《防火墙技术与产品》PPT课件

《《防火墙技术与产品》PPT课件》由会员分享，可在线阅读，更多相关《《防火墙技术与产品》PPT课件（111页珍藏版）》请在装配图网上搜索。

1、防 火 墙 技 术 与 产 品 安 全 讲 座 2 o 防 火 墙 概 念o 防 火 墙 特 征o 防 火 墙 功 能o 协 议 与 服 务o 防 火 墙 技 术 内 容o 防 火 墙 体 系 结 构o 防 火 墙 实 现 策 略o 对 防 火 墙 技 术 与 产 品 发 展 的 介 绍o 对 防 火 墙 技 术 的 展 望内 容 提 要 安 全 讲 座 3 Server Client 防 火 墙 （ Firewall） 安 全 讲 座 4 为 什 么 需 要 防 火 墙 安 全 讲 座 5 l 所 有 软 件 都 是 有 错 的l 通 常 情 况 下 99.99%无 错 的 程 序 很 少

2、会 出 问 题l 同 安 全 相 关 的 99.99%无 错 的 程 序 可 以 确 信会 被 人 利 用 那 0.01%的 错 误l 0.01%安 全 问 题 等 于 100%的 失 败Why Security is Harder than it Looks 安 全 讲 座 6 内 部 网 特 点o 组 成 结 构 复 杂o 各 节 点 通 常 自 主 管 理o 信 任 边 界 复 杂 ， 缺 乏 有 效 管 理o 有 显 著 的 内 外 区 别o 机 构 有 整 体 的 安 全 需 求o 最 薄 弱 环 节 原 则 安 全 讲 座 7 为 什 么 需 要 防 火 墙o 保 护 内 部 不

3、受 来 自 Internet的 攻 击o 为 了 创 建 安 全 域o 为 了 增 强 机 构 安 全 策 略 安 全 讲 座 8 防 火 墙 概 念 防 火 墙 是 指 设 置 在 不 同 网 络 或 网 络 安 全 域 （ 公 共网 和 企 业 内 部 网 ） 之 间 的 一 系 列 部 件 的 组 合 。 它 是 不同 网 络 （ 安 全 域 ） 之 间 的 唯 一 出 入 口 ， 能 根 据 企 业 的安 全 政 策 控 制 （ 允 许 、 拒 绝 、 监 测 ） 出 入 网 络 的 信息 流 ， 且 本 身 具 有 很 高 的 抗 攻 击 能 力 ， 它 是 提 供 信 息安 全 服

4、 务 ， 实 现 网 络 和 信 息 安 全 的 基 础 设 施 。 安 全 讲 座 9 防 火 墙 特 征4保 护 脆 弱 和 有 缺 陷 的 网 络 服 务4集 中 化 的 安 全 管 理4加 强 对 网 络 系 统 的 访 问 控 制4加 强 隐 私4对 网 络 存 取 和 访 问 进 行 监 控 审 计 安 全 讲 座 10 o 一 个 防 火 墙 能 极 大 地 提 高 一 个 内 部 网 络 的 安 全 性 ， 并 通过 过 滤 不 安 全 的 服 务 而 降 低 风 险 。 由 于 只 有 经 过 精 心 选择 的 应 用 协 议 才 能 通 过 防 火 墙 ， 所 以 网 络

5、环 境 变 得 更 安全 。o 防 火 墙 同 时 可 以 保 护 网 络 免 受 基 于 路 由 的 攻 击 ， 如 IP选项 中 的 源 路 由 攻 击 和 ICMP重 定 向 中 的 重 定 向 路 径 。 防火 墙 应 该 可 以 拒 绝 所 有 以 上 类 型 攻 击 的 报 文 并 通 知 防 火墙 管 理 员 。防 火 墙 特 征 安 全 讲 座 11 防 火 墙 特集 中 化 的 安 全 管 理通 过 以 防 火 墙 为 中 心 的 安 全 方 案 配 置 ， 能 将 所 有 安 全软 件 （ 如 口 令 、 加 密 、 身 份 认 证 、 审 计 等 ） 配 置 在 防火 墙

6、 上 。 与 将 网 络 安 全 问 题 分 散 到 各 个 主 机 上 相 比 ，防 火 墙 的 集 中 安 全 管 理 更 经 济 。 安 全 讲 座 12 加 强 对 网 络 系 统 的 访 问 控 制o 一 个 防 火 墙 的 主 要 功 能 是 对 整 个 网 络 的 访 问 控 制 。 比 如 防 火 墙可 以 屏 蔽 部 分 主 机 ， 使 外 部 网 络 无 法 访 问 ， 同 样 可 以 屏 蔽 部 分主 机 的 特 定 服 务 ， 使 得 外 部 网 络 可 以 访 问 该 主 机 的 其 它 服 务 ，但 无 法 访 问 该 主 机 的 特 定 服 务 。o 防 火 墙

7、不 应 向 外 界 提 供 网 络 中 任 何 不 需 要 服 务 的 访 问 权 ， 这 实际 上 是 安 全 政 策 的 要 求 了 。o 控 制 对 特 殊 站 点 的 访 问 ： 如 有 些 主 机 或 服 务 能 被 外 部 网 络 访 问， 而 有 些 则 需 被 保 护 起 来 ， 防 止 不 必 要 的 访 问 。防 火 墙 特 征 安 全 讲 座 13 加 强 隐 私o 隐 私 是 内 部 网 络 非 常 关 心 的 问 题 。 一 个 内 部 网 络 中 不引 人 注 意 的 细 节 可 能 包 含 了 有 关 安 全 的 线 索 而 引 起 外部 攻 击 者 的 兴 趣

8、， 甚 至 因 此 而 暴 漏 了 内 部 网 络 的 某 些安 全 漏 洞 。o 使 用 防 火 墙 就 可 以 隐 蔽 那 些 透 漏 内 部 细 节 如 Finger，DNS等 服 务 。防 火 墙 特 征 安 全 讲 座 14 对 网 络 存 取 和 访 问 进 行 监 控 审 计如 果 所 有 的 访 问 都 经 过 防 火 墙 ， 那 么 ， 防 火 墙 就 能 记录 下 这 些 访 问 并 作 出 日 志 记 录 ， 同 时 也 能 提 供 网 络 使用 情 况 的 统 计 数 据 。 当 发 生 可 疑 动 作 时 ， 防 火 墙 能 进行 适 当 的 报 警 ， 并 提 供

