第8章防火墻技術清華大學出版社主編賈鐵軍副主編俞小怡羅宜元侯麗波編著常艷宋少婷高等院校計算機與信息類規劃教材網絡安全實用技術上海市精品課程特色教材上海高校優秀教材獎主編（第2版）目錄8.2防火墻類型28.3防火墻體系結構38.4防火墻的主要應用4

8.1網絡安全概述1

8.5智能防火墻概述58.6實驗八防火墻的配置實驗

6目錄教學目標●掌握防火墻的概念和功能●了解防火墻的主要分類與體系結構●理解典型防火墻系統設計

●了解內外部防火墻的設計●掌握智能防火墻防范DDOS攻擊的方法重點重點

防火墻是指在兩個網絡之間加強訪問控制的一整套裝置，即防火墻是構造在一個可信網絡(一般指內部網)和不可信網絡(一般指外部網)之間的保護裝置，強制所有的訪問和連接都必須經過這個保護層，并在此進行連接和安全檢查。只有合法的數據包才能通過此保護層，從而保護內部網資源免遭非法入侵。

8.1防火墻概述

現代網絡安全服務一般有兩種：一是存取控制，禁止非法通信和連網；二是通信安全服務，提供授權數據的完整性、可靠性，具有對同級通信者的訪問否定權。當用戶連上Internet,就可在中間插入中介系統的控制關聯，防止通過網絡進行的攻擊,并提供單一的安全和審計的安裝控制點,中間系統就是防火墻.

網絡安全技術包括傳統的網絡安全技術和分布式網絡安全技術,主要解決如何利用Internet進行安全通信,保護內網免受外部攻擊.8.1防火墻概述8.1防火墻概述8.1.1防火墻的概念

防火墻（FireWall）是指一種放置在本地的計算機與外界網絡之間的系統，從網絡發往計算機的所有數據都要經過其判斷處理后，才會決定能不能把這些數據交給計算機，一旦發現有害數據，防火墻就會攔截下來，從而實現了對計算機的保護功能。網絡防火墻的部署結構如圖8-1所示。

8.1防火墻概述8.1.2防火墻的功能1.過濾進、出網絡的數據，強化安全策略。防火墻是信息進出網絡的必經之路，它可以檢測所有經過數據的細節，并根據事先定義好的策略允許或禁止這些數據的通過。此外，可以將某些安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上，以實現更好的安全策略。

2.管理和控制進、出網絡的訪問行為。只有經過精心選擇的應用協議才能夠通過防火墻，這樣網絡環境變得更安全。比如防火墻可以禁止NFS協議進出受保護的網絡，這樣外部攻擊者就不能夠利用協議的脆弱性攻擊內部網絡。8.1防火墻概述3.

