網(wǎng)絡(luò)安全和防火墻技術(shù)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 網(wǎng)絡(luò)安全與防火墻技術(shù)一、在用戶安全設(shè)置方面1. 禁用Guest賬號(hào)。不論工作組模式還是域模式，都應(yīng)該禁用此賬號(hào)。惟一的例外就是極少數(shù)量（10臺(tái)以下）的機(jī)器之間用網(wǎng)上鄰居互訪共享文件夾，且不和公網(wǎng)相連，可以繼續(xù)保持此賬號(hào)。2. 限制不必要的用戶。此時(shí)需注意：（1）在工作組模式中，默認(rèn)賬號(hào)有Administrator、Guest。如果要用IIS（Internet Information Server）建設(shè)各類站點(diǎn)，則IUSERcomputername和IWAMcomputername也是默認(rèn)賬號(hào)，不能停用。因前者是IIS匿名訪問(wèn)賬號(hào)，后者是IIS匿名執(zhí)行腳本的賬號(hào)。這兩

2、個(gè)賬號(hào)默認(rèn)有密碼，是由系統(tǒng)分配的，用戶不要更改其密碼，更不要?jiǎng)h除，否則IIS不能匿名訪問(wèn)和執(zhí)行腳本；如果有終端服務(wù)則TsInternetUser也是默認(rèn)賬號(hào)，不能停用。（2）在域模式中，Administrator組中會(huì)增加Domain Admins和Enterprise Admins兩個(gè)組中的成員，另外還會(huì)有Krbtgt賬號(hào)，默認(rèn)是被禁用的，這個(gè)賬號(hào)是密鑰分發(fā)賬號(hào)。3. 開啟用戶策略。其中有用戶鎖定閥值設(shè)置，將它設(shè)置為多少才合適呢？用戶在登錄時(shí)，Windows會(huì)采用加密協(xié)議加密用戶的用戶名和密碼。在域環(huán)境中，如果只是單純的系統(tǒng)（即什么軟件都不裝），用戶進(jìn)行登錄時(shí)，Windows會(huì)嘗試用Kerb

3、os協(xié)議驗(yàn)證，不成功則會(huì)再用Ntlm驗(yàn)證，此時(shí)的驗(yàn)證的方式有兩種；如果該賬戶同時(shí)又是Outlook的用戶，驗(yàn)證的方式將有6種之多，也就是說(shuō)用戶在登錄時(shí)如果密碼輸入錯(cuò)誤，一次登錄就要浪費(fèi)掉6次賬戶鎖定值。因此，微軟技術(shù)支持中心的工程師建議將這個(gè)鎖定值設(shè)置為13，這樣才可以實(shí)現(xiàn)錯(cuò)誤輸入密碼3次再鎖定賬戶的目的。二、在密碼安全設(shè)置方面在給賬號(hào)設(shè)置密碼時(shí)，不是密碼位數(shù)越多越好，在符合密碼復(fù)雜性原則的基礎(chǔ)上，7位和14位的密碼是最好的。這個(gè)結(jié)論是微軟全球技術(shù)支持中心的工程師給出的，它是由密碼所采用的加密算法決定的。有一點(diǎn)大家需注意：屏幕保護(hù)存在一個(gè)安全漏洞，即他人可以在不進(jìn)入系統(tǒng)的情況下，利用DOS模式

4、將Cmd.exe命令更名為你所選用的屏幕保護(hù)程序的名稱而將其替換掉。此后，只要這個(gè)“屏幕保護(hù)程序”一運(yùn)行，Cmd窗口就會(huì)彈出且以系統(tǒng)身份運(yùn)行，默認(rèn)是最大權(quán)限。因此，采用設(shè)置屏幕保護(hù)密碼的做法并不安全，正確的做法應(yīng)是網(wǎng)管員離開工位時(shí)要鎖定計(jì)算機(jī)（Windows 2000下，按CtrlAltDel，在彈出的“關(guān)機(jī)”菜單中選擇“鎖定計(jì)算機(jī)”即可）。三、在系統(tǒng)安全設(shè)置方面 1. 使用NTFS格式分區(qū)。NTFS分區(qū)要比FAT分區(qū)安全很多，且只有使用NTFS分區(qū)才能真正發(fā)揮Windows 2000的作用。Windows 2000自帶了轉(zhuǎn)換NTFS分區(qū)的工具Convert。在命令提示符下執(zhí)行Convert