9、网 络 是 否 受 到 监 测 和 攻 击 的 详细 信 息 。另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情 况 是 非 常 重 要 的。 首 先 的 理 由 是 可 以 清 楚 防 火 墙 是 否 能 够 抵 挡 攻 击 者的 探 测 和 攻 击 ， 并 且 清 楚 防 火 墙 的 控 制 是 否 充 足 。 而网 络 使 用 统 计 对 网 络 需 求 分 析 和 威 胁 分 析 等 而 言 也 是非 常 重 要 的 。防 火 墙 特 征 安 全 讲 座 15 协 议 ISO/OSI协 议 分 层 安 全 讲 座 16 协 议 ISO/OSI协 议 分 层 物 理 层 ：

10、 涉 及 在 物 理 信 道 上 传 输 原 始 比 特 ， 处 理 与 物 理 传 输 介 质 有关 的 机 械 的 、 电 气 的 和 过 程 的 接 口 。 数 据 链 路 层 ： 分 为 介 质 访 问 控 制 （ MAC） 和 逻 辑 链 路 控 制 （ LLC） 两个 子 层 。 MAC子 层 解 决 广 播 型 网 络 中 多 用 户 竞 争 信 道 使 用 权 问 题 。LLC的 主 要 任 务 是 将 有 噪 声 的 物 理 信 道 变 成 无 传 输 差 错 的 通 信 信 道， 提 供 数 据 成 帧 、 差 错 控 制 、 流 量 控 制 和 链 路 控 制 等 功 能

11、 。 网 络 层 ： 负 责 将 数 据 从 物 理 连 接 的 一 端 传 到 另 一 端 ， 即 所 谓 点 到 点， 通 信 主 要 功 能 是 寻 径 ， 以 及 与 之 相 关 的 流 量 控 制 和 拥 塞 控 制 等 。 安 全 讲 座 17 协 议 ISO/OSI协 议 分 层传 输 层 ： 主 要 目 的 在 于 弥 补 网 络 层 服 务 与 用 户 需 求 之 间的 差 距 。 传 输 层 通 过 向 上 提 供 一 个 标 准 、 通 用 的 界 面 ，使 上 层 与 通 信 子 网 （ 下 三 层 ） 的 细 节 相 隔 离 。 传 输 层 的主 要 任 务 是 提

12、供 进 程 间 通 信 机 制 和 保 证 数 据 传 输 的 可 靠性 。会 话 层 ： 主 要 针 对 远 程 终 端 访 问 。 主 要 任 务 包 括 会 话 管理 、 传 输 同 步 以 及 活 动 管 理 等 。表 示 层 ： 主 要 功 能 是 信 息 转 换 ， 包 括 信 息 压 缩 、 加 密 、与 标 准 格 式 的 转 换 （ 以 及 上 述 各 操 作 的 逆 操 作 ） 等 等 。应 用 层 ： 提 供 最 常 用 且 通 用 的 应 用 程 序 ， 包 括 电 子 邮 件（ E-mail） 和 文 电 传 输 等 。 安 全 讲 座 18 应 用 层表 示 层会

13、话 层传 输 层网 络 层数 据 链 路 层物 理 层 FTP、 TELNET NFSSMTP、 SNMP XDR RPC TCP、 UDP IPEthernet、 PDN、 IEEE802.3、 IEEE802.4、 IEEE802.5及 其 它 ICMP ARP RARPOSI参 考 模 型 Internet协 议 簇OSI参 考 模 型 与 Internet协 议 簇 安 全 讲 座 19 协 议 TCP/IP协 议 分 层 安 全 讲 座 20 协 议 TCP/IP协 议 分 层应 用 层 ： 向 用 户 提 供 一 组 常 用 的 应 用 程 序 ， 比 如 文 件 传 输 访 问

14、、 电 子邮 件 、 远 程 登 录 等 。 用 户 完 全 可 以 在 “ 网 间 网 ” 之 上 （ 即 传 输 层 之 上） ， 建 立 自 己 的 专 用 应 用 程 序 ， 这 些 专 用 应 用 程 序 要 用 到 TCP/IP， 但不 属 于 TCP/IP。传 输 层 （ TCP/UDP） ： 提 供 应 用 程 序 间 （ 即 端 到 端 ） 的 可 靠 （ TCP） 或 高 效 （ UDP） 的 通 信 。 其 功 能 包 括 ： 格 式 化 信 息 流 及 提 供 可 靠 传输 。 传 输 层 还 要 解 决 不 同 应 用 程 序 的 识 别 问 题 。网 间 网 层 （

15、 IP） ： 负 责 相 邻 计 算 机 之 间 的 通 信 。 其 功 能 包 括 ： 处 理 来 自 传 输 层 的 分 组 发 送 请 求 ； 处 理 输 入 数 据 包 ； 处 理 ICMP报 文 。网 络 接 口 层 ： TCP/IP协 议 的 最 低 层 ， 负 责 接 收 IP数 据 报 并 通 过 网 络发 送 ， 或 者 从 网 络 上 接 收 物 理 帧 ， 抽 出 IP数 据 包 ， 交 给 IP层 。 安 全 讲 座 21 TCP/IP服 务 安 全 讲 座 22 o SMTP - Simple Mail Transfer Protocol, 用 于 发 送 、 接 收

16、 电 子 邮 件 。o TELNET - 可 以 远 程 登 陆 到 网 络 的 每 个 主 机 上 ， 直 接 使 用 他 的 资 源 。o FTP - File Transfer Protocol,用 于 文 件 传 输 。 o DNS - Domain Name Service, 被 TELNET、 FTP、 WWW及 其 它 服 务 所用 ， 可 以 把 主 机 名 字 转 换 为 IP 地 址 。o WWW - World Wide Web, 是 FTP、 gopher、 WAIS及 其 它 信 息 服 务 的结 合 体 ,使 用 超 文 本 传 输 协 议 (http)。 TCP/

17、IP服 务 安 全 讲 座 23 o RPC -远 程 过 程 调 用 服 务 。 如 NFS - Network File System, 可 允 许 系 统 共 享 目 录 与 磁 盘 。o NIS - Network Information Services, 网 络 信 息 服 务容 许 多 个 系 统 共 享 数 据 库 ,如 password file容 许 集 中管 理 。 o X Window System ： 一 个 图 形 化 的 窗 口 系 统 。 o Rlogin、 rsh、 及 其 它 “ r” 服 务 。 运 用 相 互 信 任 的主 机 的 概 念 ， 在 其 它

