的安全策略被授权的信息才允许通只有按本地的安全策略被授权的信息才允许通过。过。5.防火墙本身具有防止被穿透的能力，防火墙本防火墙本身具有防止被穿透的能力，防火墙本身不受各种攻击的影响。身不受各种攻击的影响。6.为监视网络安全提供方便。为监视网络安全提供方便。LOGO10 防火墙已成为控制网络系统访问的非常流行的防火墙已成为控制网络系统访问的非常流行的方法，事实上在方法，事实上在Internet上的很多网站都是由上的很多网站都是由某种形式的防火墙加以保护的，某种形式的防火墙加以保护的

9、，任何关键性的任何关键性的服务器，都建议放在防火墙之后服务器，都建议放在防火墙之后。LOGO11v 防火墙基本功能防火墙基本功能防火墙是网络安全政策的有机组成部分，通过防火墙是网络安全政策的有机组成部分，通过控制和监测网络之间的信息交换和访问行为来控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。从总体上看，防火墙应要信息流到外部网络。从总体上看，防火墙应具有以下五大基本功能。具有以下五大基本功能。1.过滤进、出内部网络的数据

10、。过滤进、出内部网络的数据。2.管理进、出内部网络的访问行为。管理进、出内部网络的访问行为。3.封堵某些禁止的业务。封堵某些禁止的业务。4.记录通过防火墙的信息内容和活动。记录通过防火墙的信息内容和活动。5.对网络攻击进行检测和报警。对网络攻击进行检测和报警。LOGO126.除此以外，有的防火墙还根据需求包括其他除此以外，有的防火墙还根据需求包括其他的功能，如网络地址转换功能的功能，如网络地址转换功能(NAT)、双重、双重DNS（双重（双重DNS，即对外解析成公网地址，即对外解析成公网地址，对内解析成内网地址。）、虚拟专用网络对内解析成内网地址。）、虚拟专用网络(VPN)、扫毒功能、负载均衡和

11、计费等功能。、扫毒功能、负载均衡和计费等功能。为实现以上功能，在防火墙产品的开发为实现以上功能，在防火墙产品的开发中，广泛地应用网络拓扑技术、计算机中，广泛地应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、操作系统技术、路由技术、加密技术、访问控制技术以及安全审计技术等。访问控制技术以及安全审计技术等。LOGO13v防火墙的局限性防火墙的局限性通常，认为防火墙可以保护处于它身后的内部网络不通常，认为防火墙可以保护处于它身后的内部网络不受外界的侵袭和干扰，但随着网络技术的发展，网络受外界的侵袭和干扰，但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以结构日趋复杂，

12、传统防火墙在使用的过程中暴露出以下的不足和弱点。下的不足和弱点。1.防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。传统的防火墙在工作时，入侵者可以据，防火墙无法检查。传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。2.防火墙不能防止来自网络内部的攻击和安全问题。网络攻击防火墙不能防止来自网络内部的攻击和安全问题。网络攻击中有相当一部分攻击来自网络内部，对于来自企业内部的员中有相当一部分攻击来自网络内部，对于来自企业内部的员工来说，防火

13、墙形同虚设。防火墙可以设计为既防外也防内，工来说，防火墙形同虚设。防火墙可以设计为既防外也防内，但绝大多数单位因为不方便，不要求防火墙防内。但绝大多数单位因为不方便，不要求防火墙防内。LOGO143.由于防火墙性能上的限制，因此它通常不具备实时监由于防火墙性能上的限制，因此它通常不具备实时监控入侵的能力。控入侵的能力。4.防火墙不能防止策略配置不当或错误配置引起的安全防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作门卫一样，要根据政策规定来执行安全，而不能自作

14、主张。主张。5.防火墙不能防止受病毒感染的文件的传输。防火墙本防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。病毒的软件，也没有一种软件可以查杀所有的病毒。6.防火墙不能防止利用服务器系统和网络协议漏洞所进防火墙不能防止利用服务器系统和网络协议漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。器的漏洞进行攻击，防火墙不能防止。LOGO157.防火墙不能防止数据驱动式的攻击。当有

15、些表面看来无害的数据防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。（式的攻击。（数据驱动攻击数据驱动攻击是通过向某个程序发送数据，以产生是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、输入验证攻击、同步漏洞攻击、据驱动攻击分为缓冲区溢出攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。信任漏洞攻击等。）8.防火墙不能防止内部的泄密行为。防火

16、墙内部的一个合法用户主防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。动泄密，防火墙是无能为力的。9.防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。洞。因此对防火墙也必须提供某种安全保护。LOGO16 由于防火墙的局限性，因此仅在内部网络入由于防火墙的局限性，因此仅在内部网络入口处设置防火墙系统不能有效地保护计算机口处设置防火墙系统不能有效地保