5、x /FSNTFS（x為所要轉(zhuǎn)換的盤符），執(zhí)行時(shí)如果轉(zhuǎn)換的是非操作系統(tǒng)所在分區(qū)，則立即執(zhí)行分區(qū)轉(zhuǎn)換；如果轉(zhuǎn)換的是操作系統(tǒng)所在分區(qū)，則重啟后執(zhí)行分區(qū)轉(zhuǎn)換。注意：此轉(zhuǎn)換過(guò)程是單向不可逆的，即只能由FAT轉(zhuǎn)換至NTFS。雖然可用第三方工具做分區(qū)格式之間的轉(zhuǎn)換，但這樣做不能保證絕對(duì)安全，在某些情況下會(huì)導(dǎo)致分區(qū)不可用，所以建議只用Convert命令來(lái)轉(zhuǎn)換分區(qū)格式；如果非要用第三方工具，一定要事先做好備份。另外，據(jù)我個(gè)人經(jīng)驗(yàn)，并不需要將所有分區(qū)都做成NTFS分區(qū)，而應(yīng)保留一個(gè)分區(qū)為FAT32，用于存放一些常用工具，并可方便Ghost備份。2. 到微軟網(wǎng)站下載最新的補(bǔ)丁程序。強(qiáng)烈建議！這是每一個(gè)網(wǎng)絡(luò)管理員都

6、應(yīng)該有的好習(xí)慣。這里說(shuō)明一點(diǎn)：微軟每隔一定時(shí)間推出的Servicespacks是針對(duì)近期推出的Hotfix的綜合，如果你經(jīng)常做Hotfix補(bǔ)丁，那么當(dāng)后一版的Servicespacks推出后可能會(huì)和你的Hotfix沖突。因?yàn)镾ervicespacks也是要經(jīng)過(guò)測(cè)試的，而測(cè)試階段可能又有新的Hotfix推出，當(dāng)你做了新的Hotfix補(bǔ)丁后再打舊版的Servicespacks補(bǔ)丁時(shí)就會(huì)產(chǎn)生沖突。3. 關(guān)閉默認(rèn)共享。這里必須要修改注冊(cè)表，否則每次重啟之后默認(rèn)共享還會(huì)出現(xiàn)。在注冊(cè)表“HKEYLOCALMACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/R

7、un”下，在右欄空白位置點(diǎn)擊鼠標(biāo)右鍵，選擇“新建”，再選“字符串值”，名稱中輸入：“delipc”，這里的名字可以隨便取，然后雙擊它就會(huì)彈出一個(gè)窗口來(lái)，輸入：“net share ipc /del”，下次開機(jī)就可自動(dòng)刪掉默認(rèn)共享。修改注冊(cè)表后需要重新啟動(dòng)機(jī)器。同樣的方法還可以刪掉AMDIN。4. 鎖住注冊(cè)表。Windows 2000提供了一個(gè)叫Regedt32.exe的工具，它也是一個(gè)注冊(cè)表編輯器。與Regedit.exe不同的是它有一個(gè)“安全”選項(xiàng)，可以給注冊(cè)表的每一個(gè)鍵值設(shè)置權(quán)限。因此用戶可以將許多敏感的鍵值賦權(quán)，例如設(shè)置成只有Administrator才能讀取和修改，不給其他人可乘之機(jī)。

