防火墙技术与产品

《防火墙技术与产品》由会员分享，可在线阅读，更多相关《防火墙技术与产品（111页珍藏版）》请在装配图网上搜索。

1、防火墙技术与产品防火墙技术与产品 安全讲座 2 o防火墙概念o防火墙特征o防火墙功能o协议与服务o防火墙技术内容o防火墙体系结构o防火墙实现策略o对防火墙技术与产品发展的介绍o对防火墙技术的展望内容提要 安全讲座 3 ServerClient 防火墙（Firewall）安全讲座 4 为什么需要防火墙为什么需要防火墙 安全讲座 5 l所有软件都是有错的所有软件都是有错的l通常情况下通常情况下99.99%无错的程序很少会出问题无错的程序很少会出问题l同安全相关的同安全相关的99.99%无错的程序可以确信无错的程序可以确信会被人利用那会被人利用那0.01%的错误的错误l0.01%安全问题等于安全问题

2、等于100%的失败的失败Why Security is Harder than it LooksWhy Security is Harder than it Looks 安全讲座 6 内部网特点内部网特点o组成结构复杂o各节点通常自主管理o信任边界复杂，缺乏有效管理o有显著的内外区别o机构有整体的安全需求o最薄弱环节原则 安全讲座 7 为什么需要防火墙为什么需要防火墙o保护内部不受来自Internet的攻击o为了创建安全域o为了增强机构安全策略 安全讲座 8 防火墙概念 防防火火墙墙是是指指设设置置在在不不同同网网络络或或网网络络安安全全域域（公公共共网网和和企企业业内内部部网网）之之间间的的

3、一一系系列列部部件件的的组组合合。它它是是不不同同网网络络（安安全全域域）之之间间的的唯唯一一出出入入口口，能能根根据据企企业业的的安安全全政政策策控控制制（允允许许、拒拒绝绝、监监测测）出出入入网网络络的的信信息息流流，且且本本身身具具有有很很高高的的抗抗攻攻击击能能力力，它它是是提提供供信信息息安全服务，实现网络和信息安全的基础设施。安全服务，实现网络和信息安全的基础设施。安全讲座 9 防火墙特征4保护脆弱和有缺陷的网络服务4集中化的安全管理4加强对网络系统的访问控制4加强隐私4对网络存取和访问进行监控审计 安全讲座 10 保护脆弱和有缺陷的网络服务保护脆弱和有缺陷的网络服务o一个防火墙能

4、极大地提高一个内部网络的安全性，并通一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安择的应用协议才能通过防火墙，所以网络环境变得更安全。全。o防火墙同时可以保护网络免受基于路由的攻击，如防火墙同时可以保护网络免受基于路由的攻击，如IP选选项中的源路由攻击和项中的源路由攻击和ICMP重定向中的重定向路径。防火重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员管理员。防火墙特征

5、安全讲座 11 防火墙特集中化的安全管理通通过过以以防防火火墙墙为为中中心心的的安安全全方方案案配配置置，能能将将所所有有安安全全软软件件（如如口口令令、加加密密、身身份份认认证证、审审计计等等）配配置置在在防防火火墙墙上上。与与将将网网络络安安全全问问题题分分散散到到各各个个主主机机上上相相比比，防防火火墙墙的集中安全管理更经济。的集中安全管理更经济。安全讲座 12 加强对网络系统的访问控制o一个防火墙的主要功能是对整个网络的访问控制。比如防火墙一个防火墙的主要功能是对整个网络的访问控制。比如防火墙可以屏蔽部分主机，使外部网络无法访问，同样可以屏蔽部分可以屏蔽部分主机，使外部网络无法访问，同

6、样可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。但无法访问该主机的特定服务。o防火墙不应向外界提供网络中任何不需要服务的访问权，这实防火墙不应向外界提供网络中任何不需要服务的访问权，这实际上是安全政策的要求了。际上是安全政策的要求了。o控制对特殊站点的访问：如有些主机或服务能被外部网络访问，控制对特殊站点的访问：如有些主机或服务能被外部网络访问，而有些则需被保护起来，防止不必要的访问。而有些则需被保护起来，防止不必要的访问。防火墙特征 安全讲座 13 加强隐私o隐私是内部网络非常关心的问题。一

7、个内部网络中不隐私是内部网络非常关心的问题。一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。安全漏洞。o使用防火墙就可以隐蔽那些透漏内部细节如使用防火墙就可以隐蔽那些透漏内部细节如FingerFinger，DNSDNS等服务。等服务。防火墙特征 安全讲座 14 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使录下这些访

8、问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详行适当的报警，并提供网络是否受到监测和攻击的详细信息。细信息。另外，收集一个网络的使用和误用情况是非常重要的。另外，收集一个网络的使用和误用情况是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非络使用统计对网络需求分析和威胁分析等而

9、言也是非常重要的。常重要的。防火墙特征 安全讲座 15 协议 ISO/OSI协议分层 应用层应用层应用层应用层表示层表示层表示层表示层 会话层会话层会话层会话层传输层传输层传输层传输层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层 安全讲座 16 协议 ISO/OSI协议分层物理层：涉及在物理信道上传输原始比特，处理与物理传输介质有关的机械的、电气的和过程的接口。数据链路层：分为介质访问控制（MAC）和逻辑链路控制（LLC）两个子层。MAC子层解决广播型网络中多用户竞争信道使用权问题。LLC的主要任务是将有噪声的