17、护计算机网络的安全。而入侵检测系统网络的安全。而入侵检测系统(Intrusion Detection System：IDS)可以弥补防火墙的可以弥补防火墙的不足，它为网络提供实时的监控，并且在发不足，它为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。现入侵的初期采取相应的防护手段。IDS系统系统作为必要附加手段，已经为大多数组织机构作为必要附加手段，已经为大多数组织机构的安全构架所接受。的安全构架所接受。LOGO防火墙的设计策略防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的防火墙一般执行以下两种基本设计策略中的一种。一种。（1）除非明确不允许，否则允许某种服务。）除非明

18、确不允许，否则允许某种服务。（2）除非明确允许，否则将禁止某种服务。）除非明确允许，否则将禁止某种服务。LOGO防火墙的安全策略防火墙的安全策略 研制和开发一个有效的防火墙，首先要设计和研制和开发一个有效的防火墙，首先要设计和制定一个有效的安全策略。安全策略应包含以下主制定一个有效的安全策略。安全策略应包含以下主要内容：要内容：（1 1）用户账号策略；）用户账号策略；（2 2）用户权限策略；）用户权限策略；（3 3）信任关系策略；）信任关系策略；（4 4）包过虑策略；）包过虑策略；（5 5）认证策略；）认证策略；（6 6）签名策略；）签名策略；（7 7）数据加密策略；）数据加密策略；（8 8）

19、密钥分配策略；）密钥分配策略；（9 9）审计策略。）审计策略。LOGO1用户账号策略用户账号策略2用户权限策略用户权限策略3信任关系策略信任关系策略单向信任关系单向信任关系 双向信任关系双向信任关系 LOGO多重信任关系多重信任关系LOGO4包过虑策略包过虑策略这里主要从以下几个方面来讨论包过滤策略：这里主要从以下几个方面来讨论包过滤策略：包过滤控制点；包过滤控制点；包过滤操作过程；包过滤操作过程；包过滤规则；包过滤规则；防止两类不安全设计的措施；防止两类不安全设计的措施；对特定协议包的过滤。对特定协议包的过滤。LOGO5认证、签名和数据加密策略认证、签名和数据加密策略6密钥分配策略密钥分配策

20、略7审计策略审计策略审计是用来记录如下事件：审计是用来记录如下事件：（1）哪个用户访问哪个对象；）哪个用户访问哪个对象；（2）用户的访问类型；）用户的访问类型；（3）访问过程是否成功。）访问过程是否成功。LOGO23LOGOv组成组件：硬件防火墙、软件防火墙、芯片防火墙v实现平台：windows、linux、unixv保护对象：主机防火墙、网络防火墙v网络性能：百兆防火墙、千兆防火墙v功能和技术：主机防火墙、病毒防火墙、智能防火墙v体系结构：包过滤防火墙、应用层代理、电路级网关、地址翻译防火墙、状态防火墙24LOGO25v按组成结构分类：按组成结构分类：目目前普遍应用的防火墙前普遍应用的防火墙

21、按组成结构可分为以下三种。按组成结构可分为以下三种。软件防火墙：网络版的软件防火墙运行于特定软件防火墙：网络版的软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整操作系统的支持，一般来说这台计算机就是整个内部网络的网关。软件防火墙就像其他的软个内部网络的网关。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置件产品一样需要先在计算机上安装并做好配置才可以使用。才可以使用。LOGO26 硬件防火墙：这里说的硬件防火墙是针对芯片硬件防火墙：这里说的硬件防火墙是针对芯片级防火墙来说的。它们最大的差别

22、在于是否基级防火墙来说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于都是这种所谓的硬件防火墙，它们都基于PC架构，就是说，它们和普通的家庭用的架构，就是说，它们和普通的家庭用的PC没没有太大区别。在这些有太大区别。在这些PC架构计算机上运行一架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和和FreeBSD系统。系统。LOGO27 芯片级防火墙：基于专门的硬件平台，核芯片级防火墙：基于专门的硬件平台，核心部分就是心部分就是ASIC芯

23、片，所有的功能都集芯片，所有的功能都集成做在芯片上。专有的成做在芯片上。专有的ASIC芯片促使它芯片促使它们比其他种类的防火墙速度更快，处理能们比其他种类的防火墙速度更快，处理能力更强，性能更高。力更强，性能更高。LOGO28v三种类型防火墙比较三种类型防火墙比较 由于软件防火墙和硬件防火墙的结构是运行于由于软件防火墙和硬件防火墙的结构是运行于一定的操作系统之上，就决定了它的功能是可一定的操作系统之上，就决定了它的功能是可以随着客户的实际需要而做相应调整的，这一以随着客户的实际需要而做相应调整的，这一点比较灵活。从性能上来说，多添加一个扩展点比较灵活。从性能上来说，多添加一个扩展功能就会对防火