8、四、在服務(wù)安全設(shè)置方面1. 關(guān)閉不必要的端口。可惜Windows 2000并不支持關(guān)閉端口的選項(xiàng)，我們只好選用第三方工具，關(guān)閉一些關(guān)鍵端口，比如Telnet等。2. 設(shè)置好安全記錄的訪問(wèn)。Windows 2000操作系統(tǒng)自帶了審核工具，默認(rèn)不開啟。如果一旦開啟了審核策略，用戶可以在事件日志里查看安全日志，里面會(huì)有詳細(xì)的審核記錄，審核通常為成功和失敗兩種。不過(guò)，建議平時(shí)不要常開安全審核，因?yàn)閷徍肆亢艽?，通常一個(gè)錯(cuò)誤的密碼輸入就可以在日志中記錄一頁(yè)多的條目，非常浪費(fèi)系統(tǒng)資源。建議只在懷疑系統(tǒng)受到攻擊時(shí)才開啟審核。在“開始”菜單的“運(yùn)行”中輸入“Eventvwr.msc”查看安全日志，就可以看到審核

9、的消息。3.把敏感文件存放在另外的文件服務(wù)器中。出于對(duì)性能和安全的雙重考慮，建議有條件的用戶將域控制器與Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等其他重要服務(wù)器分開，即不要用同一臺(tái)服務(wù)器運(yùn)行多種服務(wù)。同時(shí)，一定要進(jìn)行及時(shí)、有效的備份，最好有一個(gè)詳盡的備份計(jì)劃?；驹O(shè)置篇一、在線安全的四個(gè)誤解Internet實(shí)際上是個(gè)有來(lái)有往的世界，你可以很輕松地連接到你喜愛的站點(diǎn)，而其他人，例如黑客也很方便地連接到你的機(jī)器。實(shí)際上，很多機(jī)器都因?yàn)樽约汉茉愀獾脑诰€安全設(shè)置無(wú)意間在機(jī)器和系統(tǒng)中留下了“后門”，也就相當(dāng)于給黑客打開了大門。你上網(wǎng)的時(shí)間越多，被別人通過(guò)網(wǎng)絡(luò)侵入機(jī)器的可能性也就越大。如果黑客們?cè)谀愕脑O(shè)置中發(fā)現(xiàn)了安全方

10、面的漏洞，就會(huì)對(duì)你發(fā)起攻擊，可能是一般的騷擾，如降低你的速度或者讓你的機(jī)器崩潰；也可能更嚴(yán)重，例如打開你的機(jī)密文件、偷竊口令和信用卡密碼。但是很多人并不以為然，因?yàn)樗麄冊(cè)诰W(wǎng)絡(luò)安全方面還存在四個(gè)誤區(qū)：誤區(qū)一：我沒(méi)有連接其他網(wǎng)絡(luò)，所以我很安全。對(duì)，連接INTERNET是要上網(wǎng)的，但是可以上網(wǎng)的獨(dú)立機(jī)器，與一臺(tái)商業(yè)網(wǎng)絡(luò)中心的機(jī)器相比，所使用的網(wǎng)絡(luò)協(xié)議仍然有一些甚至全部相同，而一臺(tái)商業(yè)網(wǎng)絡(luò)中心的機(jī)器還可能安裝了公共防火墻或者有專門負(fù)責(zé)安全的人員。與此形成強(qiáng)烈對(duì)比的是一些用于家庭、辦公室、小公司的個(gè)人用機(jī)確是門戶大開，完全沒(méi)有防范黑客的能力。這種威脅是很現(xiàn)實(shí)的：如果你使用了cable modem或是DS