對不安全的服務進行限制和攔截，盡可能不暴露內部網絡。通過隔離內、外網絡，可以防止非法用戶進入內部網絡，并能有效防止郵件炸彈、蠕蟲病毒、宏病毒的攻擊。4.記錄通過防火墻的信息內容和活動。因為內、外網絡之間的數據包必須經過防火墻，所以防火墻能對這些數據包進行記錄并寫進日志系統，同時可對使用情況進行數據統計。5.對網絡攻擊檢測和告警。當受保護的網絡遭受可疑訪問時，防火墻能進行適當報警，并提供網絡是否受到監測和攻擊的詳細信息。8.1防火墻概述8.1.3防火墻的特性與相關術語。1.內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業內部網絡不受侵害。2.只有符合安全策略的數據流才能通過防火墻。防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速地從一條鏈路轉發到另外的鏈路上去。防火墻將網絡流量通過相應的網絡接口接收上來，按照協議棧的層次結構順序上傳，在適當的協議層進行訪問規則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。8.1防火墻概述8.1.3防火墻的特性與相關術語。3.防火墻自身應具有非常強的抗攻擊能力。這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵的能力。其中防火墻操作系統本身的安全性是關鍵。其次就是防火墻自身具有非常少的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。8.1防火墻概述8.1.3防火墻的特性與相關術語。與防火墻有關的術語1.網關。網關是在兩上設備之間提供轉發服務的系統。網關的范圍可以從互聯網應用程序，如公共網關接口(CGI)，到在兩臺主機間處理流量的防火墻網關。根據工作位置范圍，網關又可劃分為電路級網關和應用級網關：1電路級網關：電路級網關是用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，在OSI模型中會話層上過濾數據包，這樣比包過濾防火墻要高兩層。另外，電路級網關還提供一個重要的安全功能:網絡地址轉移(NAT)將所有公司內部的IP地址映射到一個“安全”的IP地址，這個地址是由防火墻使用的。8.1防火墻概述8.1.3防火墻的特性與相關術語。2.應用級網關：工作在OSI七層模型的任一層上，能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現的。2包過濾包過濾是處理網絡上基于逐包packet-by-packet流量的設備。包過濾設備允許或阻止包，典型的實施方法是通過標準的路由器進行包過濾。8.1防火墻概述8.1.3防火墻的特性與相關術語。3代理服務器代理服務器代表內部客戶端與外部的服務器通信。代理服務器這個術語通常是指一個應用級的網關，雖然電路級網關也可作為代理服務器的一種。4網絡地址翻譯(NAT)網絡地址轉換是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。8.1防火墻概述8.1.3防火墻的特性與相關術語。5堡壘主機堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。6強化操作系統防火墻要求盡可能只配置必需的少量的服務。為了加強操作系統的穩固性，防火墻安裝程序要禁止或刪除所有不需要的服務。多數的防火墻產品，都可以在目前較流行的操作系統上運行。理論上來講，讓操作系統只提供最基本的功能，可以使利用系統Bug來攻擊的方法非常困難。最后，當加強系統時，還要考慮到除了TCP/IP協議外不要把任何協議綁定到外部網卡上。8.1防火墻概述8.1.3防火墻的特性與相關術語。7篩選路由器篩選路由器的另一個術語是包過濾路由器或外部路由器并且至少有一個接口是連向公網的，如Internet。它是對進出內部網絡的所有信息進行分析，并按照一定的安全策略——信息過濾規則對進出內部網絡的信息進行篩選，允許授權信息通過，拒絕非授權信息通過。信息過濾規則是以其所收到的數據包頭信息為基礎的。采用這種技術的防火墻優點在于速度快、實現方便，但安全性能差，且由于不同操作系統環境下TCP和UDP端口號所代表的應用服務協議類型有所不同，故兼容性差。8阻塞路由器阻塞路由器（也叫內部路由器）保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火墻執行大部分的數據包過濾工作。它允許從內部網絡到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數據包過濾而不是代理服務安全支持和安全提供的服務。8.1防火墻概述8.1.3防火墻的特性與相關術語。9非軍事化區域(DMZ)DMZ是一個小型網絡隔離帶，存在于公司的內部網絡和外部網絡之間。這個網絡由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區以進一步隔離公網和內部私有網絡。DMZ另一個名字叫做ServiceNetwork，因為它非常方便。這種實施的缺點在于存在于DMZ區域的任何服務器都不會得到防火墻的完全保護。8.1防火墻概述8.1.4防火墻的主要缺陷1無法消滅攻擊源互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋它們，但是無法清除攻擊源。即使防火墻進行了良好的設置，使得攻擊無法穿透防火墻，但各種攻擊仍然會源源不斷地向防火墻發出嘗試。例如接主干網1000M網絡帶寬的某站點，其日常流量中平均有10M左右是攻擊行為。那么，即使成功設置了防火墻后，這10M的攻擊流量依然不會有絲毫減少。2.無法防御病毒攻擊計算機病毒攻擊的方式多種多樣，大多數病毒都是根據系統存在的漏洞進行攻擊，對于這種攻擊，防火墻經常是無能為力的。在內部網絡用戶下載外網的帶毒文件的時候，防火墻無能為力。8.1防火墻概述8.1.4防火墻的主要缺陷3無法阻止內部攻擊“外緊內松”是一般局域網絡的特點。在一道嚴密防守的防火墻背后，內部網絡一片混亂也很有可能。比如，外部攻擊者通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式在內部主機上注入木馬，然后由中木馬的機器主動對攻擊者連接，可以將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻無法防御內部各主機間的攻擊行為。4.自身設計漏洞不管是硬件防火墻還是軟件防火墻，都會出現軟/硬件方面的故障，也存在或多或少設計上的漏洞，不法分子就可能利用這些設計漏洞，繞過防火墻，對系統進行攻擊。8.1防火墻概述8.1.4防火墻的主要缺陷5影響相關服務通常為了達到信息安全，人們關閉了很多不必要的服務。但是這些服務也有很多是很常用的，關閉了它們之后，人們對網絡的易用性顯然會受到影響。8.2防火墻的類型8.2.1按物理特性劃分1軟件防火墻軟件防火墻是一種安裝在負責內外網絡轉換的網關服務器或者獨立的個人計算機上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統啟動，通過運行在Ring0級別的特殊驅動模塊把防御機制插入系統關于網絡的處理部分和網絡接口設備驅動之間，形成一種邏輯上的防御體系。2硬件防火墻硬件防火墻是是針對芯片級防火墻而言的，最大的差別在于基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。8.2防火墻的類型8.2.1按物理特性劃分3.軟硬件防火墻