24、墙处理数据的性能产生影响，功能就会对防火墙处理数据的性能产生影响，添加的扩展功能越多，防火墙的性能就下降的添加的扩展功能越多，防火墙的性能就下降的越快。越快。LOGO29 软件防火墙和硬件防火墙的安全性很大程度软件防火墙和硬件防火墙的安全性很大程度上决定于操作系统自身的安全性。无论是上决定于操作系统自身的安全性。无论是UNIX、Linux还是还是FreeBSD系统，都或多或系统，都或多或少存在漏洞，一旦被人取得了控制权，将可少存在漏洞，一旦被人取得了控制权，将可以随意修改防火墙上的策略和访问权限，进以随意修改防火墙上的策略和访问权限，进入内网进行任意破坏，将危及整个内网的安入内网进行任意破坏，

25、将危及整个内网的安全。芯片级防火墙不存在这个问题，自身有全。芯片级防火墙不存在这个问题，自身有很好的安全保护，所以较其他类型的防火墙很好的安全保护，所以较其他类型的防火墙安全性高一些。安全性高一些。LOGO30 芯片级防火墙专有的芯片级防火墙专有的ASIC芯片，促使它们比其芯片，促使它们比其他种类的防火墙速度更快，处理能力更强。专用他种类的防火墙速度更快，处理能力更强。专用硬件和软件的结合提供了线速处理、深层次信息硬件和软件的结合提供了线速处理、深层次信息包检查、坚固的加密、复杂内容和行为扫描功能包检查、坚固的加密、复杂内容和行为扫描功能的优化等，不会在网络流量的处理上出现瓶颈。的优化等，不会

26、在网络流量的处理上出现瓶颈。采用采用PC架构的硬件防火墙技术在百兆防火墙上架构的硬件防火墙技术在百兆防火墙上取得了很大的成功，但由于取得了很大的成功，但由于CPU处理能力和处理能力和PCI总线速度的制约，在实际应用中，尤其在小包情总线速度的制约，在实际应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的况下，这种结构的千兆防火墙远远达不到千兆的转发速度，难以满足千兆骨干网络的应用要求。转发速度，难以满足千兆骨干网络的应用要求。目前使用芯片级防火墙技术成为实现千兆防火墙目前使用芯片级防火墙技术成为实现千兆防火墙的主要选择。的主要选择。LOGO31v按采用技术分类：按采用技术分类：常见防

27、火墙按采用常见防火墙按采用的技术分类主要有包过滤防火墙、代的技术分类主要有包过滤防火墙、代理防火墙和状态监测防火墙，每种防理防火墙和状态监测防火墙，每种防火墙都有各自的优缺点。火墙都有各自的优缺点。LOGO32v 包过滤防火墙包过滤防火墙 包过滤（包过滤（Packet Filtering）是第一代防火墙技）是第一代防火墙技术。其技术依据是网络中的分包传输技术，它术。其技术依据是网络中的分包传输技术，它工作在工作在OSI模型的网络层。网络上的数据都是模型的网络层。网络上的数据都是以以“包包”为单位进行传输的，数据被分割成为为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一

28、定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的一些特定信息，如数据的IP源地址、源地址、IP目标地目标地址、封装协议址、封装协议(TCP、UDP、ICMP等等)、TCP/UDP源端口和目标端口等。源端口和目标端口等。LOGO33 包过滤操作通常在选择路由的同时对数据包进包过滤操作通常在选择路由的同时对数据包进行过滤行过滤(通常是对从外部网络到内部网络的包进通常是对从外部网络到内部网络的包进行过滤行过滤)。包过滤这个操作可以在路由器上进行，。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。也可以在网桥，甚至在一个单独的主机上进行。传统的包过滤只是与规则表

29、进行匹配。防火墙传统的包过滤只是与规则表进行匹配。防火墙的的IP包过滤，主要是根据一个有固定排序的规包过滤，主要是根据一个有固定排序的规则链过滤，其中的每个规则包含着则链过滤，其中的每个规则包含着IP地址、端地址、端口、传输方向、分包、协议等多项内容。同时，口、传输方向、分包、协议等多项内容。同时，一般防火墙的包过滤的过滤规则是在启动时配一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态置好的，只有系统管理员才可以修改，是静态存在的，称为静态过滤规则。存在的，称为静态过滤规则。LOGO34 有些防火墙采用了基于连接状态的检查，将属有些防火墙采用了基于连接状态的检查