18、 系 统 上 可 以 执 行 命 令 且 不 要 求 password。TCP/IP服 务 安 全 讲 座 24 IPo IP协 议 的 主 要 内 容 包 括 无 连 接 数 据 报 传 送 、 数 据 报 寻径 及 差 错 处 理 三 部 分 。o IP层 作 为 通 信 子 网 的 最 高 层 ， 屏 蔽 底 层 各 种 物 理 网 络的 技 术 环 节 ， 向 上 （ TCP层 ） 提 供 一 致 的 、 通 用 性 的接 口 ， 使 得 各 种 物 理 网 络 的 差 异 性 对 上 层 协 议 不 复 存在 。o IP数 据 报 分 为 报 头 和 数 据 区 两 部 分 ， IP

19、报 头 由 IP协 议处 理 ， 是 IP协 议 的 体 现 ； 数 据 体 则 用 于 封 装 传 输 层 数据 或 差 错 和 控 制 报 文 （ ICMP） 数 据 ， 由 TCP协 议 或ICMP协 议 处 理 。 安 全 讲 座 25 TCPo TCP是 传 输 层 的 重 要 协 议 之 一 ， 提 供 面 向 连 接 的 可 靠字 节 流 传 输 。 面 向 连 接 的 TCP要 求 在 进 行 实 际 数 据 传输 前 ， 必 须 在 信 源 端 与 信 宿 端 建 立 一 条 连 接 。 且 面 向连 接 的 每 一 个 报 文 都 需 接 收 端 确 认 ， 未 确 认 报

20、 文 被 认为 是 出 错 报 文 ， 出 错 的 报 文 协 议 要 求 出 错 重 传 。o TCP采 用 可 变 窗 口 进 行 流 量 控 制 和 拥 塞 控 制 以 保 证 可靠 性 。o 分 组 是 TCP传 输 数 据 的 基 本 单 元 ， 分 TCP头 和 TCP数据 体 两 大 部 分 。 安 全 讲 座 26 UDPo UDP是 传 输 层 的 重 要 协 议 之 一 ；o 基 于 UDP的 服 务 包 括 NIS、 NFS、 NTP及 DNS等 。o UDP不 是 面 向 连 接 的 服 务 ， 几 乎 不 提 供 可 靠 性 措 施 ； 因 此 ， 基 于UDP的 服

21、 务 具 有 较 高 的 风 险 。 安 全 讲 座 27 TCP与 UDP端 口o 一 个 TCP或 UDP连 接 由 下 述 要 素 唯 一 确 定 ： 源 IP地 址 、 目 的 地 IP地 址 、 源 端 口 、 目 的 地 端 口 。o TCP或 UDP用 协 议 端 口 标 识 通 信 进 程 ， 端 口 是 一 种 抽 象 的 软 件 结构 （ 包 括 一 些 数 据 结 构 和 I/O缓 冲 区 ） 。 应 用 程 序 （ 即 进 程 ） 通 过系 统 调 用 与 某 些 端 口 建 立 连 接 后 ， 传 输 层 传 给 该 端 口 的 数 据 被 相应 进 程 所 接 收

22、。o 接 口 又 是 进 程 访 问 传 输 服 务 的 人 口 点 。 每 个 端 口 拥 有 一 个 叫 端 口号 的 16位 整 数 标 识 符 ， 用 于 区 分 不 同 端 口 。 o TCP和 UDP软 件 分 别 可 以 提 供 65536个 不 同 的 端 口 。o 端 口 有 两 部 分 ， 一 部 分 是 保 留 端 口 （ 端 口 号 小 于 1024， 对 应 于 服务 器 进 程 ） ， 一 部 分 是 自 由 端 口 （ 以 本 地 方 式 分 配 ） 。 安 全 讲 座 28 o 某 些 服 务 进 程 通 常 对 应 于 特 定 的 端 口 。 如 SMTP为

23、25， X WINDOWS为 6000。o 客 户 使 用 端 口 号 及 目 的 地 IP地 址 初 始 化 与 一 个 特 定 主 机 或 服 务的 连 接 。TCP与 UDP端 口 安 全 讲 座 29 防 火 墙 技 术 可 根 据 防 范 的 方 式 和 侧 重 点 的 不 同 而 分 为很 多 种 类 型 ,总 体 来 讲 可 分 为 三 大 类 ：l 分 组 过 滤l 应 用 代 理l 电 路 中 继防 火 墙 技 术 内 容 安 全 讲 座 30 p 分 组 过 滤 （ Packet filtering） ： 作 用 在 网 络 层 和 传 输 层 ， 它 根 据 分 组 包

24、头 源 地 址 ， 目 的 地 址 和 端 口号 、 协 议 类 型 等 标 志 确 定 是 否 允 许 数 据 包 通 过 。 只 有 满 足 过 滤 逻 辑的 数 据 包 才 被 转 发 到 相 应 的 目 的 地 出 口 端 ， 其 余 数 据 包 则 被 从 数 据流 中 丢 弃 。p 应 用 代 理 （ Application Proxy） ： 也 叫 应 用 网 关 （ Application Gateway） ,它 作 用 在 应 用 层 ， 其 特 点是 完 全 “ 阻 隔 ” 了 网 络 通 信 流 ， 通 过 对 每 种 应 用 服 务 编 制 专 门 的 代理 程 序 ，

25、 实 现 监 视 和 控 制 应 用 层 通 信 流 的 作 用 。 实 际 中 的 应 用 网 关通 常 由 专 用 工 作 站 实 现 。p 电 路 中 继 (Circuit Relay) 也 叫 电 路 网 关 (Circuit Gateway)或 TCP代 理 （ TCP Proxy） ,其 工 作 原 理 与 应 用 代 理 类 似 ， 不 同 之 处 是 该 代 理 程 序 是 专 门 为 传 输层 的 TCP协 议 编 制 的 。防 火 墙 技 术 内 容 安 全 讲 座 31 防 火 墙 技 术 内 容 分 组 过 滤物 理 层数 据 链 路 层网 络 层外 部 网 络 主 机

26、 内 部 网 络 主 机分 组 过 滤 型防 火 墙 安 全 讲 座 32 一 个 分 组 过 滤 型 防 火 墙 通 常 能 根 据 IP分 组 的 以 下 各 项过 滤 ：4 源 IP地 址4 目 标 IP地 址4 TCP/UDP源 端 口4 TCP/UDP目 标 端 口4 协 议 类 型防 火 墙 技 术 内 容 分 组 过 滤 安 全 讲 座 33 防 火 墙 技 术 内 容 分 组 过 滤分 组 过 滤 防 火 墙 应 用 示 例 安 全 讲 座 34 优 点 ：o 透 明 的 防 火 墙 系 统o 高 速 的 网 络 性 能o 易 于 配 置o 支 持 网 络 内 部 隐 藏防 火