軟硬件結合防火墻很容易與硬件防火墻混淆，其基本結構是機箱+CPU+防火墻軟件集成于一體(PC-BOX結構)，其采用通用或專用(通常為通用操作系統的定制版本)操作系統，但核心技術仍然為軟件，安全性在很大程度上取決于操作系統和所實現的網絡協議棧的安全性。雖然軟硬件結合防火墻的速度和性能優于軟件防火墻，其安全性還是不夠理想，通常用于小型網絡。這種方式實現內容過濾與軟件防火墻十分相似，性能不佳，在骨干網中通常需要布置大量硬件設備進行分流處理，成本高。8.2防火墻的類型8.2.2按過濾機制劃分包過濾技術——網絡級防火墻包過濾防火墻工作在網絡層，通過檢查單個包的地址、協議、端口等信息決定是否允許此數據包通過。路由器就是一個傳統的網絡級防火墻。包過濾防火墻檢查規則表中的每一條規則直至發現包中的信息與某規則相符，如果沒有一條能符合，就會使用默認規則，一般情況下，默認規則就是要求防火墻丟棄該包。圖8-2包過濾防火墻8.2防火墻的類型8.2.2按過濾機制劃分使用包過濾防火墻的主要優點包括：1防火墻對每條傳入和傳出網絡的包實行低水平控制。2每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。3防火墻可以識別和丟棄帶欺騙性源IP地址的包。4包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。5包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特征。8.2防火墻的類型8.2.2按過濾機制劃分第一代靜態包過濾類型防火墻圖8-3第一代靜態包過濾防火墻的數據通路8.2防火墻的類型8.2.2按過濾機制劃分第二代動態包過濾類型防火墻。這類防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為包狀態監測(StatefulInspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更新條目，圖8-4第二代靜態包過濾防火墻的數據通路8.2防火墻的類型8.2.2按過濾機制劃分應用代理技術——應用網關防火墻

應用級網關防火墻的別名是代理服務器，有較好的訪問控制，是目前最安全的防火墻技術，對用戶是不透明的。

代理服務器通常運行在兩個網絡之間，對于客戶來說是象是一臺真的服務器一樣，而對于外界的服務器來說，又是一臺客戶機。

代理服務器都通常擁有一個高速緩存，這個緩存存儲有用戶經常訪問站點的內容，在下一個用戶要訪問同樣的站點時，服務器就用不著重復地去抓同樣的內容，既節約了時間也節約了網絡資源。代理服務器會象一堵真的墻那樣擋在內部用戶和外界之間，從外面只能看到代理服務器而看不到任何的內部資源，諸如用戶的IP等。應用級網關比單一的包過濾更為可靠，而且會詳細地記錄下所有的訪問記錄。但是應用級網關的訪問速度慢，因為它不允許用戶直接訪問網絡。而且應用級網關需要對每一個特定的互聯網服務安裝相應的代理服務軟件，用戶不能使用未被服務器支持的服務，效率不如網絡級防火墻。8.2防火墻的類型8.2.2按過濾機制劃分應用代理技術——應用網關防火墻