30、，将属于同一连接的所有包作为一个整体的数据流看于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行待，通过规则表与连接状态表的共同配合进行检查，称为动态过滤规则。检查，称为动态过滤规则。包过滤类型的防火墙要遵循的一条基本原则是包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则最小特权原则”，即明确允许管理员指定希，即明确允许管理员指定希望通过的数据包，而禁止其他的数据包。望通过的数据包，而禁止其他的数据包。LOGO包过滤模型包过滤模型 LOGO包过滤一般要检查下面几项：包过滤一般要检查下面几项：（1 1）IPIP源地址；源地址；（2 2）IPIP目的地址；目的地

31、址；（3 3）协议类型（）协议类型（TCPTCP包、包、UDPUDP包和包和ICMPICMP包）；包）；（4 4）TCPTCP或或UDPUDP的源端口；的源端口；（5 5）TCPTCP或或UDPUDP的目的端口；的目的端口；（6 6）ICMPICMP消息类型；消息类型；（7 7）TCPTCP报头中的报头中的ACKACK位。位。另外，另外，TCPTCP的序列号、确认号，的序列号、确认号，IPIP校验以及分段校验以及分段偏移也往往是要检查的选项。偏移也往往是要检查的选项。LOGO 在决定包过滤防火墙是否返回在决定包过滤防火墙是否返回ICMP错误代码错误代码时，应考虑以下几点。时，应考虑以下几点。防

32、火墙应该发送什么消息。防火墙应该发送什么消息。是否负担得起生成和返回错误代码的高额费用。是否负担得起生成和返回错误代码的高额费用。返回错误代码能使得侵袭者得到很多有关你发送返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。的数据包过滤信息。什么错误代码对你的网站有意义。什么错误代码对你的网站有意义。LOGOv 一个可靠的分组过滤防火墙依赖于规则集v 第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10

33、.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.120102323任意拒绝B入202.108.5.6116.111.4.0TCP231023是任意C出116.111.4.0任意TCP102323任意允许D入任意116.111.4.0TCP231023是允许E出116.111.4.1任意TCP102325任意允许F入任意116.111.4.1TCP251023是允许G入任意116.111.4.1TCP102325任意允许H出116.111.4

34、.1任意TCP251023任意允许I出116.111.4.0任意TCP102380任意允许J入任意116.111.4.0TCP801023是允许K入98.120.7.0116.111.4.5TCP102380任意允许L出116.111.4.598.120.7.0TCP801023任意允许M双向任意任意任意任意禁止41LOGOv 规则A、B用来阻止你的内部主机以Telnet服务形式联接到站202.108.5.6，规则C、D允许你的内部主机以Telnet方式访问Internet上的任何主机。这似乎和我们的政策发生了矛盾，但事实上并部矛盾。在前面提到过规则的次序是十分重要的，而且防火墙实施规则的特点

35、是当防火墙找到匹配的规则后就不再向下应用其他的规则，所以当内部网主机访问站点202.108.5.6，并试图通过Telnet建立联接时，这个联接请求会被规则A阻塞，因为规则A正好与之相匹配。至于规则B，实际上并非毫无用处，规则B用来限制站点202.108.5.6 Telnet服务的返回包。事实上，内部主机试图建立Telnet联接时就会被阻塞，一般不会存在返回包，但高明的用户也可能想出办法使联接成功，那时B规则也会有用，总之，有些冗余对安全是有好处的。当用户以Telnet方式访问除202.105.5.6之外的其他站点时，规则A、B不匹配，所以应用C、D规则，内部主机被允许建立联接，返回包也被允许入

36、站。v 规则E、F用于允许出站的SMTP服务，规则G、H用于允许入站的SMTP服务，SMTP服务的端口是25。v I和J规则用于允许出站的WWW服务，K、L规则用于允许网络95.120.7.0的主机访问你的网络WWW服务器。v 规则M是默认项，它实现的准则是“没有明确允许就表示禁止”。42LOGO43 包过滤防火墙的优点包过滤防火墙的优点 一个包过滤防火墙能协助保护整个网络一个包过滤防火墙能协助保护整个网络。一个单个。一个单个的、恰当放置的包过滤防火墙有助于保护整个网络，的、恰当放置的包过滤防火墙有助于保护整个网络，这是数据包过滤的主要优点。这是数据包过滤的主要优点。数据包过滤对用户透明。数据