11、L連接上網(wǎng)，而且在網(wǎng)上的時(shí)間很長(zhǎng)，一天里也許就會(huì)有2-4個(gè)卑鄙的黑客企圖攻擊你。誤區(qū)二：我是用撥號(hào)上網(wǎng)，所以我的機(jī)器是安全的。每次當(dāng)你開始撥號(hào)上網(wǎng)，你使用的IP地址都會(huì)不同，也就是動(dòng)態(tài)IP，所以相比靜態(tài)IP的用戶而言。黑客是很難找到你，但是有一些黑客軟件已經(jīng)發(fā)展到可以在1個(gè)小時(shí)以內(nèi)逐個(gè)掃描上萬(wàn)個(gè)IP地址的能力，所以只要黑客使用了這些工具，即使是撥號(hào)上網(wǎng)的用戶也可能受到攻擊。誤區(qū)三：我使用了防病毒軟件，所以我很安全。一個(gè)好的病毒軟件確實(shí)是在線安全不可或缺的部分，但是也是很小的一個(gè)部分。它能夠通過(guò)檢測(cè)病毒和類似的問(wèn)題保護(hù)你，但是它們對(duì)防范黑客、對(duì)帶有惡意的“合法”程序卻無(wú)能為力。誤區(qū)四：我使用了防

12、火墻，所以我很安全。防火墻是很有用處，但是如果你的機(jī)器總是采用一些不夠安全的方式接收和發(fā)送數(shù)據(jù)，而你又僅僅依靠一些附加的程序提供安全，這就等于把所有的蛋放在一個(gè)籃子里，一旦防火墻軟件出現(xiàn)bug或者有漏洞，那你很危險(xiǎn)了。另外，防火墻對(duì)于病毒一類的軟件完全沒(méi)有防范能力，尤其是那些帶有惡意的悄悄地向你的機(jī)器發(fā)送或提取數(shù)據(jù)的程序。最后，一些防火墻軟件還可能幫倒忙，因?yàn)樗鼈兊膹S商在廣告中把產(chǎn)品的特點(diǎn)介紹出去，可能招致一些專門針對(duì)它們?nèi)觞c(diǎn)的攻擊。但是解決方法是有的，你可以使用你已經(jīng)有的工具，而且本文也會(huì)告訴你怎樣才是安全的設(shè)置和怎樣選擇安全軟件。二、一分鐘的網(wǎng)絡(luò)基礎(chǔ)知識(shí)看到這個(gè)內(nèi)容，你可能想一眼掃過(guò)或者直

13、接跳過(guò)去，但是這只需要一分鐘，而且對(duì)你理解下面的內(nèi)容很有幫助。簡(jiǎn)單地說(shuō)，你可以將你和網(wǎng)絡(luò)的連接分為三層。最深的一層是你和網(wǎng)絡(luò)的物理連接方式，包括硬件。例如撥號(hào)上網(wǎng)，要使用“撥號(hào)適配器”才能和你的MODEM“交談”；如果是局域網(wǎng)，需要網(wǎng)卡和驅(qū)動(dòng)程序，以便你的PC和網(wǎng)卡交換數(shù)據(jù)，而DSL、cable等也需要網(wǎng)卡。一個(gè)PC可以同時(shí)使用多個(gè)硬件適配器，例如可以即用cable modem上網(wǎng)，也連接撥號(hào)上網(wǎng)的MODEM，還在局域網(wǎng)中，這樣系統(tǒng)的網(wǎng)絡(luò)設(shè)置中就有兩個(gè)網(wǎng)絡(luò)適配器和一個(gè)撥號(hào)適配器。中間的一層連接由你的機(jī)器所使用的和網(wǎng)絡(luò)其他機(jī)器交流的通訊協(xié)議和語(yǔ)言組成，例如TCP/IP協(xié)議，其他還有NetBEUI