8.2防火墻的類型8.2.2按過濾機制劃分狀態檢測技術——動態包過濾“狀態檢測”技術是繼“包過濾”技術和“應用代理”技術后發展的防火墻技術，狀態檢測最早由checkpoint公司提出。對新建的應用連接，狀態檢測檢查預先設置的安全規則，允許符合規則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態表。對該連接的后續數據包，只要符合狀態表就可以通過。傳統的包過濾在遇到利用動態端口的協議時會發生困難，如FTP，防火墻事先無法知道哪些端口需要打開，而如果采用原始的靜態包過濾，又希望用到此服務的話，就需要實現將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。而狀態檢測通過檢查應用程序信息（如FTP的PORT和PASS命令），來判斷此端口是否允許需要臨時打開，而當傳輸結束時，端口又馬上恢復為關閉狀態。

8.2防火墻的類型8.2.3 按處理能力劃分目前，按處理能力可劃分為百兆防火墻、千兆防火墻及萬兆防火墻。一般來說，軟件防火墻和軟硬件結合防火墻的處理能力可以在百兆以上，但是達不到千兆，硬件防火墻可以達到千兆以上。隨著網絡帶寬的不斷增加，軟件防火墻和軟硬件結合防火墻的使用空間越來越小，硬件防火墻是適應未來網絡安全發展的有效手段。目前很多千兆硬件防火墻產品標稱有內容過濾能力，但一般或者是可選模塊，啟用后會明顯降低防火墻性能；或者是只能過濾特定的字段，如URL過濾，并且隨模式數量的增大性能呈指數下降。

8.2防火墻的類型8.2.4 按部署方式劃分按部署方式可劃分為終端(單機)防火墻和網絡防火墻。終端防火墻產品絕大多數是軟件產品，目前也有一些高端網卡具有一定的防火墻處理能力，終端防火墻由于數據量小通常不需要很高的處理能力，內容過濾實現相對容易，但需要在每個終端都部署，成本相對較高，并且不利于集中式管理。網絡防火墻本質上是一個網絡交換設備，需要很強的處理能力和轉發能力，并且自身的安全性要求非常高，增加內容過濾無疑會帶來性能的降低，這也是目前防火墻研究的熱點，采用合理的機制將性能降低控制在可以接受的范圍內。

8.3防火墻體系結構8.3.1屏蔽路由器防火墻體系結構主要有四種：·屏蔽路由器·雙宿主主機網關；·被屏蔽主機網關；·被屏蔽子網。圖8-5屏蔽路由器圖8-6雙宿主機網關圖8-7被屏蔽主機網關圖8-8被屏蔽子網8.3防火墻體系結構8.3.1屏蔽路由器屏蔽路由器是一個具有數據包過濾功能的路由器，既可以是一個硬件設備，也可以是一臺主機。路由器上安裝有IP層的包過濾軟件，可以進行簡單的數據包過濾。因為路由器是受保護網絡和外部網絡連接的必然通道，所以屏蔽路由器的使用范圍很廣。其缺點也很明顯，一旦屏蔽路由器的包過濾功能失效，受保護網絡和外部網絡就可進行任何數據通信。圖8-5屏蔽路由器8.3防火墻體系結構8.3.2雙重宿主主機網關

雙重宿主主機網關是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；能夠從一個網絡到另一個網絡發送IP數據包。實現雙重宿主主機的防火墻體系結構禁止這種發送功能。所以IP數據包從一個網絡并不是直接發送到其它網絡。防火墻內部的系統能與雙重宿主主機通信，同時防火墻外部的系統能與雙重宿主主機通信，但是這些系統不能直接互相通信。它們之間的IP通信被完全阻止。

雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡。在雙重宿體主機體系中應用最廣泛的是雙穴主機網關，這種網關是用一臺裝有兩塊網卡的堡壘主機做防火墻。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火墻軟件，可以轉發應用程序，提供服務等。

8.3防火墻體系結構8.3.2雙重宿主主機網關8.3防火墻體系結構8.3.3屏蔽主機網關

屏蔽主機網關使用一個單獨的路由器提供來自僅僅與內部的網絡相連的主機的服務。在這種體系結構中，主要的安全由數據包過濾。在屏蔽的路由器上的數據包過濾是按這樣一種方法設置，即堡壘主機是因特網上的主機能連接到內部網絡上的系統的橋梁。僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或者服務將必須連接到這臺堡壘主機上。堡壘主機需要擁有高等級的安全。在屏蔽路由器中數據包過濾配置的可選方案如下：允許其它的內部主機為了某些服務與因特網上的主機連接。不允許來自內部主機的所有連接。用戶可以針對不同的服務混合使用上述手段；某些服務可以被允許直接經由數據包過濾，而其它服務可以被允許僅僅間接地經過代理。這完全取決于用戶實行的安全策略。圖8-7雙宿主機網關8.3防火墻體系結構8.3.3屏蔽主機網關