37、包过滤不要求任何自数据包过滤对用户透明。数据包过滤不要求任何自定义软件或者客户机配置，也不要求用户任何特殊定义软件或者客户机配置，也不要求用户任何特殊的训练或者操作。当数据包过滤防火墙决定让数据的训练或者操作。当数据包过滤防火墙决定让数据包通过时，它与普通路由器没什么区别。较强的包通过时，它与普通路由器没什么区别。较强的“透明度透明度”是包过滤的一大优势。是包过滤的一大优势。LOGO44 速度快、效率高。包过滤防火墙只检查报头速度快、效率高。包过滤防火墙只检查报头相应的字段，一般不查看数据报的内容，而相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，故其且某些核心部分是由

38、专用硬件实现的，故其转发速度快、效率较高。转发速度快、效率较高。价格较低。相对于其他类型的防火墙，包过价格较低。相对于其他类型的防火墙，包过滤防火墙的价格较低。滤防火墙的价格较低。LOGO45 包过滤防火墙的缺点包过滤防火墙的缺点 不能彻底防止地址欺骗。大多数包过滤防火墙都是基不能彻底防止地址欺骗。大多数包过滤防火墙都是基于源于源IP地址、目的地址、目的IP地址而进行过滤的。而地址而进行过滤的。而IP地址的地址的伪造是很容易、很普遍的。包过滤防火墙在这点上大伪造是很容易、很普遍的。包过滤防火墙在这点上大都无能为力。即使按都无能为力。即使按MAC地址进行绑定，也是不可信地址进行绑定，也是不可信的

39、。对于一些安全性要求较高的网络，包过滤防火墙的。对于一些安全性要求较高的网络，包过滤防火墙是不能胜任的。是不能胜任的。一些应用协议不适合于数据包过滤。如一些应用协议不适合于数据包过滤。如RPC、X-Window等。等。LOGO46 无法执行某些安全策略。包过滤防火墙上的信息不能完无法执行某些安全策略。包过滤防火墙上的信息不能完全满足用户对安全策略的需求。例如，对于数据包的来全满足用户对安全策略的需求。例如，对于数据包的来源，包过滤防火墙只能限制主机而不能限制用户；对于源，包过滤防火墙只能限制主机而不能限制用户；对于数据包的去向，包过滤防火墙不能通过端口号对高级协数据包的去向，包过滤防火墙不能通

40、过端口号对高级协议强行限制。议强行限制。数据包过滤工具存在很多局限性。如数据包过滤规则难数据包过滤工具存在很多局限性。如数据包过滤规则难以配置、过滤规则冗长而复杂不易理解和管理、规则的以配置、过滤规则冗长而复杂不易理解和管理、规则的正确性测试困难、随过滤数目的增加防火墙性能下降、正确性测试困难、随过滤数目的增加防火墙性能下降、没有用户的使用记录以及无黑客的攻击记录。没有用户的使用记录以及无黑客的攻击记录。LOGO47v包过滤防火墙技术虽然能确保一定的安包过滤防火墙技术虽然能确保一定的安全保护，且也有许多优点，但是包过滤全保护，且也有许多优点，但是包过滤防火墙技术，本身存在较多缺陷，不能防火墙技

41、术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，现提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解在很少把包过滤技术当作单独的安全解决方案，而是把它与其他防火墙技术揉决方案，而是把它与其他防火墙技术揉合在一起使用。合在一起使用。LOGO48v代理防火墙：代理防火墙：代理防火墙是一种较新型的防代理防火墙是一种较新型的防火墙技术，它分为应用层网关防火墙和电路火墙技术，它分为应用层网关防火墙和电路层网关防火墙。层网关防火墙。代理防火墙通过编程来弄清用户应用层的流量，代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。并能在用户层和应用协议层提

42、供访问控制。代理防火墙记录所有应用程序的访问情况，记代理防火墙记录所有应用程序的访问情况，记录和控制所有进出流量的能力是代理防火墙的录和控制所有进出流量的能力是代理防火墙的主要优点之一。代理防火墙一般是运行代理服主要优点之一。代理防火墙一般是运行代理服务器的主机。务器的主机。LOGO49 代理服务器指代表客户处理与服务器连接的请代理服务器指代表客户处理与服务器连接的请求的程序。当代理服务器接收到用户对某站点求的程序。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规则，如的访问请求后会检查该请求是否符合规则，如果规则允许用户访问该站点的话，代理服务器果规则允许用户访问该站点的话，

43、代理服务器会像一个客户一样去那个站点取回所需信息再会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储着用户经常访问的站点内缓存，这个缓存存储着用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。容发出即可，既节约了时间也节约了网络资源。LOGO50 代理服务器通常运行在两个网络之间，它对于代理服务器通常运行在两个网络之间，它对于客户来说像是