10、物理信道变成无传输差错的通信信道，提供数据成帧、差错控制、流量控制和链路控制等功能。网络层：负责将数据从物理连接的一端传到另一端，即所谓点到点，通信主要功能是寻径，以及与之相关的流量控制和拥塞控制等。安全讲座 17 协议 ISO/OSI协议分层传输层：主要目的在于弥补网络层服务与用户需求之间的差距。传输层通过向上提供一个标准、通用的界面，使上层与通信子网（下三层）的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。会话层：主要针对远程终端访问。主要任务包括会话管理、传输同步以及活动管理等。表示层：主要功能是信息转换，包括信息压缩、加密、与标准格式的转换（以及上述各操作的逆

11、操作）等等。应用层：提供最常用且通用的应用程序，包括电子邮件（E-mail）和文电传输等。安全讲座 18 应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它 ICMPARP RARPOSI参考模型Internet协议簇OSI参考模型与Internet协议簇 安全讲座 19 协议TCP/IPTCP/IP协议分层协议分层应用层应用层应用层应用层传输层传输层传输层传输层网间网层网间网层网间网层网间网层网络接口层网络接口层网络接口层网

12、络接口层 安全讲座 20 协议TCP/IPTCP/IP协议分层协议分层应应用用层层：向用户提供一组常用的应用程序，比如文件传输访问、电子邮件、远程登录等。用户完全可以在“网间网”之上（即传输层之上），建立自己的专用应用程序，这些专用应用程序要用到TCP/IP，但不属于TCP/IP。传输层（传输层（TCP/UDP）：）：提供应用程序间（即端到端）的可靠（TCP）或高效（UDP）的通信。其功能包括：格式化信息流及提供可靠传输。传输层还要解决不同应用程序的识别问题。网间网层（网间网层（IP）：）：负责相邻计算机之间的通信。其功能包括：处理来自传输层的分组发送请求；处理输入数据包；处理ICMP报文。网

13、络接口层：网络接口层：TCP/IP协议的最低层，负责接收IP数据报并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。安全讲座 21 TCP/IP服务 安全讲座 22 oSMTP-Simple Mail Transfer Protocol,用于发送、接收电子邮件。用于发送、接收电子邮件。oTELNET-可以远程登陆到网络的每个主机上，直接使用他的资源。可以远程登陆到网络的每个主机上，直接使用他的资源。oFTP-File Transfer Protocol,用于文件传输。用于文件传输。oDNS-Domain Name Service,被被 TELNET、FTP、WWW及其它服务所

14、及其它服务所用，可以把主机名字转换为用，可以把主机名字转换为 IP 地址。地址。oWWW-World Wide Web,是是 FTP、gopher、WAIS及其它信息服务的及其它信息服务的结合体结合体,使用超文本传输协议使用超文本传输协议(http)。TCP/IP服务 安全讲座 23 oRPC-远程过程调用服务。如远程过程调用服务。如 NFS-Network File System,可允许系统共享目录与磁盘。可允许系统共享目录与磁盘。oNIS-Network Information Services,网络信息服务网络信息服务容许多个系统共享数据库容许多个系统共享数据库,如如 password

15、file容许集中容许集中管理。管理。oX Window System：一个图形化的窗口系统。：一个图形化的窗口系统。oRlogin、rsh、及、及 其它其它“r”服务服务。运用相互信任的。运用相互信任的主机的概念，在其它系统上可以执行命令且不要求主机的概念，在其它系统上可以执行命令且不要求 password。TCP/IP服务 安全讲座 24 IPIPoIP协议的主要内容包括无连接数据报传送、数据报寻协议的主要内容包括无连接数据报传送、数据报寻径及差错处理三部分。径及差错处理三部分。oIP层作为通信子网的最高层，屏蔽底层各种物理网络层作为通信子网的最高层，屏蔽底层各种物理网络的技术环节，向上（的

16、技术环节，向上（TCP层）提供一致的、通用性的层）提供一致的、通用性的接口，使得各种物理网络的差异性对上层协议不复存接口，使得各种物理网络的差异性对上层协议不复存在。在。oIP数据报分为报头和数据区两部分，数据报分为报头和数据区两部分，IP报头由报头由IP协议协议处理，是处理，是IP协议的体现；数据体则用于封装传输层数协议的体现；数据体则用于封装传输层数据或差错和控制报文（据或差错和控制报文（ICMP）数据，由）数据，由TCP协议或协议或ICMP协议处理。协议处理。安全讲座 25 TCPTCPoTCP是传输层的重要协议之一，提供面向连接的可靠是传输层的重要协议之一，提供面向连接的可靠字节流传输

17、。面向连接的字节流传输。面向连接的TCP要求在进行实际数据传要求在进行实际数据传输前，必须在信源端与信宿端建立一条连接。且面向输前，必须在信源端与信宿端建立一条连接。且面向连接的每一个报文都需接收端确认，未确认报文被认连接的每一个报文都需接收端确认，未确认报文被认为是出错报文，出错的报文协议要求出错重传。为是出错报文，出错的报文协议要求出错重传。oTCP采用可变窗口进行流量控制和拥塞控制以保证可采用可变窗口进行流量控制和拥塞控制以保证可靠性。靠性。o分组是分组是TCP传输数据的基本单元，分传输数据的基本单元，分TCP头和头和TCP数数据体两大部分。据体两大部分。安全讲座 26 UDP UDPo

18、UDP是传输层的重要协议之一；是传输层的重要协议之一；o基于基于UDP的服务包括的服务包括NIS、NFS、NTP及及DNS等。等。oUDP不是面向连接的服务，几乎不提供可靠性措施；因此，基于不是面向连接的服务，几乎不提供可靠性措施；因此，基于UDP的服务具有较高的风险。的服务具有较高的风险。安全讲座 27 TCP与UDP端口o一个一个TCP或或UDP连接由下述要素唯一确定：源连接由下述要素唯一确定：源IP地址、目的地地址、目的地IP地址、源端口、目的地端口。地址、源端口、目的地端口。oTCP或或UDP用协议端口标识通信进程，端口是一种抽象的软件结用协议端口标识通信进程，端口是一种抽象的软件结构