27、 墙 技 术 内 容 分 组 过 滤 安 全 讲 座 35 缺 点 ：4 易 于 IP地 址 假 冒4 记 录 日 志 信 息 不 充 分4 源 路 由 攻 击4 设 计 和 配 置 一 个 真 正 安 全 的 分 组 过 滤 规 则 比 较 困 难4 分 组 过 滤 防 火 墙 并 不 能 过 滤 所 有 的 协 议4 极 小 分 片 设 数 据 包 攻 击 4 无 法 防 止 数 据 驱 动 式 攻 击防 火 墙 技 术 内 容 分 组 过 滤 安 全 讲 座 36 防 火 墙 技 术 内 容 应 用 代 理应 用 层表 示 层会 话 层传 输 层网 络 层数 据 链 路 层物 理 层 物

28、 理 层数 据 链 路 层网 络 层 应 用 层表 示 层会 话 层传 输 层网 络 层数 据 链 路 层物 理 层外 部 网 络 主 机 内 部 网 络 主 机应 用 代 理 型防 火 墙应 用 层表 示 层会 话 层传 输 层 安 全 讲 座 37 防 火 墙 技 术 内 容 应 用 代 理外 部 Telnet服 务 器 内 部 Telnet服 务 器日 志 系 统Telnet代 理FTP代 理 认 证 系 统应 用 网 关一 个 Telnet代 理 的 例 子 安 全 讲 座 38 一 个 Telnet应 用 代 理 的 过 程o 用 户 首 先 Telnet到 应 用 网 关 主 机

29、， 并 输 入 内 部 目 标 主机 的 名 字 （ 域 名 、 IP地 址 ）o 应 用 网 关 检 查 用 户 的 源 IP地 址 等 ， 并 根 据 事 先 设 定 的访 问 规 则 来 决 定 是 否 转 发 或 拒 绝o 然 后 用 户 必 须 进 行 是 否 验 证 （ 如 一 次 一 密 等 高 级 认 证设 备 ）o 应 用 网 关 中 的 代 理 服 务 器 为 用 户 建 立 在 网 关 与 内 部 主机 之 间 的 Telnet连 接o 代 理 服 务 器 在 两 个 连 接 （ 用 户 /应 用 网 关 ， 代 理 服 务器 /内 部 主 机 ） 之 间 传 送 数 据

30、o 应 用 网 关 对 本 次 连 接 进 行 日 志 记 录防 火 墙 技 术 内 容 应 用 代 理 安 全 讲 座 39 优 点 ：o 在 网 络 连 接 建 立 之 前 可 以 对 用 户 身 份 进 行 认 证o 所 有 通 过 防 火 墙 的 信 息 流 可 以 被 记 录 下 来o 易 于 配 置o 支 持 内 部 网 络 的 信 息 隐 藏o 与 分 组 过 滤 规 则 相 比 简 单o 易 于 控 制 和 管 理防 火 墙 技 术 内 容 应 用 代 理 安 全 讲 座 40 缺 点 ：4 对 每 种 类 型 的 服 务 都 需 要 一 个 代 理4 网 络 性 能 不 高4

31、 防 火 墙 对 用 户 不 透 明4 客 户 应 用 可 能 需 要 修 改4 需 要 多 个 防 火 墙 主 机防 火 墙 技 术 内 容 应 用 代 理 安 全 讲 座 41 防 火 墙 技 术 内 容 电 路 中 继o 拓 扑 结 构 同 应 用 程 序 网 关 相 同o 接 收 客 户 端 连 接 请 求 ， 代 理 客 户 端 完 成 网 络 连 接o 在 客 户 和 服 务 器 间 中 转 数 据o 通 用 性 强 安 全 讲 座 42 防 火 墙 几 种 典 型 配 置 方 案o 双 宿 主 方 案o 屏 蔽 主 机 方 案l 单 宿 主 堡 垒 主 机l 双 宿 主 堡 垒

32、主 机o 屏 蔽 子 网 方 案 安 全 讲 座 43 防 火 墙 的 配 置 几 个 概 念l 堡 垒 主 机 (Bastion Host)： 对 外 部 网 络 暴 露 ，同 时 也 是 内 部 网 络 用 户 的 主 要 连 接 点l 双 宿 主 主 机 (dual-homed host)： 至 少 有 两 个网 络 接 口 的 通 用 计 算 机 系 统l DMZ(Demilitarized Zone， 非 军 事 区 或 者 停 火区 )： 在 内 部 网 络 和 外 部 网 络 之 间 增 加 的 一 个子 网 安 全 讲 座 44 配 置 方 案 一 o 双 宿 主 堡 垒 主

33、机 方 案o 所 有 的 流 量 都 通 过 堡 垒 主 机o 优 点 ： 简 单 安 全 讲 座 45 配 置 方 案 二 o 屏 蔽 主 机 方 案 ： 单 宿 主 堡 垒 主 机o 只 允 许 堡 垒 主 机 可 以 与 外 界 直 接 通 讯o 优 点 ： 两 层 保 护 ： 包 过 滤 +应 用 层 网 关 ； 灵 活 配 置 o 缺 点 ： 一 旦 包 过 滤 路 由 器 被 攻 破 ， 则 内 部 网 络 被 暴 露 安 全 讲 座 46 配 置 方 案 三 o 屏 蔽 主 机 方 案 ： 双 宿 主 堡 垒 主 机o 从 物 理 上 把 内 部 网 络 和 Internet隔

34、开 ， 必 须 通 过 两 层 屏 障o 优 点 ： 两 层 保 护 ： 包 过 滤 +应 用 层 网 关 ； 配 置 灵 活 安 全 讲 座 47 配 置 方 案 四o 屏 蔽 子 网 防 火 墙 o 优 点 ：l 三 层 防 护 ， 用 来 阻 止 入 侵 者l 外 面 的 router只 向 Internet暴 露 屏 蔽 子 网 中 的 主 机l 内 部 的 router只 向 内 部 私 有 网 暴 露 屏 蔽 子 网 中 的 主 机 安 全 讲 座 48 防 火 墙 实 现 策 略对 防 火 墙 系 统 而 言 ， 共 有 两 层 网 络 安 全 策 略 ：o 网 络 服 务 访