44、一台服务器，而对于外界的服务客户来说像是一台服务器，而对于外界的服务器来说，它又是一台客户机。器来说，它又是一台客户机。工作原理如图所示。工作原理如图所示。LOGO51真实服务器外部响应转发请求应用层代理服务代理服务器请求转发响应I真实的客户端应用协议分析代理客户InternetIntranet代理的工作方式代理的工作方式LOGO52v应用层网关型防火墙应用层网关型防火墙(应用级代理应用级代理)应用层网关防火墙也就是传统的代理型防火墙。应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在应用层网关型防火墙工作在OSI模型的应用层，模型的应用层，且针对特定的应用层协议。它的核心技术

45、就是代且针对特定的应用层协议。它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专理服务器技术，它是基于软件的，通常安装在专用的服务器或工作站系统上。它适用于特定的互用的服务器或工作站系统上。它适用于特定的互联网服务，如超文本传输联网服务，如超文本传输(HTTP)和远程文件传和远程文件传输输(FTP)等。应用级网关比单一的包过滤更为可等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。靠，而且会详细地记录所有的访问状态信息。LOGO1 1应用级代理应用级代理 应用级代理有两种情况，一种是内部网通过代应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是

46、，外部网通过代理访理访问外部网。另一种情况是，外部网通过代理访问内部网。问内部网。代理使得网络管理员能够实现比包过滤路由器代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。验以确保数据格式可以接受。LOGOTelnet代理服务代理服务LOGO Internet客户通过代理服务器访问内部网主机客户通过代理服务器访问内部网主机LOGO56 但是应用级网关也存在一些不足之处，首先它会但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网使访问速度变慢，因为它不允许用户

47、直接访问网络，而且应用级网关需要对每一个特定的互联网络，而且应用级网关需要对每一个特定的互联网服务安装相应的代理服务软件，用户不能使用未服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊被服务器支持的服务，对每一类服务要使用特殊的客户端软件，并且不是所有的互联网应用软件的客户端软件，并且不是所有的互联网应用软件都可以使用代理服务器。都可以使用代理服务器。LOGO57 应用层网关允许网络管理员实施一个较包过滤应用层网关允许网络管理员实施一个较包过滤更为严格的安全策略，为每一个期望的应用服更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码务在其网关

48、上安装专用的代码(一个代理服务一个代理服务)，同时，代理代码也可以配置成支持一个应用服同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。户直接登录到应用层网关。应用层网关安全性的提高是以购买网关硬件平应用层网关安全性的提高是以购买网关硬件平台的费用为代价的。台的费用为代价的。LOGO58 应用层网关的好处在于代理服务限制了命令应用层网关的好处在于代理服务限制了命令集合和内部主机支持的服务。它授予网络管集合和内部主机支持的服

49、务。它授予网络管理员对每一个服务的完全控制权。另外，应理员对每一个服务的完全控制权。另外，应用层网关安全性较好，支持强用户认证、提用层网关安全性较好，支持强用户认证、提供详细的日志信息以及较包过滤更易于配置供详细的日志信息以及较包过滤更易于配置和测试的过滤规则。和测试的过滤规则。应用层网关的最大的局限性在于它需要在访应用层网关的最大的局限性在于它需要在访问代理服务的系统上安装特殊的软件，此外问代理服务的系统上安装特殊的软件，此外速度相对比较慢。速度相对比较慢。LOGO59v电路层网关防火墙：另一种类型的代电路层网关防火墙：另一种类型的代理技术称为电路层网关或理技术称为电路层网关或TCP通道。通

50、道。在电路层网关中，包被提交用户应用在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信层处理。电路层网关用来在两个通信的终点之间转换包。的终点之间转换包。LOGO60 电路层网关工作在会话层。在两主机首次建立电路层网关工作在会话层。在两主机首次建立TCP连接时创立一个电子屏障。它作为服务器接连接时创立一个电子屏障。它作为服务器接收外来请求，并转发请求，与被保护的主机连接收外来请求，并转发请求，与被保护的主机连接时则担当客户机角色，起代理服务的作用。它监时则担当客户机角色，起代理服务的作用。它监视两主机建立连接时的握手信息是否合乎逻辑，视两主机建立连接时的握手信息是否合乎逻辑，信号

51、有效后网关仅复制、传递数据，而不进行过信号有效后网关仅复制、传递数据，而不进行过滤。电路层网关中特殊的客户程序只在初次连接滤。电路层网关中特殊的客户程序只在初次连接时进行安全协商控制，其后透明。只有懂得如何时进行安全协商控制，其后透明。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一与该电路网关通信的客户机才能到达防火墙另一边的服务器。边的服务器。LOGO61 电路层网关防火墙的特点是将所有跨越防火墙电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机的网络通信链路分为两段。防火墙内外计算机系统间应用层的系统间应用层的“链接链接”，由两个终止代理服，由两个终止