8.3防火墻體系結構8.3.4被屏蔽子網被屏蔽子網添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。堡壘主機是用戶的網絡上最容易受侵襲的機器。任憑用戶盡最大的力氣去保護它，仍是最有可能被侵襲的機器，本質上是能夠被侵襲的機器。如果在屏蔽主機體系結構中，用戶的內部網絡對來自用戶的堡壘主機的侵襲門戶洞開，那么用戶的堡壘主機是非常誘人的攻擊目標。在它與用戶的其它內部機器之間沒有其它的防御手段時。如果有人成功地侵入屏蔽主機體系結構中的堡壘主機，就可進入了內部系統。通過在周邊網絡上隔離堡壘主機，能減少在堡壘主機上侵入的影響。屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部的網絡之間，另一個位于周邊網與外部網絡之間。為了侵入用這種類型的體系結構構筑的內部網絡，入侵者必須要通過兩個路由器。即使侵襲者設法侵入堡壘主機，他將仍然必須通過內部路由器。在此情況下，沒有損害內部網絡的單一的易受侵襲點。作為入侵者，只是進行了一次訪問。8.3防火墻體系結構8.3.4被屏蔽子網

8.4防火墻的主要應用

在規劃網絡時，就必須考慮整體網絡的安全性，而在這其中，防火墻是第一道防護。防火墻的選擇必須考慮的問題，建議以下幾點。

好的防火墻是一個整體網絡的保護者，保護整個局域網。好的防火墻必須能彌補其他操作系統的不足：好的防火墻必須是建立在操作系統之前而不是在操作系統之上，所以操作系統有的漏洞可能并不會影響到一個好的防火墻系統所提供的安全性，由于硬件平臺的普及以及執行效率的因素，大部分企業均會把對外提供各種服務的服務器分散至許多操作平臺上，但我們在無法保證所有主機安全的情況下，選擇防火墻作為整體安全的保護者，這正說明了操作系統提供了B級或是C級的安全并不一定會直接對整體安全造成影響，好的防火墻必須能彌補操作系統的不足。8.4防火墻的選擇與應用

在現代企業中，為了加強自身網絡的安全，免受非法用戶的入侵，企業通常采用“被屏蔽子網”體系結構來構建本企業網絡，這通常由三部分組成：邊界網絡、外圍網絡和內部網絡,其結構如圖所示。8.4.1企業網絡的體系結構8.4防火墻的選擇與應用