19、（包括一些数据结构和构（包括一些数据结构和I/O缓冲区）。应用程序（即进程）通过缓冲区）。应用程序（即进程）通过系统调用与某些端口建立连接后，传输层传给该端口的数据被相系统调用与某些端口建立连接后，传输层传给该端口的数据被相应进程所接收。应进程所接收。o接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的号的16位整数标识符，用于区分不同端口。位整数标识符，用于区分不同端口。oTCP和和UDP软件分别可以提供软件分别可以提供65536个不同的端口。个不同的端口。o端口有两部分，一部分是保留端口（端口号小于端口有两部分，一部分是保留

20、端口（端口号小于1024，对应于服，对应于服务器进程），一部分是自由端口（以本地方式分配）。务器进程），一部分是自由端口（以本地方式分配）。安全讲座 28 o某些服务进程通常对应于特定的端口。如某些服务进程通常对应于特定的端口。如SMTP为为25，X WINDOWS为为6000。o客户使用端口号及目的地客户使用端口号及目的地IP地址初始化与一个特定主机或服务的地址初始化与一个特定主机或服务的连接。连接。TCP与UDP端口 安全讲座 29 防火墙技术可根据防范的方式和侧重点的不同而分为防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型很多种类型,总体来讲可分为三大类：总体来讲可分为三大类：

21、l分组过滤分组过滤l应用代理应用代理l电路中继电路中继防火墙技术内容 安全讲座 30 p分组过滤（分组过滤（Packet filteringPacket filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。p应用代理应用代理（Application ProxyApplication Proxy）：）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，

22、实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。p电路中继电路中继(Circuit Relay)(Circuit Relay)也叫电路网关(Circuit Gateway)或TCP代理（TCP Proxy）,其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的TCP协议编制的。防火墙技术内容 安全讲座 31 防火墙技术内容防火墙技术内容分组过滤分组过滤应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层物理层物理层数据链路层数据链

23、路层网络层网络层应用层应用层应用层应用层表示层表示层表示层表示层会话层会话层会话层会话层传输层传输层传输层传输层网络层网络层网络层网络层数据链路层数据链路层数据链路层数据链路层物理层物理层物理层物理层外部网络主机内部网络主机分组过滤型防火墙 安全讲座 32 一个分组过滤型防火墙通常能根据一个分组过滤型防火墙通常能根据IPIP分组的以下各项分组的以下各项过滤：过滤：4源IP地址4目标IP地址4TCP/UDP源端口4TCP/UDP目标端口4协议类型防火墙技术内容分组过滤分组过滤 安全讲座 33 防火墙技术内容分组过滤分组过滤分组过滤防火墙应用示例 安全讲座 34 优点：优点：o透明的防火墙系统透明

24、的防火墙系统o高速的网络性能高速的网络性能o易于配置易于配置o支持网络内部隐藏支持网络内部隐藏防火墙技术内容分组过滤分组过滤 安全讲座 35 缺点：缺点：4易于IP地址假冒4记录日志信息不充分4源路由攻击4设计和配置一个真正安全的分组过滤规则比较困难4分组过滤防火墙并不能过滤所有的协议4极小分片设数据包攻击4无法防止数据驱动式攻击防火墙技术内容分组过滤分组过滤 安全讲座 36 防火墙技术内容应用代理应用代理应用层表示层会话层传输层网络层数据链路层物理层物理层物理层数据链路层数据链路层网络层网络层应用层表示层会话层传输层网络层数据链路层物理层外部网络主机内部网络主机应用代理型防火墙应用层应用层表

25、示层表示层会话层会话层传输层传输层 安全讲座 37 防火墙技术内容应用代理应用代理外部外部Telnet服务器服务器内部内部Telnet服务器服务器日志系统日志系统Telnet代理代理FTP代理代理认证系统认证系统应用网关应用网关一个Telnet代理的例子 安全讲座 38 一个Telnet应用代理的过程o用户首先用户首先Telnet到应用网关主机，并输入内部目标主到应用网关主机，并输入内部目标主机的名字（域名、机的名字（域名、IP地址）地址）o应用网关检查用户的源应用网关检查用户的源IP地址等，并根据事先设定的地址等，并根据事先设定的访问规则来决定是否转发或拒绝访问规则来决定是否转发或拒绝o然后

26、用户必须进行是否验证（如一次一密等高级认证然后用户必须进行是否验证（如一次一密等高级认证设备）设备）o应用网关中的代理服务器为用户建立在网关与内部主应用网关中的代理服务器为用户建立在网关与内部主机之间的机之间的Telnet连接连接o代理服务器在两个连接（用户代理服务器在两个连接（用户/应用网关，代理服务应用网关，代理服务器器/内部主机）之间传送数据内部主机）之间传送数据o应用网关对本次连接进行日志记录应用网关对本次连接进行日志记录防火墙技术内容应用代理应用代理 安全讲座 39 优点：优点：o在网络连接建立之前可以对用户身份进行认证在网络连接建立之前可以对用户身份进行认证o所有通过防火墙的信息流

27、可以被记录下来所有通过防火墙的信息流可以被记录下来o易于配置易于配置o支持内部网络的信息隐藏支持内部网络的信息隐藏o与分组过滤规则相比简单与分组过滤规则相比简单o易于控制和管理易于控制和管理防火墙技术内容应用代理应用代理 安全讲座 40 缺点：缺点：4对每种类型的服务都需要一个代理4网络性能不高4防火墙对用户不透明4客户应用可能需要修改4需要多个防火墙主机防火墙技术内容应用代理应用代理 安全讲座 41 防火墙技术内容电路中继电路中继o拓扑结构同应用程序网关相同o接收客户端连接请求，代理客户端完成网络连接o在客户和服务器间中转数据o通用性强 安全讲座 42 防火墙几种典型配置方案防火墙几种典型配