52、代理服务器上的务器上的“链接链接”来实现，外部计算机的网络来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。员发出警报，并保留攻击痕迹。LOGO62 电路层网关常用于向外连接，这时网络管理员电路层网关常用于向外连接，这时网络管理员对其内部用户是信任的。电路层网关防火墙可对其内部

53、用户是信任的。电路层网关防火墙可以被设置成混合网关，对内连接支持应用层或以被设置成混合网关，对内连接支持应用层或代理服务，而对外连接支持电路层功能。这样代理服务，而对外连接支持电路层功能。这样使得防火墙系统对于要访问使得防火墙系统对于要访问Internet服务的内服务的内部用户来说使用起来很方便，由于连接似乎是部用户来说使用起来很方便，由于连接似乎是起源于防火墙，因而可以隐藏受保护网络的有起源于防火墙，因而可以隐藏受保护网络的有关信息，又能提供保护内部网络免于外部攻击关信息，又能提供保护内部网络免于外部攻击的防火墙功能。的防火墙功能。LOGO电路级网关电路级网关 LOGO Socks服务器服务

54、器 Socks是一种非常强大的电路级网关防火墙，它只是一种非常强大的电路级网关防火墙，它只中继基于中继基于TCP的数据包的数据包LOGO65v 代理技术的优点：代理技术的优点：1.代理易于配置。因为代理是一个软件，所以它较代理易于配置。因为代理是一个软件，所以它较包过滤更易配置，配置界面十分友好。如果代理包过滤更易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免实现得好，可以对配置协议要求较低，从而避免了配置错误。了配置错误。2.代理能生成各项记录。因为代理工作在应用层，代理能生成各项记录。因为代理工作在应用层，它检查各项数据，所以可以按一定准则，让代理它检查各项数据

55、，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量生成各项日志、记录。这些日志、记录对于流量分析和安全检验是十分重要和宝贵的。当然，也分析和安全检验是十分重要和宝贵的。当然，也可以用于记费等应用。可以用于记费等应用。LOGO663.代理能灵活、完全地控制进出流量和内容。代理能灵活、完全地控制进出流量和内容。通过采取一定的措施，按照一定的规则，可通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，比如可以借助代理实现一整套的安全策略，比如可说控制说控制“谁谁”、“什么什么”、“时间时间”、“地地点点”。4.代理能过滤数据内容。可以把一些过滤规则代理能过滤数据

56、内容。可以把一些过滤规则应用于代理，让它在高层实现过滤功能，例应用于代理，让它在高层实现过滤功能，例如文本过滤、图像过滤如文本过滤、图像过滤(目前还未实现，但这目前还未实现，但这是一个热点研究领域是一个热点研究领域)，预防病毒或扫描病毒，预防病毒或扫描病毒等。等。LOGO675.代理能为用户提供透明的加密机制。用户通过代理进代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加解密的功能，从而方便用出数据，可以让代理完成加解密的功能，从而方便用户，确保数据的机密性。这点在虚拟专用网中特别重户，确保数据的机密性。这点在虚拟专用网中特别重要。代理可以广泛地用于企业外部网中，提供较高

57、安要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。全性的数据通信。6.代理可以方便地与其他安全手段集成。目前的安全问代理可以方便地与其他安全手段集成。目前的安全问题解决方案很多，如认证、授权、账号、数据加密和题解决方案很多，如认证、授权、账号、数据加密和安全协议等。如果把代理与这些手段联合使用，将大安全协议等。如果把代理与这些手段联合使用，将大大增加网络安全性。这也是近期网络安全的发展方向。大增加网络安全性。这也是近期网络安全的发展方向。LOGO68代理技术的缺点代理技术的缺点1.代理速度较包过滤慢。包过滤只是简单查看代理速度较包过滤慢。包过滤只是简单查看TCP/IP报报头，检查

58、特定的几个域，不作详细分析和记录。而代头，检查特定的几个域，不作详细分析和记录。而代理工作于应用层，要检查数据包的内容，按特定的应理工作于应用层，要检查数据包的内容，按特定的应用协议用协议(如如HTTP)进行审查、扫描数据包内容，并进行进行审查、扫描数据包内容，并进行代理代理(转发请求或响应转发请求或响应)，故其速度较慢。，故其速度较慢。2.代理对用户不透明。许多代理要求客户端作相应改动代理对用户不透明。许多代理要求客户端作相应改动或安装定制客户端软件，这给用户增加了不透明度。或安装定制客户端软件，这给用户增加了不透明度。为庞大的互异网络的每一台内部主机安装和配置特定为庞大的互异网络的每一台内