35、问 策 略 ： 是 高 层 策 略 ， 定 义 了 受 保 护 网 络明 确 允 许 和 明 确 拒 绝 的 网 络 服 务 ， 分 析 网 络 服 务 的 可用 性 （ 包 括 可 用 条 件 ） 、 风 险 性 等 。o 防 火 墙 设 计 策 略 ： 是 低 层 策 略 ， 描 述 了 防 火 墙 如 何 根据 高 层 的 网 络 服 务 访 问 策 略 中 定 义 的 策 略 来 具 体 地 限制 访 问 和 过 滤 服 务 。 安 全 讲 座 49 网 络 服 务 访 问 策 略o 不 允 许 外 部 网 络 或 Internet访 问 内 部 网 络 ， 但 允 许 内部 网 络

36、访 问 外 部 网 络 或 Internet。o 允 许 外 部 网 络 或 Internet访 问 部 分 内 部 网 络 ， 这 些 特定 的 网 络 服 务 是 经 过 严 格 选 择 和 控 制 的 ， 如 一 些 信 息服 务 器 、 电 子 邮 件 服 务 器 或 域 名 服 务 器 等 等 。防 火 墙 实 现 策 略 安 全 讲 座 50 防 火 墙 设 计 策 略 防 火 墙 设 计 策 略 必 须 针 对 具 体 的 防 火 墙 ， 它 定 义 过 滤 规 则 等 ， 以实 现 高 层 的 网 络 服 务 策 略 。 这 个 策 略 在 设 计 时 必 须 考 虑 到 防

37、火 墙本 身 的 性 能 、 限 制 及 具 体 协 议 如 TCP/IP。 常 用 的 两 种 基 本 防 火 墙设 计 策 略 是 ：o 允 许 所 有 除 明 确 拒 绝 之 外 的 通 信 或 服 务 （ 很 少 考 虑 ， 因 为 这 样 的防 火 墙 可 能 带 来 许 多 风 险 和 安 全 问 题 。 攻 击 者 完 全 可 以 使 用 一 种拒 绝 策 略 中 没 有 定 义 的 服 务 而 被 允 许 并 攻 击 网 络 ）o 拒 绝 所 有 除 明 确 允 许 之 外 的 通 信 或 服 务 （ 常 用 ， 但 操 作 困 难 ， 并有 可 能 拒 绝 网 络 用 户 的

38、 正 常 需 求 与 合 法 服 务 ）防 火 墙 实 现 策 略 安 全 讲 座 51 作 为 一 个 安 全 策 略 的 设 计 者 ， 应 懂 得 以 下 问 题 的 要 点 ：o 哪 些 Internet服 务 是 本 网 络 系 统 打 算 使 用 或 提 供 的 ？ （如 TELNET、 FTP、 HTTP）o 这 些 Internet服 务 在 哪 或 哪 个 范 围 内 使 用 ？ （ 如 在 本 地网 内 、 整 个 Internet或 拨 号 服 务 等 ）o 可 能 有 哪 些 额 外 或 临 时 的 服 务 或 需 求 ？ （ 如 加 密 、 拨入 服 务 等 ）o 提

39、 供 这 些 服 务 和 访 问 有 哪 些 风 险 和 总 的 花 费 ？防 火 墙 实 现 策 略 安 全 讲 座 52 对 防 火 墙 技 术 与 产 品 发 展 的 介 绍o 防 火 墙 技 术 是 建 立 在 现 代 通 信 网 络 技 术 和 信 息 安 全 技 术 基 础 上 的 应 用 性 安 全 技 术 ， 越 来 越 多 地 应 用 于 专 用 网 络 与 公 用 网 络 的 互 联 环 境 之 中 ， 尤 其 以 接 入Internet网 络 为 最 甚 。 o Internet的 迅 猛 发 展 ， 使 得 防 火 墙 产 品 在 短 短 的 几 年内 异 军 突 起

40、， 很 快 形 成 了 一 个 产 业 ： 据 不 完 全 统 计 ，在 国 际 上 防 火 墙 产 品 销 售 从 1995年 的 不 到 1万 套 ， 猛增 到 1997年 底 的 10万 套 。o 据 国 际 权 威 商 业 调 查 机 构 的 预 测 ,防 火 墙 市 场 将 以 173 的 复 合 增 长 率 增 长 ， 到 2000年 将 达 150万 套 ， 市 场 营业 额 将 从 1995年 的 1.6亿 美 元 上 升 到 2000年 的 9.8亿 美元 。 安 全 讲 座 53 防 火 墙 发 展 历 程第 一 阶 段 ： 基 于 路 由 器 的 防 火 墙第 二 阶 段

41、 ： 用 户 化 的 防 火 墙 工 具 套第 三 阶 段 ： 建 立 在 通 用 操 作 系 统 上 的 防 火 墙第 四 阶 段 ： 具 有 安 全 操 作 系 统 的 防 火 墙对 防 火 墙 技 术 与 产 品 发 展 的 介 绍 安 全 讲 座 54 第 一 代 防 火 墙 产 品 的 特 点 是 ：o 利 用 路 由 器 本 身 对 分 组 的 解 析 ,以 访 问 控 制 表 （ access list） 方 式 实 现 对分 组 的 过 滤 ；o 过 滤 判 决 的 依 据 可 以 是 ： 地 址 、 端 口 号 、 IP旗 标 及 其 它 网 络 特 征 ；o 只 有 分 组

42、 过 滤 的 功 能 ， 且 防 火 墙 与 路 由 器 是 一 体 的 ， 对 安 全 要 求 低 的 网 络 可 采 用 路 由 器 附 带 防 火 墙 功 能 的 方 法 ， 对 安 全 性 要 求 高 的 网 络 则 可 单 独 利 用 一 台 路 由 器 作 防 火 墙 。第 一 阶 段 ： 基 于 路 由 器 的 防 火 墙 安 全 讲 座 55 第 一 阶 段 ： 基 于 路 由 器 的 防 火 墙第 一 代 防 火 墙 产 品 的 不 足 之 处 为 ：4 路 由 协 议 十 分 灵 活 ， 本 身 具 有 安 全 漏 洞 ， 外 部 网 络 要 探 寻 内 部网 络 十 分