8.4.1企業網絡的體系結構8.4防火墻的選擇與應用

8.4.1企業網絡的體系結構8.4防火墻的選擇與應用8.4.2內部防火墻系統設計1.內部防火墻應用思想內部防火墻在控制外圍網絡和內部網絡通信的同時，還負有審查內部通信流量的責任，因為內部通信的合法目的地可能是內部網絡中的任何服務器，因而更難控制,因此內部防火墻比外圍防火墻在技術上具有更嚴格的要求。內部防火墻要能實現對內外接口處異常IP數據包的檢測；實現防火墻兩側DNS服務器間的映射；解決內網SMPT、FTP和WEB等服務器與相應堡壘主機間的數據轉發；解決VPN的通信問題以及支持通過代理服務器來實現對外網的Web訪問等多種功能。不同企業的網絡具有很大差異性，有些規則對企業網并非是必需的。企業網內部防火墻規則的選擇，涉及到企業網所處的具體網絡環境和企業特點等多個因素，規則過多過細則影響網絡運行效率，過少過粗又可能妨礙網絡的安全運行。因此，在應用企業網絡內部防火墻時，應謹慎和仔細的選擇。8.4防火墻的選擇與應用8.4.2內部防火墻系統設計1.內部防火墻的應用方案內部防火墻主要防止外部用戶訪問內部網絡，并且限制內部用戶可以執行的操作。因此，內部防火墻具體應用方案可以實現如下功能：(1)內部防火墻可以精確制定各用戶的訪問權限，保證內網用戶只能訪問必要資源。(2)對于撥號備份線路的連接，通過強大的認證功能，實現對遠程用戶的管理。(3)內部防火墻可以記錄網段的訪問信息，及時發現誤操作和來自內部網絡其他網段的攻擊行為。(4)通過集中的安全策略管理，每個網段上的主機不必單獨設立安全策略，降低了人為因素導致產生網絡安全問題的可能性。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計外部防火墻是處于企業內部網絡與外部網絡（包括Internet、廣域網、邊界網絡和其他公司的專用網絡）之間的安全防線。防火墻的內、外網卡分別連接于內、外網絡，但內部網絡和外部網絡是從邏輯上完全隔開的。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計外部防火墻的應用方案在企業設計網絡時，外部防火墻是內、外網絡間的唯一通信通道。安裝外部防火墻后，可以實現內部網絡與外部網絡的有效隔離，防范來自外部網絡的非法攻擊。同時，保證了DMZ區服務器的相對安全性和使用便捷性。外部防火墻是目前應用最主要的防火墻。如果要保證網絡的安全性，就不能再有另外的其他網絡連接途徑。在有些企業中允許一些特殊用戶（如企業高層領導）通過撥號方式與其他網絡連接。這樣，企業網絡的安全性就無法控制，在無形之中就給非法用戶打開了一個可以入侵的大門，這是需要絕對禁止的。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計外部防火墻具體可以實現以下功能：(1)通過源地址過濾，拒絕外部非法IP地址，有效避免了外部網絡上與業務無關的主機越權訪問，防火墻可以只保留有用的服務。(2)關閉其他不需要的服務，將系統受攻擊的可能性降低到最小限度，使黑客無機可乘。(3)制定訪問策略，使只有被授權的外部主機可以訪問內部網絡有限的IP地址，保證外部網絡只能訪問內部網絡中必要的資源，與業務無關的操作將被拒絕。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計外部防火墻具體可以實現以下功能：(4)由于外部網絡的DMZ區主機的所有訪問都要經過防火墻，防火墻可以全面監視外部網絡對內部網絡的訪問活動，并進行詳細記錄，通過分析可以發現可疑的攻擊行為。(5)對于遠程登錄的用戶，如TELNET等，防火墻利用加強的認證功能，可以有效地防止非法入侵。(6)集中管理網絡的安全策略，因此入侵者無法通過更改一臺主機的安全策略而達到控制其他資源，獲取訪問權限的目的。(7)進行地址轉換工作，是外部網絡不能看到內部網絡的結構，從而使入侵者找不到攻擊目標。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計2.外部防火墻系統設計規則在通常情況下，外部防火墻要以默認形式或者通過配置來實現以下規則。(1)除了被允許的通信外，拒絕所有其他通行。(2)阻止聲明具有內部或外圍網絡源地址的外來數據包。(3)阻止聲明具有外部源IP地址的外出數據包（通信應該只來自堡壘主機）。(4)允許從DNS解析程序到Internet上的DNS服務器的基于TCP或UDP協議的DNS查詢和應答。(5)允許基于UDP的外部客戶端查詢DNS解析程序并提供應答。(6)允許SMTP堡壘主機與Internet的郵件相互進出。(7)允許有代理發起的通信從代理服務器到達Internet。(8)允許代理應答從Internet定向到外圍網絡上的代理服務器。8.4防火墻的選擇與應用8.4.3外部防火墻系統設計8.5智能防火墻8.5.1傳統防火墻遺留的主要安全問題

3大安全問題:以拒絕訪問（DDOS）為主要目的的網絡攻擊。以蠕蟲（Worm）為主要代表的病毒傳播。以垃圾電子郵件（SPAM）為代表的內容控制。原因：計算機能力有限。訪問控制機制為簡單的過濾。無法區分識別善意和惡意的行為8.5智能防火墻8.5.2新一代智能防火墻

智能防火墻從技術特征上，是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此，又稱為智能防火墻。8.5智能防火墻智能防火墻體系結構圖8-14智能防火墻體系結構8.5智能防火墻8.5.4智能防火墻的關鍵技術

1.防攻擊技術智能防火墻能智能識別惡意數據流量，并有效地阻斷惡意數據攻擊。智能防火墻可以有效地解決SYNFlooding，LandAttack，UDPFlooding，PingFlooding，Smurf，PingofDeath，UnreachableHost等攻擊。防攻擊技術還可以有效的切斷惡意病毒或木馬的流量攻擊。關于這部分內容我們在后面還會進一步闡述。