28、置方案o双宿主方案双宿主方案o屏蔽主机方案屏蔽主机方案l单宿主堡垒主机l双宿主堡垒主机o屏蔽子网方案屏蔽子网方案 安全讲座 43 防火墙的配置防火墙的配置 几个概念几个概念l堡垒主机(Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点l双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统lDMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网 安全讲座 44 配置方案一配置方案一o双宿主堡垒主机方案双宿主堡垒主机方案o所有的流量都通过堡垒主机所有的流量都通过堡垒主机o优点：简单优点：简单

29、安全讲座 45 配置方案二配置方案二o屏蔽主机方案：单宿主堡垒主机屏蔽主机方案：单宿主堡垒主机o只允许堡垒主机可以与外界直接通讯只允许堡垒主机可以与外界直接通讯o优点：两层保护：包过滤优点：两层保护：包过滤+应用层网关；灵活配置应用层网关；灵活配置 o缺点：一旦包过滤路由器被攻破，则内部网络被暴露缺点：一旦包过滤路由器被攻破，则内部网络被暴露 安全讲座 46 配置方案三配置方案三o屏蔽主机方案：双宿主堡垒主机屏蔽主机方案：双宿主堡垒主机o从物理上把内部网络和从物理上把内部网络和Internet隔开，必须通过两层屏障隔开，必须通过两层屏障o优点：两层保护：包过滤优点：两层保护：包过滤+应用层网关

30、；配置灵活应用层网关；配置灵活 安全讲座 47 配置方案四配置方案四o屏蔽子网防火墙屏蔽子网防火墙o优点：优点：l三层防护，用来阻止入侵者l外面的router只向Internet暴露屏蔽子网中的主机l内部的router只向内部私有网暴露屏蔽子网中的主机 安全讲座 48 防火墙实现策略防火墙实现策略对防火墙系统而言，共有两层网络安全策略：对防火墙系统而言，共有两层网络安全策略：o网络服务访问策略：是高层策略，定义了受保护网络网络服务访问策略：是高层策略，定义了受保护网络明确允许和明确拒绝的网络服务，分析网络服务的可明确允许和明确拒绝的网络服务，分析网络服务的可用性（包括可用条件）、风险性等。用性

31、（包括可用条件）、风险性等。o防火墙设计策略：是低层策略，描述了防火墙如何根防火墙设计策略：是低层策略，描述了防火墙如何根据高层的网络服务访问策略中定义的策略来具体地限据高层的网络服务访问策略中定义的策略来具体地限制访问和过滤服务。制访问和过滤服务。安全讲座 49 网络服务访问策略o不允许外部网络或不允许外部网络或InternetInternet访问内部网络，但允许内访问内部网络，但允许内部网络访问外部网络或部网络访问外部网络或InternetInternet。o允许外部网络或允许外部网络或InternetInternet访问部分内部网络，这些特访问部分内部网络，这些特定的网络服务是经过严格选

32、择和控制的，如一些信息定的网络服务是经过严格选择和控制的，如一些信息服务器、电子邮件服务器或域名服务器等等。服务器、电子邮件服务器或域名服务器等等。防火墙实现策略防火墙实现策略 安全讲座 50 防火墙设计策略 防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以防火墙设计策略必须针对具体的防火墙，它定义过滤规则等，以实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙实现高层的网络服务策略。这个策略在设计时必须考虑到防火墙本身的性能、限制及具体协议如本身的性能、限制及具体协议如TCP/IP。常用的两种基本防火墙。常用的两种基本防火墙设计策略是：设计策略是：o允许所有除明确拒绝之外的通信

33、或服务（很少考虑，因为这样的允许所有除明确拒绝之外的通信或服务（很少考虑，因为这样的防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种防火墙可能带来许多风险和安全问题。攻击者完全可以使用一种拒绝策略中没有定义的服务而被允许并攻击网络）拒绝策略中没有定义的服务而被允许并攻击网络）o拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并拒绝所有除明确允许之外的通信或服务（常用，但操作困难，并有可能拒绝网络用户的正常需求与合法服务）有可能拒绝网络用户的正常需求与合法服务）防火墙实现策略 安全讲座 51 作为一个安全策略的设计者，应懂得以下问题的要点：作为一个安全策略的设计者，应懂得以下问题的

34、要点：o哪些哪些Internet服务是本网络系统打算使用或提供的？服务是本网络系统打算使用或提供的？（如（如TELNET、FTP、HTTP）o这些这些Internet服务在哪或哪个范围内使用？（如在本地服务在哪或哪个范围内使用？（如在本地网内、整个网内、整个Internet或拨号服务等）或拨号服务等）o可能有哪些额外或临时的服务或需求？（如加密、拨可能有哪些额外或临时的服务或需求？（如加密、拨入服务等）入服务等）o提供这些服务和访问有哪些风险和总的花费？提供这些服务和访问有哪些风险和总的花费？防火墙实现策略防火墙实现策略 安全讲座 52 对防火墙技术与产品发展的介绍o防火墙技术是建立在现代通信

35、网络技术和信息安全技 术基础上的应用性安全技术，越来越多地应用于专用 网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。oInternet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：据不完全统计，在国际上防火墙产品销售从1995年的不到1万套，猛增到1997年底的10万套。o据国际权威商业调查机构的预测,防火墙市场将以173的复合增长率增长，到2000年将达150万套，市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。安全讲座 53 防火墙发展历程防火墙发展历程第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙第二阶段：用户

