防火墻與入侵檢測課程簡介授課形式課程講授+上機實習成績給定辦法期末考試成績70%到課、課堂作業、上機實習30%上課時間2-16周周三5-6節實驗第十二、十三、十四、十五周地點授課10J317上機12J214授課班級網絡0901、0902、0903、09Q1網絡安全網絡安全是指網絡系統的軟件、硬件及其存儲的數據處于保護狀態，網絡系統不會由于偶然的或者惡意的沖擊而受到破壞，網絡系統能夠連續可靠地運行。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、信息論等多研究領域的綜合性學科。凡是涉及網絡系統的保密性、完整性、可用性和可控性的相關技術和理論都是網絡安全的研究內容。網絡安全2009年網民遭遇安全事件的情況網絡安全網民遭遇安全事件的誘因網絡安全安全事件帶來的損失網絡安全網絡安全事件帶來的直接財產損失情況網絡安全網絡安全研究內容密碼技術防火墻技術入侵檢測計算機病毒學網絡安全管理規范密碼技術能完整地解決信息安全性中的機密性、數據完整性、認證、身份識別以及不可抵賴等問題中的一個或多個。密碼技術不能解決所有的網絡安全問題，它需要與信息安全的其他技術如訪問控制技術、網絡監控技術等互相融合，形成綜合的信息網絡安全保障。防火墻建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中。特征：網絡位置特性內部網絡和外部網絡之間的所有網絡數據都必須經過防火墻工作原理特性只有符合安全策略的數據才能通過防火墻先決條件防火墻自身應具有非常強的扛攻擊能力入侵檢測80%以上的入侵來自于網絡內部由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于來自內部網絡的攻擊，防火墻形同虛設入侵檢測是對防火墻及其有益的補充在入侵攻擊對系統發生危害前檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊在入侵攻擊過程中，能減少入侵攻擊所造成的損失在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加到知識庫中，增強防范能力，避免系統再次受到入侵。計算機病毒學病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”反病毒技術病毒預防技術病毒檢測技術病毒清除技術網絡安全管理規范信息網絡安全策略實體可信、行為可控、資源可管、事件可查、運行可靠信息網絡管理機制誰主管誰負責、誰運行誰負責安全事件響應機制網絡安全網絡安全研究內容密碼技術防火墻技術入侵檢測計算機病毒學網絡安全管理規范防火墻篇第1章防火墻基礎知識第2章防火墻的關鍵技術第3章主流防火墻的部署與實現第4章防火墻廠商及產品介紹第5章防火墻的發展趨勢第一章防火墻基礎知識構造比較全面的關于防火墻的知識框架防火墻基礎知識防火墻的定義－－什么是防火墻防火墻的位置－－所處的邏輯位置和物理位置防火墻的理論特性和實際功能防火墻的規則－－防火墻的靈魂－－“過濾規則”防火墻的分類－－多種分類方法防火墻的定義

從廣泛、宏觀的意義上說，防火墻是隔離在內部網絡與外部網絡之間的一個防御系統。

AT&T的工程師WilliamCheswick和StevenBellovin給出了防火墻的明確定義，他們認為防火墻是位于兩個網絡之間的一組構件或一個系統，具有以下屬性：防火墻是不同網絡或者安全域之間信息流的唯一通道，所有雙向數據流必須經過防火墻。只有經過授權的合法數據，即防火墻安全策略允許的數據才可以通過防火墻。防火墻系統應該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。簡而言之，防火墻是位于兩個(或多個)網絡間，實施訪問控制策略的一個或一組組件集合。

防火墻的物理位置

從設備部署位置上看，防火墻要部署在本地受保護區域與外部網絡的交界點上。從具體的實現上看，防火墻運行在任何要實現訪問控制功能的設備上。下圖為防火墻在網絡中的常見位置：防火墻的邏輯位置