14、和IPX/SPX，這些協(xié)議也可以并行工作，一個(gè)協(xié)議可以被同時(shí)捆綁到多個(gè)硬件設(shè)備上，而一個(gè)硬件設(shè)備也可以同時(shí)捆綁多個(gè)協(xié)議。最頂層的連接是網(wǎng)絡(luò)設(shè)備，登錄上網(wǎng)、文件與打印共享和以及位于最頂層的客戶程序，為你完成需要在網(wǎng)絡(luò)上完成的任務(wù)，但不幸的是，它是雙向的，也可以讓黑客對(duì)你執(zhí)行他們的操作。所以，保證安全的竅門在于確保沒(méi)有那些危險(xiǎn)的設(shè)置和設(shè)備，例如如果不需要從網(wǎng)上進(jìn)行訪問(wèn)，“文件與打印共享”就完全沒(méi)有必要，這也是黑客經(jīng)常利用的地方。換句話說(shuō)，仔細(xì)地設(shè)置哪些要進(jìn)行捆綁，可以確保你的機(jī)器不那么輕易被訪問(wèn)，盡管存在一些本身安全性較差的設(shè)備和協(xié)議。三、怎樣確保連接安全在按照我下面提到的建議對(duì)系統(tǒng)設(shè)置進(jìn)行修改以

15、前，最好先將你系統(tǒng)中的關(guān)鍵數(shù)據(jù)備份，或者記下你原來(lái)的設(shè)置，以便在需要的時(shí)候恢復(fù)。如果你是在局域網(wǎng)或是有特殊的網(wǎng)絡(luò)要求，請(qǐng)先和管理員商量。 我們先檢查你的網(wǎng)絡(luò)設(shè)置：右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，現(xiàn)在我們要?jiǎng)h除一些很容易就能夠讓別人通過(guò)INTERNET連接到你的INTERNET協(xié)議：TCP/IP。如果你沒(méi)有使用撥號(hào)上網(wǎng)，可以直接跳到下一段。雙擊“撥號(hào)適配器”、“綁定”，把除TCP/IP以外的內(nèi)容都選掉，回到主界面，雙擊“TCP/IP -> 撥號(hào)適配器”，你可能看到一個(gè)警告，說(shuō)明如果修改將有危險(xiǎn)，不管它，不修改才會(huì)有危險(xiǎn)呢！單擊“綁定”，如果選擇了“microsoft 網(wǎng)絡(luò)用戶”和“文件和打

16、印共享”，把它們選掉，這樣就只剩下TCP/IP了，你會(huì)得到這樣一個(gè)警告：TCO/IP已經(jīng)沒(méi)有綁定到任何驅(qū)動(dòng)程序“，回答NO。如果你使用了網(wǎng)卡，單擊每個(gè)卡對(duì)應(yīng)的TCP/IP，例如我就用了一塊便宜的Realtek 網(wǎng)卡，則單擊“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”，單擊“綁定”，確認(rèn)沒(méi)有選擇“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”。但是如果你是在局域網(wǎng)上，希望在本地共享文件和打印機(jī)，也有辦法呀，添加一個(gè)非INTERNET協(xié)議IPX/SPX 或者 NetBEUI都可以。添加適當(dāng)?shù)摹癿icrcosoft 網(wǎng)絡(luò)用戶”，選擇“文

17、件和打印共享”，就可以共享文件和打印了！現(xiàn)在倒回去檢查系統(tǒng)中的每個(gè)適配器和協(xié)議，確?！癿icrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”只在IPX/SPX and/或 NetBEUI 中被選擇了。同時(shí)，也確認(rèn)在TCP/IP中沒(méi)有選擇這兩項(xiàng)。然后對(duì)局域網(wǎng)中的所有機(jī)器重復(fù)這個(gè)檢查過(guò)程。用這種方法，你的機(jī)器在INTERNET上就只使用TCP/IP，而在局域網(wǎng)上使用非INTERNET協(xié)議以便共享打印機(jī)和文件。因?yàn)楹诳捅仨毷褂肨CP/IP，這樣他們就需要花費(fèi)更多的時(shí)間來(lái)訪問(wèn)被共享的打印機(jī)和文件。需要注意的是你對(duì)網(wǎng)絡(luò)設(shè)置的任何變動(dòng)都可能重新設(shè)置綁定和其他設(shè)置，甚至包括你不曾接觸的內(nèi)容，而當(dāng)你或者是你所安