43、容 易 。4 路 由 器 上 的 分 组 过 滤 规 则 的 设 置 和 配 置 存 在 安 全 隐 患 。 4 攻 击 者 可 以 “ 假 冒 ” 地 址 ， 由 于 信 息 在 网 络 上 是 以 明 文 传 送 的， 黑 客 可 以 在 网 络 上 伪 造 假 的 路 由 信 息 欺 骗 防 火 墙 。4 防 火 墙 的 规 则 设 置 会 大 大 降 低 路 由 器 的 性 能 。 安 全 讲 座 56 第 二 阶 段 ： 用 户 化 的 防 火 墙 工 具 套作 为 第 二 代 防 火 墙 产 品 ， 用 户 化 的 防 火 墙 工 具 套 具 有 以 下 特 征 ：o 将 过 滤

44、功 能 从 路 由 器 中 独 立 出 来 ， 并 加 上 审 计 和 告 警功 能 ；o 针 对 用 户 需 求 ， 提 供 模 块 化 的 软 件 包 ；o 软 件 可 通 过 网 络 发 送 ， 用 户 可 根 据 需 要 构 造 防 火 墙 ；o 与 第 一 代 防 火 墙 相 比 ， 安 全 性 提 高 了 ， 价 格 降 低 了 。 安 全 讲 座 57 第 二 阶 段 ： 用 户 化 的 防 火 墙 工 具 套不 足 之 处 ：4 配 置 和 维 护 过 程 复 杂 、 费 时 ；4 对 用 户 的 技 术 要 求 高 ；4 全 软 件 实 现 ， 安 全 性 和 处 理 速 度

45、 均 有 局 限 ； 4 实 践 表 明 ， 使 用 中 出 现 差 错 的 情 况 很 多 。 安 全 讲 座 58 第 三 阶 段 ： 建 立 在 通 用 操 作 系 统 上 的 防 火 墙具 有 以 下 特 点 ：4 是 批 量 上 市 的 专 用 防 火 墙 产 品 ；4 包 括 分 组 过 滤 或 者 借 用 路 由 器 的 分 组 过 滤 功 能 ； 4 装 有 专 用 的 代 理 系 统 ， 监 控 所 有 协 议 的 数 据 和 指 令 ；4 保 护 用 户 编 程 空 间 和 用 户 可 配 置 内 核 参 数 的 设 置 ；4 安 全 性 和 速 度 大 为 提 高 。 安

46、 全 讲 座 59 第 三 阶 段 ： 建 立 在 通 用 操 作 系 统 上 的 防 火 墙存 在 的 问 题 ：o 作 为 基 础 的 操 作 系 统 及 其 内 核 往 往 不 为 防 火 墙 管 理者 所 知 ， 由 于 原 码 的 保 密 ， 其 安 全 性 无 从 保 证 ；o 由 于 大 多 数 防 火 墙 厂 商 并 非 通 用 操 作 系 统 的 厂 商 ，通 用 操 作 系 统 厂 商 不 会 对 操 作 系 统 的 安 全 性 负 责 ；o 从 本 质 上 看 ， 第 三 代 防 火 墙 既 要 防 止 来 自 外 部 网 络的 攻 击 ， 还 要 防 止 来 自 操 作

47、 系 统 厂 商 的 攻 击 。 o 用 户 必 须 依 赖 两 方 面 的 安 全 支 持 ： 一 是 防 火 墙 厂 商、 一 是 操 作 系 统 厂 商 。 安 全 讲 座 60 第 四 阶 段 ： 具 有 安 全 操 作 系 统 的 防 火 墙 具 有 以 下 特 点 ：o 防 火 墙 厂 商 具 有 操 作 系 统 的 源 代 码 ， 并 可 实 现 安 全 内 核 ；o 对 安 全 内 核 实 现 加 固 处 理 :即 去 掉 不 必 要 的 系 统 特 性 ， 加 固 内 核 ，强 化 安 全 保 护 ；o 对 每 个 服 务 器 、 子 系 统 都 作 了 安 全 处 理 ，

48、一 旦 黑 客 攻 破 了 一 个 服 务器 ， 它 将 会 被 隔 离 在 此 服 务 器 内 ， 不 会 对 网 络 的 其 它 部 份 构 成 威 胁；o 在 功 能 上 包 括 了 分 组 过 滤 、 应 用 网 关 、 电 路 级 网 关 ， 且 具 有 加 密 与鉴 别 功 能 ； o 透 明 性 好 ， 易 于 使 用 。 安 全 讲 座 61 第 四 代 防 火 墙 的 主 要 技 术 与 功 能第 四 代 防 火 墙 产 品 将 网 关 与 安 全 系 统 合 二 为 一 ， 具 有 以 下 技 术 与 功 能 特 点 ：4 双 端 口 或 三 端 口 的 结 构4 透 明

49、的 访 问 方 式 4 灵 活 的 代 理 系 统4 多 级 的 过 滤 技 术4 网 络 地 址 转 换 技 术 4 Internet网 关 技 术4 安 全 服 务 器 网 络 （ SSN）4 用 户 鉴 别 与 加 密4 用 户 定 制 服 务4 审 计 和 告 警 安 全 讲 座 62 双 端 口 或 三 端 口 的 结 构 新 一 代 防 火 墙 产 品 具 有 两 个 或 三 个 独 立 的 网 卡 ， 内 外 两 个 网卡 可 不 作 IP转 化 而 串 接 于 内 部 网 与 外 部 网 之 间 ， 另 一 个 网 卡 可 专用 于 对 服 务 器 的 安 全 保 护 。 安

50、全 讲 座 63 透 明 的 访 问 方 式 以 前 的 防 火 墙 在 访 问 方 式 上 要 么 要 求 用 户 作系 统 登 录 ， 要 么 需 要 通 过 SOCKS等 库 路 径 修 改 客户 机 的 应 用 。 第 四 代 防 火 墙 利 用 了 透 明 的 代 理 系统 技 术 ， 从 而 降 低 了 系 统 登 录 固 有 的 安 全 风 险 和出 错 概 率 。 安 全 讲 座 64 灵 活 的 代 理 系 统 代 理 系 统 是 一 种 将 信 息 从 防 火 墙 的 一 侧 传 送 到 另 一侧 的 软 件 模 块 。 第 四 代 防 火 墙 采 用 了 两 种 代 理