防火墻的邏輯位置指的是防火墻與網絡協議相對應的邏輯層次關系。處于不同網絡層次的防火墻實現不同級別的網絡過濾功能，表現出來的特性也不同。所有防火墻均依賴于對ISOOSI/RM網絡七層模型中各層協議所產生的信息流進行檢查。一般說來，防火墻越是工作在ISOOSI/RM模型的上層，能檢查的信息就越多，其提供的安全保護等級就越高。防火墻與網絡層次關系如下表所示：ISOOSI/RM七層模型防火墻級別應用層網關級表示層會話層傳輸層電路級網絡層路由器級數據連路層網橋級物理層中繼器級防火墻的理論特性和實際功能防火墻面對的安全威脅防火墻的理論特性防火墻的實際功能防火墻面對的安全威脅

通過更改防火墻配置參數和其它相關安全數據而展開的攻擊。攻擊者利用高層協議和服務對內部受保護網絡或主機進行的攻擊。繞開身份認證和鑒別機制，偽裝身份，破壞已有連接。任何通過偽裝內部網絡地址進行非法內部資源訪問的地址欺騙攻擊。未經授權訪問內部網絡中的目標數據。用戶對防火墻等重要設備未經授權的訪問。破壞審計記錄。防火墻的理論特性1創建阻塞點

根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于網絡系統的邊界（networkboundary），屬于用戶內部網絡邊界安全保護設備。所謂網絡邊界就是采用不同安全策略的兩個網絡連接位置。防火墻就是在網絡的外邊界或周邊，在內部網絡和外部網絡之間建立的唯一一個安全控制檢查點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。從而實現防止非法用戶進入內部網絡，禁止存在安全脆弱性的服務進出網絡，并抵抗來自各種路線的攻擊，進而提高被保護網絡的安全性，降低風險。這樣一個檢查點被稱為阻塞點。這是防火墻所處網絡位置特性，同時也是一個前提。如果沒有這樣一個供監視和控制信息的點，系統管理員要在大量的地方來進行監測。在某些文獻里，防火墻又被稱為內部網絡與外部網絡之間的單聯系點。需要注意的是，雖然存在著許多的多接入點網絡，但是每個出口也都要有防火墻設備，因此從邏輯上看，防火墻還是內部網絡與外部網絡之間的唯一聯系點。防火墻的理論特性2強化網絡安全策略，提供集成功能

防火墻設備所處的位置，正好為系統提供了一個多種安全技術的集成支撐平臺。通過相應的配置，可以將多種安全軟件，譬如口令檢查、加密、身份認證、審計等，集中部署在防火墻上。與分散部署方案相比，防火墻的集中安全管理更經濟、更加有效，簡化了系統管理人員的操作，從而強化了網絡安全策略的實行。防火墻的理論特性3實現網絡隔離

防火墻將網絡劃分成內部網絡和外部網絡兩個不同的部分，因此網絡隔離就成為防火墻的基本功能。防火墻通過將內部網絡和外部網絡相互隔離來確保內部網絡的安全，同時限制局部重點或敏感網絡安全問題對全局網絡造成的影響，降低外部網絡對內部網絡一些統計數據的探測能力。限制來自外部網絡的訪問防火墻基礎功能之一就是限制信息包進入網絡。防火墻針對每一個進入內部網絡的企圖都要根據依照安全策略制訂的規則進行過濾，即授權檢查。如果該行為屬于系統許可的行為則予以放行，否則將拒絕該連接企圖。防火墻的這種功能實現了對系統資源的保護，防止了針對機密信息的泄漏、盜竊和破壞性為。限制網絡內部未經授權的訪問傳統防火墻難于覺察內部的攻擊和破壞行為。現代防火墻則加強了對內部訪問數據的監控，主要表現就是一切都嚴格依照預先制訂的系統整體安全策略，限制內部網絡未經授權的訪問。防火墻的理論特性4記錄和審計內聯網絡和外聯網絡之間的活動