59、部主机安装和配置特定的应用程序既耗费时间，又容易出错，原因是硬件平的应用程序既耗费时间，又容易出错，原因是硬件平台和操作系统都存在差异。台和操作系统都存在差异。LOGO693.对于每项服务代理可能要求不同的服务器。可能需要为对于每项服务代理可能要求不同的服务器。可能需要为每项协议设置一个不同的代理服务器，因为代理服务器每项协议设置一个不同的代理服务器，因为代理服务器不得不理解协议以便判断什么是允许的和不允许的，并不得不理解协议以便判断什么是允许的和不允许的，并且还装扮一个对真实服务器来说是客户、对代理客户来且还装扮一个对真实服务器来说是客户、对代理客户来说是服务器的角色。挑选、安装和配置所有这

60、些不同的说是服务器的角色。挑选、安装和配置所有这些不同的服务器也可能是一项较大的工作。服务器也可能是一项较大的工作。4.除了一些为代理而设的服务外，代理服务器要求对客户、除了一些为代理而设的服务外，代理服务器要求对客户、过程之一或两者进行限制，每一种限制都有不足之处，过程之一或两者进行限制，每一种限制都有不足之处，由于这些限制，代理应用就不能像非代理应用运行得那由于这些限制，代理应用就不能像非代理应用运行得那样好，往往可能曲解协议说明，并且缺少灵活性。样好，往往可能曲解协议说明，并且缺少灵活性。LOGO705.代理服务不能保证免受所有协议弱点的限制。作为一个代理服务不能保证免受所有协议弱点的限

61、制。作为一个安全问题的解决方法，代理取决于对协议中哪些是安全安全问题的解决方法，代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议，都或多或少存在一操作的判断能力。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。些安全隐患几乎是不可能的，除非关掉这些服务。6.代理不能改进底层协议的安全性。因为代理工作于代理不能改进底层协议的安全性。因为代理工作于TCP/IP之上，属于应用层，所以它就不能改善底层通信之上，属于应用层，所以它就不能改善底层通信协议的能力。如协议的能力

62、。如IP欺骗、欺骗、SYN泛滥、泛滥、ICMP欺骗和一些拒欺骗和一些拒绝服务的攻击。而这些方面，对于一个网络的健壮性是绝服务的攻击。而这些方面，对于一个网络的健壮性是相当重要的。相当重要的。LOGO71v状态监测防火墙状态监测防火墙 状态状态监测（Stateful Inspection）防火墙安全特防火墙安全特性非常好，它采用了一个在网关上执行网络安性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，相关数据

63、的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。来作为以后指定安全决策的参考。LOGO72LOGO状态包检查的逻辑流程状态包检查的逻辑流程LOGO74 监测型防火墙技术实际已经超越了最初的防火墙监测型防火墙技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种

64、检测型防火墙产品一般还带法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不但超越了传统防火墙部。因此，监测型防火墙不但超越了传统防火墙的定义，而且在安全性上也超越了

65、前几代产品。的定义，而且在安全性上也超越了前几代产品。LOGO75LOGO76LOGO77LOGOZFW（Zone-Based Policy Firewall）v ZFW（Zone-Based Policy Firewall），是一种基于区域的防火墙，基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生 效，在同一个区域内的数据是不会应用任何策略的，所以我们就可以将需要使用策略的接口划入不同的区域，这样就可以应用我们想要的策略。但是，有时某些接口之间可能不需要彼此使用策略，那么这样的接口只要划入同一个区域，它们之间就可以任意互访了。78LOGOv Zone是应用防火墙策略

66、的最小单位，一个zone中可以包含一个接口，也可以包含多个接口。区域之间的所有数据默认是全部被丢弃的，所以必须配置相应的策略来允许某些数据的通过。同区域的接口是不需要配置策略的，因为他们默认就是可以自由访问的，我们只需要在区域与区域之间配置策略，而配置这样的区域与区域之间的策略，必须定义从哪个区域到哪个区域，即必须配置方向，配置一个包含源区域和目的区域的一组策略，这样的一个区域组，被称为Zone-Pairs。一个Zone-Pairs，就表示了从一个区域到另一个区域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并加入策略。当配置了一个区域到另一个区域的策略后，如果策略动作是inspect，则并不需要再为返回的数据配置策略，因为返回的数据是默认被允许的，如果策略动作时pass或drop则不会有返回流量或被直接被掉弃。如果有两个zone，并且希望在两个方向上都应用策略，就是每个方向一个zone-pairs。79LOGOv Zone特性一：一个zone是一系列接口的集合 v Zone特性二：如果两个接口不属于zone，他们之间的流量不受任何影响。v Zone特性