18、裝的軟件修改了網(wǎng)絡(luò)設(shè)置，都要執(zhí)行上面介紹的步驟檢查TCP/IP連接以確保它保持“干凈”，沒(méi)有與“micrcosoft 網(wǎng)絡(luò)用戶”和“文件和打印共享”綁定。AOL（美國(guó)在線）有一點(diǎn)是令人厭惡的：它把它自己的（通常是沒(méi)有必要的）適配器加入到你的網(wǎng)絡(luò)設(shè)置中，而且可能會(huì)不正確地修改你的綁定設(shè)置，一些用戶在安裝AOL后報(bào)告，他們的“文件和打印共享”被綁定在TCP/IP上，意味著對(duì)任何想連接的人都提供打印機(jī)和文件，上面的介紹的竅門對(duì)避免出現(xiàn)AOL的這個(gè)情況也很有效。要改善你的網(wǎng)絡(luò)安全性你可以作很多工作，我們將在下面討論，但是上面的設(shè)置將消除WINDOWS PC的最常見和突出的網(wǎng)絡(luò)安全問(wèn)題，把最明顯的漏洞給

19、你堵上，讓你擁有一個(gè)更安全的線上操作基礎(chǔ)。一旦你學(xué)會(huì)了上面的方法，只用幾分鐘進(jìn)行檢查，基本就不需要其他的輔助軟件，這樣做的好處在于不用花錢喲！防火墻技術(shù)當(dāng)前，每天都有數(shù)不清的公司和個(gè)人加入到Internet中，而Internet本身也成為世界上空前龐大以至于無(wú)法確切統(tǒng)計(jì)的網(wǎng)絡(luò)系統(tǒng)。它是一部真正的百科全書，信息的海洋令人們沉浸其中而流連忘返，它給人們帶來(lái)了無(wú)盡的便捷，拉近了每個(gè)人的距離，把地球縮成一個(gè)村落，大大提高了工作效率。但是每個(gè)網(wǎng)絡(luò)用戶又都面臨著嚴(yán)峻的安全性問(wèn)題，如存在網(wǎng)上的信息可能被非法調(diào)用、復(fù)制和篡改等。怎么樣才能既充分利用Internet，同時(shí)又不受外來(lái)的各種侵犯呢？這就要采用防火墻

20、技術(shù)。 所謂"防火墻"，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)如Internet分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你"同意"的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你"不同意"的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。 一、防火墻的基本類型 實(shí)現(xiàn)防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過(guò)濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要看具體需要。1.網(wǎng)絡(luò)級(jí)防火墻

21、 一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)"傳統(tǒng)"的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來(lái)自何方，去向何處。 先進(jìn)的網(wǎng)絡(luò)級(jí)防火墻可以判斷這一點(diǎn)，它可以提供內(nèi)部信息以說(shuō)明所通過(guò)的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。包過(guò)濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒(méi)有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。

22、其次，通過(guò)定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。 下面是某一網(wǎng)絡(luò)級(jí)防火墻的訪問(wèn)控制規(guī)則： (1)允許網(wǎng)絡(luò)123.1.0使用FTP(21口)訪問(wèn)主機(jī)； (2)允許IP地址為8和4的用戶Telnet(23口)到主機(jī)上；(3)允許任何地址的E-mail(25口)進(jìn)入主機(jī)；(4)允許任何WWW數(shù)據(jù)（80口）通過(guò)； (5)不允許其他數(shù)據(jù)包進(jìn)入。 網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快、費(fèi)用低，并且對(duì)用戶透明

23、，但是對(duì)網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。2.應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問(wèn)控制，并做精細(xì)的注冊(cè)和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。 常用的應(yīng)用級(jí)防火墻已有了相應(yīng)的代理服務(wù)器，例如：HTTP、NNTP、FTP、Telnet、rlogin、X-windows等，但是，對(duì)于新開發(fā)的應(yīng)用，尚沒(méi)有相應(yīng)的代理服務(wù)，它們將通過(guò)網(wǎng)絡(luò)級(jí)防火墻和一般的代理服務(wù)。&