由于防火墻處在內部網絡和外部網絡相連接的阻塞點，所以它可以對所有涉及內部網絡和外部網絡存取與訪問的行為進行監控。當防火墻發現可疑的行為時，可以進行及時的報警，并提供網絡是否受到破壞以及攻擊的詳細信息。對于內部用戶的誤操作防火墻也將進行嚴格的監控，預防內部用戶的破壞行為。此外，防火墻還能進行網絡使用情況的統計操做。以上提及的防火墻的操作和數據都將被詳細地記錄到日志文件（logfile）中并提交給網絡管理員進行分析和審計。防火墻的日志文件既記錄正常的網絡訪問行為又記錄非正常的網絡行為。對日志文件的分析和審計可以使管理員清楚地了解防火墻的安全保護能力和運行情況；優化防火墻，使其更加有效地工作；準確地識別入侵者并采取行之有效的措施；及時地對非法行為及其造成的后果做出反應；為網絡的優化和建設提供必要的數據支撐。管理員需要關注的問題不是網絡是否會受到攻擊，而是網絡何時會受到攻擊。因此要求管理員要及時地響應報警信息并經常性地審查防火墻日志記錄。防火墻的理論特性5自身具有非常強的抵御攻擊的能力

由于防火墻是一個關鍵點，所以其自身的安全性就顯得尤為重要。一旦防火墻失效，則內部網絡將完全曝光于外部入侵者的目光之下，網絡的安全將受到嚴重的威脅！一般來說，防火墻是一臺安裝了安全操作系統且服務受限的堡壘主機。即防火墻自身的操作系統符合相應的軟件安全級別；除了必要的功能外，防火墻不開設任何多余的端口。這些措施在相當程度上增強了防火墻抵御攻擊的能力，但這種安全性也只是相對的。防火墻的實際功能1包過濾

網絡通信通過計算機之間的連接實現，而連接則是由兩臺主機之間相互傳送的若干數據包組成。防火墻的基本功能之一就是對由數據包組成的邏輯連接進行過濾，即包過濾。數據包的過濾參數有很多，最基本的是通信雙方的IP地址和端口號。隨著過濾技術的不斷發展，各層網絡協議的頭部字段以及通過對字段分析得到的連接狀態等等內容都可以作為過濾技術考察的參數。包過濾技術也從早期的靜態包過濾機制發展到動態包過濾、狀態檢測等機制。總的說來，現在的包過濾技術主要包括針對網絡服務的過濾以及針對數據包本身的過濾。防火墻的實際功能2代理

代理技術是與包過濾技術截然不同的另外一種防火墻技術。這種技術在防火墻處將用戶的訪問請求變成由防火墻代為轉發，外部網絡看不見內部網絡的結構，也無法直接訪問內部網絡的主機。在防火墻代理服務中，主要有兩種實現方式：一是透明代理（Transparentproxy），指內部網絡用戶在訪問外部網絡的時候，本機配置無需任何改變，防火墻就像透明的一樣；二是傳統代理，其工作原理與透明代理相似，所不同的是它需要在客戶端設置代理服務器。相對于包過濾技術，代理技術可以提供更加深入細致的過濾，甚至可以理解應用層的內容，但是實現復雜且速度較慢。防火墻的實際功能3網絡地址轉換

網絡地址轉換功能現在已經成為防火墻的標準功能之一。通過這項功能可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到保護作用；同時可以用來緩解由于網絡規模需速增長而帶來的地址空間短缺問題；此外還可以消除組織或機構在變換ISP時帶來的重新編址的麻煩。下面描述一下從內部網絡向外部網絡建立連接時NAT工作的過程：