36、化的防火墙工具套第二阶段：用户化的防火墙工具套第三阶段：建立在通用操作系统上的防火墙第三阶段：建立在通用操作系统上的防火墙第四阶段：具有安全操作系统的防火墙第四阶段：具有安全操作系统的防火墙对防火墙技术与产品发展的介绍对防火墙技术与产品发展的介绍 安全讲座 54 第一代防火墙产品的特点是：第一代防火墙产品的特点是：o利利用用路路由由器器本本身身对对分分组组的的解解析析,以以访访问问控控制制表表（access access listlist）方方式式实实现现对对分组的过滤；分组的过滤；o过滤判决的依据可以是：地址、端口号、过滤判决的依据可以是：地址、端口号、IPIP旗标及其它旗标及其它 网络特征

37、；网络特征；o只有分组过滤的功能，且防火墙与路由器是一体的，对只有分组过滤的功能，且防火墙与路由器是一体的，对 安全要求低的网络可采用路由器附带防火墙功能的方法，安全要求低的网络可采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。对安全性要求高的网络则可单独利用一台路由器作防火墙。第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙 安全讲座 55 第一阶段：基于路由器的防火墙第一阶段：基于路由器的防火墙第一代防火墙产品的不足之处为：4路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。4路由器上的分组过滤规则的设置和配置存在安全隐患。4攻

38、击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。4防火墙的规则设置会大大降低路由器的性能。安全讲座 56 第二阶段：用户化的防火墙工具套第二阶段：用户化的防火墙工具套作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：o将将过过滤滤功功能能从从路路由由器器中中独独立立出出来来，并并加加上上审审计计和和告告警警功能；功能；o针对用户需求，提供模块化的软件包；针对用户需求，提供模块化的软件包；o软件可通过网络发送，用户可根据需要构造防火墙；软件可通过网络发送，用户可根据需要构造防火墙；o与

39、第一代防火墙相比，安全性提高了，价格降低了。与第一代防火墙相比，安全性提高了，价格降低了。安全讲座 57 第二阶段：用户化的防火墙工具套第二阶段：用户化的防火墙工具套不足之处：4配置和维护过程复杂、费时；4对用户的技术要求高；4全软件实现，安全性和处理速度均有局限；4实践表明，使用中出现差错的情况很多。安全讲座 58 第三阶段：建立在通用操作系统上的防火墙第三阶段：建立在通用操作系统上的防火墙具有以下特点：4是批量上市的专用防火墙产品；4包括分组过滤或者借用路由器的分组过滤功能；4装有专用的代理系统，监控所有协议的数据和指令；4保护用户编程空间和用户可配置内核参数的设置；4安全性和速度大为提高

40、。安全讲座 59 第三阶段：建立在通用操作系统上的防火墙第三阶段：建立在通用操作系统上的防火墙存在的问题：o作作为为基基础础的的操操作作系系统统及及其其内内核核往往往往不不为为防防火火墙墙管管理理者者所知，由于原码的保密，其安全性无从保证；所知，由于原码的保密，其安全性无从保证；o由由于于大大多多数数防防火火墙墙厂厂商商并并非非通通用用操操作作系系统统的的厂厂商商，通通用操作系统厂商不会对操作系统的安全性负责；用操作系统厂商不会对操作系统的安全性负责；o从从本本质质上上看看，第第三三代代防防火火墙墙既既要要防防止止来来自自外外部部网网络络的的攻击，还要防止来自操作系统厂商的攻击。攻击，还要防止

41、来自操作系统厂商的攻击。o用用户户必必须须依依赖赖两两方方面面的的安安全全支支持持：一一是是防防火火墙墙厂厂商商、一是操作系统厂商。一是操作系统厂商。安全讲座 60 第四阶段：具有安全操作系统的防火墙第四阶段：具有安全操作系统的防火墙 具有以下特点：具有以下特点：o防火墙厂商具有操作系统的源代码，并可实现安全内核；防火墙厂商具有操作系统的源代码，并可实现安全内核；o对对安安全全内内核核实实现现加加固固处处理理:即即去去掉掉不不必必要要的的系系统统特特性性，加加固固内内核核，强化安全保护；强化安全保护；o对对每每个个服服务务器器、子子系系统统都都作作了了安安全全处处理理，一一旦旦黑黑客客攻攻破破

42、了了一一个个服服务务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；o在在功功能能上上包包括括了了分分组组过过滤滤、应应用用网网关关、电电路路级级网网关关，且且具具有有加加密密与与鉴别功能；鉴别功能；o透明性好，易于使用。透明性好，易于使用。安全讲座 61 第四代防火墙的主要技术与功能第四代防火墙的主要技术与功能第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能特点：4双端口或三端口的结构4透明的访问方式4灵活的代理系统4多级的过滤技术4网络地址转

43、换技术4 Internet网关技术4 安全服务器网络（SSN）4 用户鉴别与加密4 用户定制服务4 审计和告警 安全讲座 62 双端口或三端口的结构双端口或三端口的结构 新新一一代代防防火火墙墙产产品品具具有有两两个个或或三三个个独独立立 的的网网卡卡，内内外外两两个个网网卡卡可可不不作作IP转转化化而而串串接接于于内内部部网网与与外外部部网网之之间间，另另一一个个网网卡卡可可专专用于对服务器的安全保护。用于对服务器的安全保护。安全讲座 63 透明的访问方式透明的访问方式 以前的防火墙在访问方式上要么要求用户作以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过系统登录，要么需要通过S