51、机 制 ，一 种 用 于 代 理 从 内 部 网 络 到 外 部 网 络 的 连 接 ， 采 用 网络 地 址 转 换 (NAT)技 术 来 解 决 ， 另 一 种 用 于 代 理 从 外部 网 络 到 内 部 网 络 的 连 接 。 采 用 非 保 密 的 用 户 定 制 代理 或 保 密 的 代 理 系 统 技 术 来 解 决 。 安 全 讲 座 65 多 级 的 过 滤 技 术 为 保 证 系 统 的 安 全 性 和 防 护 水 平 ， 第 四 代 防 火 墙 采用 了 三 级 过 滤 措 施 ， 并 辅 以 鉴 别 手 段 。 在 分 组 过 滤 一级 ， 能 过 滤 掉 所 有 的

52、源 路 由 分 组 和 假 冒 的 IP源 地 址 ；在 应 用 级 网 关 一 级 ,能 利 用 FTP、 SMTP等 各 种 网 关 ，控 制 和 监 测 Internet提 供 的 所 有 通 用 服 务 ； 在 电 路 网关 一 级 ， 实 现 内 部 主 机 与 外 部 站 点 的 透 明 连 接 ， 并 对服 务 的 通 行 实 行 严 格 控 制 。 安 全 讲 座 66 网 络 地 址 转 换 技 术 第 四 代 防 火 墙 利 用 NAT技 术 能 透 明 地 对 所 有 内 部 地 址 作 转 换， 使 外 部 网 络 无 法 了 解 内 部 网 络 的 内 部 结 构 ，

53、 同 时 允 许 内 部 网 络使 用 自 己 编 的 IP地 址 和 专 用 网 络 ， 防 火 墙 能 详 尽 记 录 每 一 个 主 机的 通 信 ， 确 保 每 个 分 组 送 往 正 确 的 地 址 。 安 全 讲 座 67 Internet网 关 技 术 由 于 是 直 接 串 连 在 网 络 之 中 ， 第 四 代 防 火 墙 必 须 支 持 用 户 在 Internet互 连 的 所 有 服 务 ， 同 时 还 要 防 止 与Internet服 务 有 关 的 安 全 漏 洞 。 故 它 要 能 以 多 种 安 全 的应 用 服 务 器 (包 括 FTP、 Finger、 ma

54、il、 Ident、 News、 WWW等 )来 实 现 网 关 功 能 。 在 域 名 服 务 方 面 ， 第 四 代 防 火 墙 采 用 两 种 独 立 的 域 名 服 务 器 。 在 匿 名 FTP方 面 ， 服 务 器 只 提 供 对 有 限 的 受 保 护 的 部 份 目 录 的 只 读 访 问 。 安 全 讲 座 68 安 全 服 务 器 网 络 （ SSN） 为 适 应 越 来 越 多 的 用 户 向 Internet上 提 供 服 务 时 对服 务 器 保 护 的 需 要 ,第 四 代 防 火 墙 采 用 特 别 保 护 的 策 略对 用 户 上 网 的 对 外 服 务 器 实

55、 施 保 护 ， 它 利 用 一 张 网 卡将 对 外 服 务 器 作 为 一 个 独 立 网 络 处 理 ， 对 外 服 务 器 既是 内 部 网 的 一 部 份 ， 又 与 内 部 网 关 完 全 隔 离 。 这 就 是安 全 服 务 器 网 络 (SSN)技 术 ， 对 SSN上 的 主 机 既 可 单 独管 理 ， 也 可 设 置 成 通 过 FTP、 Telnet等 方 式 从 内 部 网 上管 理 。 安 全 讲 座 69 用 户 鉴 别 与 加 密 为 了 降 低 防 火 墙 产 品 在 Telnet、 FTP等 服 务和 远 程 管 理 上 的 安 全 风 险 ， 鉴 别 功

56、能 必 不 可 少 ，第 四 代 防 火 墙 采 用 一 次 性 使 用 的 口 令 字 系 统 来 作为 用 户 的 鉴 别 手 段 。 安 全 讲 座 70 用 户 定 制 服 务 为 满 足 特 定 用 户 的 特 定 需 求 ， 第 四 代 防 火 墙 在 提 供众 多 服 务 的 同 时 ,还 为 用 户 定 制 提 供 支 持 ， 这 类 选 项有 ： 通 用 TCP， 出 站 UDP、 FTP、 SMTP等 类 ,如 果 某 一 用户 需 要 建 立 一 个 数 据 库 的 代 理 ， 便 可 利 用 这 些 支 持 ，方 便 设 置 。 安 全 讲 座 71 审 计 和 告 警

57、 第 四 代 防 火 墙 产 品 的 审 计 和 告 警 功 能 十 分 健全 ， 日 志 文 件 包 括 ： 一 般 信 息 、 内 核 信 息 、 核 心信 息 、 接 收 邮 件 、 邮 件 路 径 、 发 送 邮 件 、 已 收 消息 、 已 发 消 息 、 连 接 请 求 、 已 鉴 别 的 访 问 、 告 警条 件 、 管 理 日 志 、 进 站 代 理 、 FTP代 理 、 出 站 代理 、 邮 件 服 务 器 、 域 名 服 务 器 等 。 告 警 功 能 会 守住 每 一 个 TCP或 UDP探 寻 ， 并 能 以 发 出 邮 件 、 声响 等 多 种 方 式 报 警 。 安

58、 全 讲 座 72 第 四 代 防 火 墙 的 抗 攻 击 能 力 作 为 一 种 安 全 防 护 设 备 ， 防 火 墙 在 网 络 中 自 然 是 众 多 攻 击 者 的目 标 ， 故 抗 攻 击 能 力 也 是 防 火 墙 的 必 备 功 能 ， 在 Internet环 境 中针 对 防 火 墙 的 攻 击 方 法 主 要 有 ：4抗 IP假 冒 攻 击4抗 特 洛 伊 木 马 攻 击4抗 口 令 字 探 寻 攻 击4抗 网 络 安 全 性 分 析4抗 邮 件 诈 骗 攻 击 安 全 讲 座 73 抗 IP假 冒 攻 击 IP假 冒 是 指 一 个 非 法 的 主 机 假 冒 内 部 的

59、 主机 地 址 ， 骗 取 服 务 器 的 “ 信 任 ” ， 从 而 达 到 对网 络 的 攻 击 目 的 。 由 于 第 四 代 防 火 墙 知 道 网 络内 外 的 IP地 址 ， 它 会 丢 弃 所 有 来 自 网 络 外 部 但却 有 内 部 地 址 的 分 组 ， 再 之 防 火 墙 已 将 网 内 的实 际 地 址 隐 蔽 起 来 ， 外 部 用 户 很 难 知 道 内 部 的IP地 址 ， 因 而 难 以 攻 击 。 第 四 代 防 火 墙 的 抗 攻 击 能 力 安 全 讲 座 74 抗 特 洛 伊 木 马 攻 击 特 洛 伊 木 马 能 将 病 毒 或 破 坏 性 程 序