1）防火墻對收到的內部訪問請求進行過濾，決定允許該訪問請求通過還是拒絕。

2）NAT機制將請求中的源IP地址轉換為防火墻處可以利用的一個公共IP地址。

3）將變動后的請求信息轉發往目的地。當從目的地返回的響應信息到達防火墻的接口時，防火墻執行如下步驟：

1）NAT將響應數據包中的目的地址轉換為發出請求的內部網絡主機的IP地址。

2）將該響應數據包發往發出請求的內部網絡主機。防火墻的實際功能4虛擬專用網VPN在不安全的公共網絡，例如Internet，上建立一個邏輯的專用數據網絡來進行信息的安全傳遞，目前已經成為在線交換信息的最安全的方式之一。但是傳統的防火墻不能對VPN的加密連接進行解密檢查，所以是不允許VPN通信通過的，VPN設備也是作為單獨產品出現的?，F在越來越多的廠家將防火墻和VPN集成在一起，將VPN作為防火墻的一種新的技術配置。多數防火墻支持VPN加密標準，并提供基于硬件的加密，這使得防火墻速度不減但功能更加合理。防火墻的實際功能5用戶身份認證

防火墻要對發出網絡訪問連接請求的用戶和用戶請求的資源進行認證，確認請求的真實性和授權范圍。系統整體安全策略確定了防火墻執行的身份認證級別。與此相應的是防火墻一般支持多種身份認證方案，譬如RADIUS、Kerberos、TACACS／TACACS+、用戶名+口令、數字證書等等。防火墻的實際功能6記錄、報警、分析與審計

防火墻對于所有通過它的通信量以及由此產生的其它信息要進行記錄，并提供日志管理和存儲方法。具體內容如下：自動報表、日志報告書寫器：防火墻實現報表自動化輸出和日志報告功能。簡要列表：防火墻按要求進行報表分類打印的功能。自動日志掃描：防火墻的日志自動分析和掃描功能。圖表統計：防火墻進行日志分析后以圖形方式輸出統計結果。報警機制是在發生違反安全策略的事件后，防火墻向管理員發出提示通知的機制，各種現代通信手段都可以使用，包括E-mail、呼機、手機等。分析與審計機制用于監控通信行為，分析日志情況，進而查出安全漏洞和錯誤配置，完善安全策略。防火墻的日志記錄量往往比較大，通常將日志存儲在一臺專門的日志服務器上。防火墻的實際功能7管理功能

防火墻的管理功能是將防火墻設備與系統整體安全策略下的其它安全設備聯系到一起并相互配合、協調工作的功能，是實現一體化安全必不可少的要素。一般說來，防火墻的管理包括下列方面：根據網絡安全策略編制防火墻過濾規則。配置防火墻運行參數。可以通過本地Console口配置、基于不同協議的遠程網絡化配置等方式進行。實現防火墻日志的自動化管理。就是實現日志文件的記錄、轉存、分析、再配置等過程的自動化和智能化。防火墻的性能管理。包括動態帶寬管理、負載均衡、失敗恢復等技術。也可以通過本地或者遠程多種方式實現。防火墻的實際功能8其他特殊功能

除了上面描述的技術功能外，許多廠家為了顯示各自產品的與眾不同，還在防火墻中加入了很多其它的功能，比如病毒掃描，有的防火墻具有防病毒功能，可以發現網絡數據中包含的危險信息；信息過濾，指防火墻能夠過濾URL、HTTP攜帶的信息、JavaApplet、JavaScript、ActiveX以及電子郵件中的Subject、To、From域等網絡應用信息內容；用戶的特定權限設置，包括使用時間、郵件發送權限、件傳輸權限、使用的主機、所能進行的互聯網應用等等，這些內容依據用戶需求不同而不同。防火墻的規則規則的作用：系統的網絡訪問政策。規則內容的分類：高級政策；低級政策。規則的特點：規則是系統安保策略的實現和延伸；