44、OCKS等库路径修改客等库路径修改客户机的应用。第四代防火墙利用了透明的代理系户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和统技术，从而降低了系统登录固有的安全风险和出错概率。出错概率。安全讲座 64 灵活的代理系统灵活的代理系统 代代理理系系统统是是一一种种将将信信息息从从防防火火墙墙的的一一侧侧传传送送到到另另一一侧侧的的软软件件模模块块。第第四四代代防防火火墙墙采采用用了了两两种种代代理理机机制制，一一种种用用于于代代理理从从内内部部网网络络到到外外部部网网络络的的连连接接，采采用用网网络络地地址址转转换换(NAT)技技术术来来解解决决，另另一一种种

45、用用于于代代理理从从外外部部网网络络到到内内部部网网络络的的连连接接。采采用用非非保保密密的的用用户户定定制制代代理理或保密的代理系统技术来解决。或保密的代理系统技术来解决。安全讲座 65 多级的过滤技术多级的过滤技术 为为保保证证系系统统的的安安全全性性和和防防护护水水平平，第第四四代代防防火火墙墙采采用用了了三三级级过过滤滤措措施施，并并辅辅以以鉴鉴别别手手段段。在在分分组组过过滤滤一一级级，能能过过滤滤掉掉所所有有的的源源路路由由分分组组和和假假冒冒的的IP源源地地址址；在在应应用用级级网网关关一一级级,能能利利用用FTP、SMTP等等各各种种网网关关，控控制制和和监监测测Interne

46、t提提供供的的所所有有通通用用服服务务；在在电电路路网网关关一一级级，实实现现内内部部主主机机与与外外部部站站点点的的透透明明连连接接，并并对对服服务的通行实行严格控制。务的通行实行严格控制。安全讲座 66 网络地址转换技术网络地址转换技术 第第四四代代防防火火墙墙利利用用NAT技技术术能能透透明明地地对对所所有有内内部部地地址址作作转转换换，使使外外部部网网络络无无法法了了解解内内部部网网络络的的内内部部结结构构，同同时时允允许许内内部部网网络络使使用用自自己己编编的的IP地地址址和和专专用用网网络络，防防火火墙墙能能详详尽尽记记录录每每一一个个主主机机的的通信，确保每个分组送往正确的地址。

47、通信，确保每个分组送往正确的地址。安全讲座 67 InternetInternet网关技术网关技术 由于是直接串连在网络之中，第四代防火墙必须支持由于是直接串连在网络之中，第四代防火墙必须支持 用户在用户在Internet互连的所有服务，同时还要防止与互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的服务有关的安全漏洞。故它要能以多种安全的应用服务器应用服务器(包括包括FTP、Finger、mail、Ident、News、WWW等等)来实现网关功能。来实现网关功能。在域名服务方面，第四代防火墙采用两种独立的域名在域名服务方面，第四代防火墙采用两种独立的域名

48、服务器。在匿名服务器。在匿名FTP方面，服务器只提供对有限的受保护方面，服务器只提供对有限的受保护 的部份目录的只读访问。的部份目录的只读访问。安全讲座 68 安全服务器网络（安全服务器网络（SSNSSN）为为适适应应越越来来越越多多的的用用户户向向InternetInternet上上提提供供服服务务时时对对服服务务器器保保护护的的需需要要,第第四四代代防防火火墙墙采采用用特特别别保保护护的的策策略略对对用用户户上上网网的的对对外外服服务务器器实实施施保保护护，它它利利用用一一张张网网卡卡将将对对外外服服务务器器作作为为一一个个独独立立网网络络处处理理，对对外外服服务务器器既既是是内内部部网网

49、的的一一部部份份，又又与与内内部部网网关关完完全全隔隔离离。这这就就是是安安全全服服务务器器网网络络(SSN)(SSN)技技术术，对对SSNSSN上上的的主主机机既既可可单单独独管管理理，也也可可设设置置成成通通过过FTPFTP、TelnetTelnet等等方方式式从从内内部部网网上上管理。管理。安全讲座 69 用户鉴别与加密用户鉴别与加密 为了降低防火墙产品在为了降低防火墙产品在Telnet、FTP等服务等服务和远程管理上的安全风险，鉴别功能必不可少，和远程管理上的安全风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系统来作第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段

50、。为用户的鉴别手段。安全讲座 70 用户定制服务用户定制服务 为为满满足足特特定定用用户户的的特特定定需需求求，第第四四代代防防火火墙墙在在提提供供众众多多服服务务的的同同时时,还还为为用用户户定定制制提提供供支支持持，这这类类选选项项有有：通通用用TCPTCP，出出站站UDPUDP、FTPFTP、SMTPSMTP等等类类,如如果果某某一一用用户户需需要要建建立立一一个个数数据据库库的的代代理理，便便可可利利用用这这些些支支持持，方便设置。方便设置。安全讲座 71 审计和告警审计和告警 第四代防火墙产品的审计和告警功能十分健第四代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核

51、信息、核心全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接请求、已鉴别的访问、告警息、已发消息、连接请求、已鉴别的访问、告警条件、管理日志、进站代理、条件、管理日志、进站代理、FTPFTP代理、出站代代理、出站代理、邮件服务器、域名服务器等。告警功能会守理、邮件服务器、域名服务器等。告警功能会守住每一个住每一个TCPTCP或或UDPUDP探寻，并能以发出邮件、声探寻，并能以发出邮件、声响等多种方式报警。响等多种方式报警。安全讲座 72 第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 作作为为一一种