24、#160;應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏"透明度"。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過(guò)防火墻訪問(wèn)Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問(wèn)Internet或Intranet。3.電路級(jí)網(wǎng)關(guān) 電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話(Session)是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高二層。 實(shí)際上電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起

25、，如TrustInformation Systems公司的Gauntlet Internet Firewall；DEC公司的Alta Vista Firewall等產(chǎn)品。另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（Proxy Server），代理服務(wù)器是個(gè)防火墻，在其上運(yùn)行一個(gè)叫做"地址轉(zhuǎn)移"的進(jìn)程，來(lái)將所有你公司內(nèi)部的IP地址映射到一個(gè)"安全"的IP地址，這個(gè)地址是由防火墻使用的。但是，作為電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，它就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。 4.規(guī)則檢查防火墻 該防火墻結(jié)合了包過(guò)濾防火墻

26、、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣 ，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)，過(guò)濾進(jìn)出的數(shù)據(jù)包。它也象電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則 。 規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是，它并不打破客戶機(jī)/服務(wù)機(jī)模式來(lái)分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)

27、比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。 目前在市場(chǎng)上流行的防火墻大多屬于規(guī)則檢查防火墻，因?yàn)樵摲阑饓?duì)于用戶透明，在OSI最高層上加密數(shù)據(jù)，不需要你去修改客戶端的程序，也不需對(duì)每個(gè)需要在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。如現(xiàn)在最流行的防火墻之一On Technology軟件公司生產(chǎn)的On Guard和Check Point軟件公司生產(chǎn)的FireWall-1防火墻都是一種規(guī)則檢查防火墻。 未來(lái)的防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻之間，也就是說(shuō)，網(wǎng)絡(luò)級(jí)防火墻將變得更加能夠識(shí)別通過(guò)的信息，而應(yīng)用級(jí)防火墻在目前的功能上則向"透明"

28、;、"低級(jí)"方面發(fā)展。最終防火墻將成為一個(gè)快速注冊(cè)稽查系統(tǒng)，可保護(hù)數(shù)據(jù)以加密方式通過(guò)，使所有組織可以放心地在節(jié)點(diǎn)間傳送數(shù)據(jù)。二、防火墻的配置 防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最簡(jiǎn)單。Dual-homed Gateway放置在兩個(gè)網(wǎng)絡(luò)之間，這個(gè)Dual-homed Gateway又稱為bastionhost。這種結(jié)構(gòu)成本低，但是它有單點(diǎn)失敗的問(wèn)題。這種結(jié)構(gòu)沒(méi)有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受"黑客"攻擊的首選目標(biāo)，它自己一旦被攻破，整

29、個(gè)網(wǎng)絡(luò)也就暴露了。Screened-host方式中的Screeningrouter為保護(hù)Bastionhost 的安全建立了一道屏障。它將所有進(jìn)入的信息先送往Bastionhost，并且只接受來(lái)自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了。 Screened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離網(wǎng)，稱之為"停火區(qū)"（DMZ，即DemilitarizedZone ）, Bastionhost放置

30、在"停火區(qū)"內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。 三、防火墻的安全措施 各種防火墻的安全性能不盡相同。下面以目前市場(chǎng)的主導(dǎo)產(chǎn)品-CheckPoint公司的FireWall-1為例，來(lái)說(shuō)明防火墻的一些安全措施。 1.防電子欺騙術(shù) FireWall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過(guò)修改IP地址的方法進(jìn)行非授權(quán)訪問(wèn)。FireWall-1還會(huì)對(duì)可疑信息進(jìn)行鑒別，并向網(wǎng)絡(luò)管理員報(bào)警。 2.網(wǎng)絡(luò)地址轉(zhuǎn)移 FireWall-1的地址轉(zhuǎn)移是對(duì)Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能克服了IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊(cè)IP地址映射成合法地