與網絡訪問行為緊密相關；在嚴格安全管理和充分利用網絡之間取得較好的平衡；防火墻可以實施各種不同的服務訪問政策。規則的設計原則：拒絕訪問一切未予特許的服務；允許訪問一切未被特別拒絕的服務。規則的順序問題：必須仔細考慮規則的順序，防止出現系統漏洞。防火墻的分類按防火墻采用的主要技術劃分按防火墻的具體實現劃分按防火墻部署的位置劃分按防火墻的形式劃分按受防火墻保護的對象劃分按防火墻的使用者劃分按防火墻采用的主要技術劃分包過濾型代理型包過濾型包過濾型防火墻工作在ISO7層模型的傳輸層以下，根據數據包頭部各個字段進行過濾，包括源地址、端口號以及協議類型等。包過濾方式不針對具體的網絡服務而是針對數據包本身進行過濾，適用于所有網絡服務。目前大多數的路由器設備都集成了數據包過濾的功能，具有很高的性價比。包過濾方式也有明顯的缺點：過濾判別條件有限，安全性不高；過濾規則數目的增加會極大地影響防火墻的性能；很難進行對用戶身份進行驗證；對安全管理人員素質要求高。包過濾型防火墻包括以下幾種類型：靜態包過濾防火墻動態包過濾防火墻狀態檢測（StatefulInspection）防火墻代理型代理型防火墻工作在ISO7層模型的最高層——應用層。它完全阻斷了網絡訪問的數據流：它為每一種服務都建立了一個代理，內部網絡與外部網絡之間沒有直接的服務連接，都必須通過相應的代理審核后再轉發。代理型防火墻的優點是：工作在應用層上，可以對網絡連接的深層的內容進行監控；它事實上阻斷了內部網絡和外部網絡的連接，實現了內外網絡的相互屏蔽，避免了數據驅動類型的攻擊。代理型防火墻的缺點是：速度相對較慢，當網關處數據吞吐量較高時，防火墻就會成為瓶頸。代理型防火墻有如下幾種類型：應用網關（ApplicationGateway）電路級網關（CircuitProxy）自適應代理（Adaptiveproxy）按防火墻的具體實現劃分多重宿主主機篩選路由器屏蔽主機屏蔽子網其他實現結構多重宿主主機

多重宿主主機是放在內網與外網接口上的一臺堡壘主機。它最少有兩個網絡接口：一個與內網相連，另外一個與外網相連。內、外網之間禁止直接通信，需通過多重宿主主機上應用層數據共享或者應用層代理服務來完成。主要有以下兩種類型：雙重宿主主機雙重宿主主機用于在內、外網之間進行尋徑并通過其上的共享數據服務提供網絡應用。要求用戶必須通過賬號和口令登錄到主機上才能使用這些服務。雙重宿主主機要求主機自身有較強的安全性；要支持多種服務、多個用戶的訪問需求；要能管理其上的大量用戶賬號。因此雙重宿主主機既是系統安全的瓶頸又是系統性能的瓶頸，維護起來也很困難。雙重宿主網關雙重宿主網關通過運行其上的各種代理服務器來提供網絡服務。雙重宿主網關與雙重宿主主機相比，從結構上說并沒有變化，同時代理服務器的服務響應比雙重宿主主機的數據共享慢一些，靈活性較差。篩選路由器

篩選路由器又稱為包過濾路由器、網絡層防火墻、IP過濾器或篩選過濾器，通常是用一臺放置在內部網絡和外部網絡之間的路由器來實現。它對進出內部網絡的所有信息進行分析，并按照一定的信息過濾規則對進出內部網絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。篩選濾路由器具有速度快、提供透明服務、實現簡單等優點。同時也有安全性不高、維護和管理比較困難等缺點。篩選路由器只適用于非集中化管理、無強大的集中安全策略、網絡主機數目較少的組織或機構。屏蔽主機