52、种安安全全防防护护设设备备，防防火火墙墙在在网网络络中中自自然然是是众众多多攻攻击击者者的的目目标标，故故抗抗攻攻击击能能力力也也是是防防火火墙墙的的必必备备功功能能，在在 Internet环环境境中中针针对对防火墙的攻击方法主要有：防火墙的攻击方法主要有：4抗抗IPIP假冒攻击假冒攻击4抗特洛伊木马攻击抗特洛伊木马攻击4抗口令字探寻攻击抗口令字探寻攻击4抗网络安全性分析抗网络安全性分析4抗邮件诈骗攻击抗邮件诈骗攻击 安全讲座 73 抗抗IPIP假冒攻击假冒攻击 IPIP假假冒冒是是指指一一个个非非法法的的主主机机假假冒冒内内部部的的主主机机地地址址，骗骗取取服服务务器器的的“信信任任”，从从

53、而而达达到到对对网网络络的的攻攻击击目目的的。由由于于第第四四代代防防火火墙墙知知道道网网络络内内外外的的IPIP地地址址，它它会会丢丢弃弃所所有有来来自自网网络络外外部部但但却却有有内内部部地地址址的的分分组组，再再之之防防火火墙墙已已将将网网内内的的实实际际地地址址隐隐蔽蔽起起来来，外外部部用用户户很很难难知知道道内内部部的的IPIP地址，因而难以攻击。地址，因而难以攻击。第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 安全讲座 74 抗特洛伊木马攻击抗特洛伊木马攻击 特特洛洛伊伊木木马马能能将将病病毒毒或或破破坏坏性性程程序序传传入入计计算算机机网网络络，且且通通常常是是将将这这些些恶

54、恶意意程程序序隐隐蔽蔽在在正正常常的的程程序序，尤尤其其是是热热门门程程序序或或游游戏戏之之中中，一一些些用用户户下下载载并并执执行行这这一一程程序序，其其中中的的病病毒毒便便会会发发作作。第第四四代代防防火火墙墙是是建建立立在在安安全全的的操操作作系系统统之之上上的的，其其安安全全内内核核中中不不能能执执行行下下载载的的程程序序，故故而而可可防防止止特特洛洛伊伊木木马马的的发发生生。必必须须指指出出的的是是，防防火火墙墙能能抗抗特特洛洛伊伊木木马马的的攻攻击击并并不不表表明明受受其其保保护护的的某某个个主主机机也也能能防防止止这这类类攻攻击击。事事实实上上，内内部部用用户户可可通通过过防防火

55、火墙下载程序，并执行下载的程序。墙下载程序，并执行下载的程序。第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 安全讲座 75 抗口令字探寻攻击抗口令字探寻攻击 在在网网络络中中探探寻寻口口令令字字的的方方法法很很多多，最最常常见见的的是是口口令令字字嗅嗅探探和和口口令令字字解解密密。嗅嗅探探是是通通过过监监测测网网络络通通信信，截截获获用用户户传传给给服服务务器器的的口口令令字字，记记录录下下来来，以以便便使使用用；解解密密是是指指采采用用强强力力攻攻击击、猜猜测测或或截截获获含含有有加加密密口口令令字字的的文文件件，并并设设法法解解密密。此此外外，攻攻击击者者还还常常常常利利用用一一些些常

56、用口令字直接登录。常用口令字直接登录。第第四四代代防防火火墙墙采采用用了了一一次次性性口口令令字字和和禁禁止止直直接接登登录防火墙的措施，能有效防止对口令字的攻击。录防火墙的措施，能有效防止对口令字的攻击。第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 安全讲座 76 抗网络安全性分析抗网络安全性分析 网网络络安安全全性性分分析析工工具具本本是是供供管管理理人人员员分分析析网网络络安安全全性性之之用用的的，一一旦旦这这类类工工具具用用作作攻攻击击网网络络的的手手段段，则则能能较较方方便便地地探探测测到到内内部部网网络络的的安安全全缺缺陷陷和和弱弱点点所所在在，目目前前，SATAN软软件件可可

57、以以从从网网上上免免费费获获得得，Internet Scanner 可可从从市市面面上上购购买买，这这些些分分析析工工具具给给网网络络安安全全构构成成了了直直接接威威胁胁。第第四四代代防防火火墙墙采采用用了了地地址址转转换换技技术术，将将内内部部网网络络隐隐蔽蔽起起来来，使使网网络络安安全全分分析析工工具具无无法法从从外外部对内部网作分析。部对内部网作分析。第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 安全讲座 77 抗邮件诈骗攻击抗邮件诈骗攻击 邮邮件件诈诈骗骗也也是是越越来来越越突突出出的的攻攻击击方方式式，第第四四代代防防火火墙墙不不接接收收任任何何邮邮件件，故故难难以以采采用用这这

58、种种方方式式对对它它攻攻击击，同同样样值值得得一一提提的的是是，防防火火墙墙不不接接受受邮邮件件，并并不不表表示示它它不不让让邮邮件件通通过过，实实际际上上用用户户仍仍可可收收发发邮邮件件，内内部部用用户户要防邮件诈骗，最终的解决办法是对邮件加密。要防邮件诈骗，最终的解决办法是对邮件加密。第四代防火墙的抗攻击能力第四代防火墙的抗攻击能力 安全讲座 78 防火墙的不足之处防火墙的不足之处o不能对绕过防火墙的攻击提供保护o不能防范内部的攻击o不能对病毒感染的程序和文件的传输提供保护o不能防范全新的威胁o当使用端加密时其作用会受到很大的限制o对用户不完全透明，可能带来传输延迟、瓶颈及单点失效。安全讲