60、传 入 计 算 机 网络 ， 且 通 常 是 将 这 些 恶 意 程 序 隐 蔽 在 正 常 的 程 序 ， 尤其 是 热 门 程 序 或 游 戏 之 中 ， 一 些 用 户 下 载 并 执 行 这 一程 序 ， 其 中 的 病 毒 便 会 发 作 。 第 四 代 防 火 墙 是 建 立 在安 全 的 操 作 系 统 之 上 的 ， 其 安 全 内 核 中 不 能 执 行 下 载的 程 序 ， 故 而 可 防 止 特 洛 伊 木 马 的 发 生 。 必 须 指 出 的是 ， 防 火 墙 能 抗 特 洛 伊 木 马 的 攻 击 并 不 表 明 受 其 保 护的 某 个 主 机 也 能 防 止 这

61、 类 攻 击 。 事 实 上 ， 内 部 用 户 可通 过 防 火 墙 下 载 程 序 ， 并 执 行 下 载 的 程 序 。第 四 代 防 火 墙 的 抗 攻 击 能 力 安 全 讲 座 75 抗 口 令 字 探 寻 攻 击 在 网 络 中 探 寻 口 令 字 的 方 法 很 多 ， 最 常 见 的 是 口令 字 嗅 探 和 口 令 字 解 密 。 嗅 探 是 通 过 监 测 网 络 通 信 ，截 获 用 户 传 给 服 务 器 的 口 令 字 ， 记 录 下 来 ， 以 便 使 用； 解 密 是 指 采 用 强 力 攻 击 、 猜 测 或 截 获 含 有 加 密 口 令字 的 文 件 ，

62、并 设 法 解 密 。 此 外 ， 攻 击 者 还 常 常 利 用 一些 常 用 口 令 字 直 接 登 录 。 第 四 代 防 火 墙 采 用 了 一 次 性 口 令 字 和 禁 止 直 接 登录 防 火 墙 的 措 施 ， 能 有 效 防 止 对 口 令 字 的 攻 击 。第 四 代 防 火 墙 的 抗 攻 击 能 力 安 全 讲 座 76 抗 网 络 安 全 性 分 析 网 络 安 全 性 分 析 工 具 本 是 供 管 理 人 员 分 析 网 络 安全 性 之 用 的 ， 一 旦 这 类 工 具 用 作 攻 击 网 络 的 手 段 ， 则能 较 方 便 地 探 测 到 内 部 网 络

63、的 安 全 缺 陷 和 弱 点 所 在 ，目 前 ， SATAN软 件 可 以 从 网 上 免 费 获 得 ， Internet Scanner 可 从 市 面 上 购 买 ， 这 些 分 析 工 具 给 网 络 安 全构 成 了 直 接 威 胁 。 第 四 代 防 火 墙 采 用 了 地 址 转 换 技 术， 将 内 部 网 络 隐 蔽 起 来 ， 使 网 络 安 全 分 析 工 具 无 法 从外 部 对 内 部 网 作 分 析 。第 四 代 防 火 墙 的 抗 攻 击 能 力 安 全 讲 座 77 抗 邮 件 诈 骗 攻 击 邮 件 诈 骗 也 是 越 来 越 突 出 的 攻 击 方 式

64、， 第 四 代防 火 墙 不 接 收 任 何 邮 件 ， 故 难 以 采 用 这 种 方 式 对 它 攻击 ， 同 样 值 得 一 提 的 是 ， 防 火 墙 不 接 受 邮 件 ， 并 不 表示 它 不 让 邮 件 通 过 ， 实 际 上 用 户 仍 可 收 发 邮 件 ， 内 部用 户 要 防 邮 件 诈 骗 ， 最 终 的 解 决 办 法 是 对 邮 件 加 密 。第 四 代 防 火 墙 的 抗 攻 击 能 力 安 全 讲 座 78 防 火 墙 的 不 足 之 处o 不 能 对 绕 过 防 火 墙 的 攻 击 提 供 保 护o 不 能 防 范 内 部 的 攻 击o 不 能 对 病 毒 感

65、 染 的 程 序 和 文 件 的 传 输 提 供 保 护o 不 能 防 范 全 新 的 威 胁o 当 使 用 端 加 密 时 其 作 用 会 受 到 很 大 的 限 制o 对 用 户 不 完 全 透 明 ， 可 能 带 来 传 输 延 迟 、 瓶 颈 及 单 点 失效 。 安 全 讲 座 79 对 防 火 墙 技 术 的 展 望 ： 几 点 趋 势o 防 火 墙 将 从 目 前 对 子 网 或 内 部 网 管 理 的 方 式 向 远 程 上 网 集 中 管 理的 方 式 发 展 ；o 过 滤 深 度 不 断 加 强 ,从 目 前 的 地 址 、 服 务 过 滤 ， 发 展 到 URL（ 页面

66、） 过 滤 ， 关 键 字 过 滤 和 对 Active X、 Java等 的 过 滤 ， 并 逐 渐 有病 毒 扫 除 功 能 。o 单 向 防 火 墙 （ 又 叫 网 络 二 极 管 ） 将 作 为 一 种 产 品 门 类 而 出 现 ； 安 全 讲 座 80 o 利 用 防 火 墙 建 立 专 用 网 (VPN)是 较 长 一 段 时 间 的 用 户使 用 的 主 流 ， IP的 加 密 需 求 越 来 越 强 ， 安 全 协 议 的 开发 是 一 大 热 点 ；o 对 网 络 攻 击 的 检 测 和 告 警 将 成 为 防 火 墙 的 重 要 功 能 ；o 安 全 管 理 工 具 不 断 完 善 ， 特 别 是 可 疑 活 动 的 日 志 分 析工 具 等 将 成 为 防 火 墙 产 品 中 的 一 部 分 。对 防 火 墙 技 术 的 展 望 ： 几 点 趋 势 安 全 讲 座 81 对 防 火 墙 技 术 的 展 望 ： 需 求 的 变 化 根 据 上 述 趋 势 ， 人 们 选 择 防 火 墙 的 标 准 将 集中 在 以 下 几 个 方 面 ：4易 于 管 理 性 ；4