這種防火墻由內部網絡和外部網絡之間的一臺過濾路由器和一臺堡壘主機構成。它強迫所有外部主機與堡壘主機相連接，而不讓它們與內部主機直接相連。為了達到這個目的，過濾路由器將所有的外部到內部的連接都路由到了堡壘主機上，讓外部網絡對內部網絡的訪問通過堡壘主機上提供的相應代理服務器進行。對于內部網絡到外部不可信網絡的出站連接則可以采用不同的策略：有些服務可以允許繞過堡壘主機，直接通過過濾路由器進行連接；而其它的一些服務則必須經過堡壘主機上的運行該服務的代理服務器實現。這種防火墻的安全性相對較高：它不但提供了網絡層的包過濾服務，而且提供了應用層的代理服務。其主要缺陷是：篩選路由器是系統的單失效點；系統服務響應速度較慢；具有較大的管理復雜性。屏蔽子網

屏蔽子網與屏蔽主機在本質上是一樣的，它對網絡的安全保護通過兩臺包過濾路由器和在這兩臺路由器之間構筑的子網，即非軍事區來實現。在非軍事區里放置堡壘主機，還可能有公用信息服務器。與外部網絡相連的過濾路由器只允許外部系統訪問非軍事區內的堡壘主機或者公用信息服務器。與內部網絡相連接的過濾路由器只接受從堡壘主機來的數據包。內部網絡與外部網絡的直接訪問是被嚴格禁止的。相對于其它幾種防火墻而言，屏蔽子網的安全性是最高的，它為此付出的代價是：經過多級路由器和主機，網絡服務性能下降；管理復雜度較大。其他實現結構

其他結構的防火墻系統都是上述幾種結構的變形，主要有：一個堡壘主機和一個非軍事區、兩個堡壘主機和兩個非軍事區、兩個堡壘主機和一個非軍事區等等，目的都是通過設定過濾和代理的層次使得檢測層次增多從而增加安全性。按防火墻部署的位置劃分單接入點的傳統防火墻混合式防火墻分布式防火墻單接入點的傳統防火墻

防火墻最普通的表現形式。位于內部網絡與外部網絡相交的邊界，獨立于其它網絡設備，實施網絡隔離?；旌鲜椒阑饓?/p>

混合式防火墻依賴于地址策略將安全策略分發給各個站點，由各個站點實施這些規則。其代表產品為CHECKPOINT公司的FIREWALL-1防火墻。它通過裝載到網絡操作中心上的多域服務器來控制多個防火墻用戶模塊。多域服務器有多個用戶管理加載模塊，每個模塊都有一個虛擬IP地址，對應著若干防火墻用戶模塊。安全策略通過多域服務器上的用戶管理加載模塊下發到各個防火墻用戶模塊。防火墻用戶模塊執行安全規則，并將數據存放到對應的用戶管理加載模塊的目錄下。多域服務器可以共享這些數據，使得防火墻多點接入成為可能?；旌鲜椒阑饓⒕W絡流量分擔給多個接入點，降低了單一接入點的工作強度，安全性、管理性更強。但網絡操作中心是系統的單失效點。分布式防火墻

分布式防火墻是一種較新的防火墻實現：防火墻是在每一臺連接到網絡的主機上實現的，負責所在主機的安全策略的執行、異常情況的報告，并收集所在主機的通信情況記錄和安全信息；同時，設置一個網絡安全管理中心，按照用戶權限的不同向安裝在各臺主機上的防火墻分發不同的網絡安全策略，此外還要收集、分析、統計各個防火墻的安全信息。這種防火墻的優點突出：可以使每一臺主機得到最合適的保護，安全策略完全符合主機的要求；不依賴于網絡的拓撲結構，加入網絡完全依賴于密碼標志而不是IP地址。分布式防火墻的不足在于：難于實現；安全數據收集困難；網絡安全中心負荷過重。按防火墻的形式劃分軟件防火墻

軟件防火墻產品形式是軟件代碼，它不依靠具體的硬件設備，而純粹依靠軟件來監控網絡信息。軟件防火墻固然有安裝、維護簡單的優點，但對于安裝平臺的性能要求較高。獨立硬件防火墻