59、座 79 对防火墙技术的展望：对防火墙技术的展望：几点趋势几点趋势o防防火火墙墙将将从从目目前前对对子子网网或或内内部部网网管管理理的的方方式式向向远远程程上上网网集集中中管管理理的方式发展；的方式发展；o过过滤滤深深度度不不断断加加强强,从从目目前前的的地地址址、服服务务过过滤滤，发发展展到到 URL（页页面面）过过滤滤，关关键键字字过过滤滤和和对对Active X、Java等等的的过过滤滤，并并逐逐渐渐有有病毒扫除功能。病毒扫除功能。o单向防火墙（又叫网络二极管）将作为一种产品门类而出现单向防火墙（又叫网络二极管）将作为一种产品门类而出现；安全讲座 80 o利利用用防防火火墙墙建建立立专专

60、用用网网(VPN)是是较较长长一一段段时时间间的的用用户户使使用用的的主主流流，IP的的加加密密需需求求越越来来越越强强，安安全全协协议议的的开开发发是一大热点；是一大热点；o对网络攻击的检测和告警将成为防火墙的重要功能；对网络攻击的检测和告警将成为防火墙的重要功能；o安安全全管管理理工工具具不不断断完完善善，特特别别是是可可疑疑活活动动的的日日志志分分析析工具等将成为防火墙产品中的一部分工具等将成为防火墙产品中的一部分。对防火墙技术的展望：对防火墙技术的展望：几点趋势几点趋势 安全讲座 81 对防火墙技术的展望：需求的变化对防火墙技术的展望：需求的变化 根据上述趋势，人们选择防火墙的标准将集

61、根据上述趋势，人们选择防火墙的标准将集中在以下几个方面：中在以下几个方面：4易于管理性；易于管理性；4应用透明性；应用透明性；4鉴别与加密功能；鉴别与加密功能；4操作环境和硬件要求；操作环境和硬件要求；4VPN的功能与的功能与CA的功能；的功能；4接口的数量；接口的数量；4成本。成本。安全讲座 82 对防火墙技术的展望：安全应用网关对防火墙技术的展望：安全应用网关o作为企业内部集中的安全应用网关，集成了以下功能作为企业内部集中的安全应用网关，集成了以下功能l防火墙lVPNl内容过滤l防病毒l入侵检测 安全讲座 83 防火墙设计的一般原则防火墙设计的一般原则o确定安全策略确定安全策略l明确企业的

62、出口：Internet，合作伙伴，上下级单位；l明确各出口的主要应用l内部网安全级别的划分l内部网需要保护的网段和数据，并明确其级别l若与Internet相连，则明确主要目的；是否有信息发布l明确威胁的主要来源：外部、内部o安全方案的选择安全方案的选择o防火墙产品选型防火墙产品选型 安全讲座 84 防火墙配置策略的基本准则防火墙配置策略的基本准则一切未被允许的就是禁止的。防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。优点:实用,安全，可靠性高。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾的匹配方式匹配成功马上停止立刻使用该规则的”接受、禁止

63、、拒绝”安全讲座 85 防火墙的选型功能防火墙的选型功能o产品类型l包过滤、基于通用操作系统的防火墙、基于专用操作系统的防火墙oLAN接口l防火墙能保护的网络类型，如ethernet、fast ethernetl支持的最大LAN接口数l服务器平台：防火墙运行的平台o协议支持l支持的非IP协议lVPN 安全讲座 86 防火墙的选型功能防火墙的选型功能o访问控制l通过防火墙的包过滤设置l在应用层提供代理支持l在传输层提供代理支持l用户操作的代理类型l支持网络地址转换（NAT）l支持硬件口令、智能卡o防御功能l内容过滤，病毒扫描，防DOS攻击，阻止ActiveX、Java、Cookie、JavaSc

64、ript入侵o加密支持o认证支持o安全特性l提供入侵实时报警及防范l识别/记录/防止企图进行IP地址欺骗o管理功能 安全讲座 87 防火墙的选型性能防火墙的选型性能o吞吐量（Throughput）-指以待测设备不丢弃数据帧位前提的最指以待测设备不丢弃数据帧位前提的最大速率；大速率；o时延（Latency）-根据设备类型不同有不同的定义；根据设备类型不同有不同的定义；o丢包率（Frame loss rate）-指在稳定负载下，应由网络设备指在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比；传输，但由于资源缺乏而被丢弃的帧的百分比；o缓冲能力（背对背 Back-to-back F

65、rame）-指从空闲状态开始，指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数；固定长度的帧，当出现第一个帧丢失时，发送的帧数；o系统恢复能力（System recovery）o复位（Reset）安全讲座 88 对防火墙的更高要求对防火墙的更高要求o高性能l软件l操作系统和应用系统的体系结构上l国外设计专用系统，比较精小，效率高l硬件l软件运算硬件化，将主要的运算（查表运算是防火墙的主要运算工作）做成芯片l提高系统CPU的处理能力，增大内存容量o高稳定可靠性l比较重要，主

66、要体现在软件和硬件上；l国外在硬件方面有很好的经验和配套能力，系统在硬件方面的可靠性比较高；l国内：硬件方面使用PC机和工控机，使用比较低端的网卡，没有独立专用的硬件平台 安全讲座 89 对防火墙的更高要求对防火墙的更高要求o高应用适应能力l即体现在产品使用的灵活性方面l支持SNMP网络管理协议l网络应用方面，国外比较好的防火墙可以支持上千种网络应用；防火墙的配置模式防火墙的配置模式 安全讲座 91 Internet/公网公网内部网内部网路由器路由器NEsec300 FW2035968?告警内网接口外网接口电源控制台服务器服务器服务器主机主机内外网络隔离内外网络隔离 截取IP包，根据安全策略控制其进/出 双向网络地址转换（NAT）基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑，防止IP地址的滥用安全记录安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警移动用户移动用户拨号用户拨号用户局域网用户局域网用户防火墙防火墙（内部地址）（内部地址）安全讲座 92 路由器HTTP服务器DNS服务器Email服务器防火墙DMZDMZ区区（Demilitarized Zone