硬件防火墻則需要專用的硬件設備，一般采用ASIC技術架構或者網絡處理器，它們都為數據包的檢測進行了專門的優化。從外觀上看，獨立硬件防火墻與集線器、交換機或者路由器類似，只是只有少數幾個接口，分別用于連接內部網絡和外部網絡。模塊化防火墻

目前很多的路由器都已經集成了防火墻的功能，這種防火墻往往作為路由器的一個可選配的模塊存在。當用戶選擇路由器的時候，可以根據需要選購防火墻模塊來實現自身網絡的安全防護，這可以大大降低網絡設備的采購成本。按受防火墻保護的對象劃分單機防火墻單機防火墻的設計目的是為了保護單臺主機網絡訪問操作的安全。單機防火墻一般是以裝載到受保護主機的硬盤里的軟件程序的形式存在的，也有做成網卡形式的單機防火墻存在，但是不是很多。受到載機性能所限，單機防火墻性能不會很高，無法與網絡防火墻相比。網絡防火墻網絡防火墻的設計目的是為了保護相應網絡的安全。網絡防火墻一般采用軟件與硬件相結合的形式，也有純軟件的防火墻存在。網絡防火墻處于受保護網絡與外部網絡相接的節點上，對于網絡負載吞吐量、過濾速度、過濾強度等參數的要求比單機防火墻要高。目前大部分的防火墻產品都是網絡防火墻。按防火墻的使用者劃分企業級防火墻企業級防火墻的設計目的是為企業聯網提供安全訪問控制服務。此外，根據企業的安全要求，企業級防火墻還會提供更多的安全功能。譬如，企業為了保證客戶訪問的效率，第一時間響應客戶的請求，一般要求支持千兆線速轉發；為了與企業伙伴之間安全地交換數據，要求支持VPN；為了維護企業利益，要對進出企業內部網絡的數據進行深度過濾等等。可以說，防火墻產品功能的花樣翻新與企業需求的多種多樣是直接相關的，防火墻所有功能都會在企業的安全需求中找到。個人防火墻個人防火墻主要用于個人使用計算機的安全防護，實際上與單機防火墻是一樣的概念，只是看待問題的出發點不同而已。使用防火墻的好處

防火墻允許網絡管理員定義一個“檢查點”來防止非法用戶進入內部網絡并抵抗各種攻擊，增加了網絡的安全性。防火墻通過過濾存在著安全缺陷的網絡服務來降低受保護網絡遭受攻擊的威脅。防火墻可以增強受保護節點的保密性，強化私有權。防火墻有能力較精確地控制對內部子系統的訪問。防火墻系統具有集中安全性。在防火墻上可以很方便地監視網絡的通信流，并產生告警信息。防火墻是審計和記錄網絡行為最佳的地方。防火墻可以作為向客戶發布信息的地點。防火墻為系統整體安全策略的執行提供了重要的實施平臺。防火墻的不足

限制網絡服務對內部用戶防范不足不能防范旁路連接不適合進行病毒檢測無法防范數據驅動型攻擊無法防范所有的威脅防火墻配置比較困難無法防范內部人員泄露機密信息防火墻對網絡訪問速度有影響單失效點相關標準國外的信息安全標準可信計算機安全評價標準TCSEC標準于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC是計算機系統安全評估的第一個正式標準，對信息安全標準化建設具有重要的意義，又被稱為“橘皮書”。TCSEC的重點在于提供對敏感信息的機密性保護。它將系統安全概括為六個方面：安全策略、標識、識別、責任、保證和持續的保護。整個標準分成兩大部分：一是安全等級的劃分，二是該準則開發的目的、原理和美國政府的政策，同時提供了隱蔽通道、強訪問控制和安全測試的開發指南。其中使用最為廣泛的就是第一部分——安