2.防掃描技術智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS，SSS，NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術還可以有效地解決代表或惡意代碼的惡意掃描攻擊。8.5智能防火墻8.5.4智能防火墻的關鍵技術

3.防欺騙技術智能防火墻提供基于MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

4.入侵防御技術智能防火墻為了解決準許放行包的安全性，對準許放行的數據進行入侵檢測，并提供入侵防御保護。入侵防御技術采用了多種檢測技術，特征檢測可以準確檢測已知的攻擊，特征庫涵蓋了目前流行的網絡攻擊；異常檢測基于對監控網絡的自學習能力，可以有效地檢測新出現的攻擊;檢測引擎中還集成了針對緩沖區溢出等特定攻擊的檢測。智能防火墻完成了深層數據包監控，并能阻斷應用層攻擊。

5.包擦洗和協議正常化技術6.AAA技術8.5智能防火墻8.5.4智能防火墻的關鍵技術

5.包擦洗和協議正常化技術智能防火墻支持包擦洗技術，對IP、TCP、UDP、ICMP等協議的擦洗，實現協議的正常化，消除潛在的協議風險和攻擊。這些方法對消除TCP/IP協議的缺陷和應用協議的漏洞所帶來的威脅，效果顯著。6.AAA技術IPv4版本的一大缺陷是缺乏身份認證功能，所以在IPv6版本中增加了該功能。問題是IPv6的推廣尚需時日，IPv4在相當長一段時間內，還會繼續存在。智能防火墻增加了對IP層的身份認證。基于身份來實現訪問控制。8.5智能防火墻8.5.4新一代智能防火墻的主要特點智能防火墻相比與傳統的防火墻，增加了規則自學習模塊以及規則優化模塊，而這恰恰是智能防火墻的核心。智能防火墻執行全訪問的訪問控制，而不是簡單的進行過濾策略。基于對行為的識別，可以根據什么人、什么時間、什么地點（網絡層），什么行為（OSI7層）來執行訪問控制，大大增強了防火墻的安全性，更聰明更智能。智能防火墻具備集中網絡管理平臺，具備配置管理、性能管理、故障管理、安全管理、審計管理五大管理域。智能防火墻提供對日志的監控，自動處理，人工或自動導出，數據庫導入，查看，查詢，顯示，報警等功能。支持條件查詢。8.5智能防火墻8.5.5用智能防火墻阻止攻擊

威脅網絡安全行為的90%來自于以拒絕訪問（DOS和DDOS）為主要目的網絡攻擊。DOS（DenialofService）攻擊是一種很簡單但又很有效的進攻方式，能夠利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DDOS(DistributedDenialofService)是一種基于DOS的特殊形式的拒絕服務攻擊，攻擊者通過事先控制大批傀儡機，并控制這些設備同時發起對目標的DOS攻擊，具有較大的破壞性。從現在和未來看，防火墻都是抵御DOS/DDOS攻擊的重要組成部分，這是由防火墻在網絡拓撲的位置和扮演的角色決定的。8.5智能防火墻8.5.5用智能防火墻阻止攻擊1基于狀態的資源控制，保護防火墻資源

(1)控制連接、與半連的超時時間；必要時，可以縮短半連接的超時時間，加速半連接的化；

(2)限制系統各個協議的最大連接值，保證協議的連接數不超過系統限制，在達到連接上限后刪除新建的連接；

(3)限制系統符合條件源/目的主機連接數量；2智能TCP代理有效防范SYNFlood攻擊3基于流量分析的包過濾對DOS和病毒檢測8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊原理。要達到防御此類攻擊目的，首先就要了解該類攻擊的原理。SYNFlood攻擊所利用的是TCP協議存在的漏洞，那么TCP的漏洞在哪里呢？原來TCP協議是面向連接的，在每次發送數據以前，都會在服務器與客戶端之間先虛擬出一條路線，稱TCP連接，以后的各數據通信都經由該路線進行，直到本TCP連接結束。而UDP協議則是無連接的協議，基于UDP協議的通信，各數據報并不經由相同的路線。在整個TCP連接中需要經過三次協商，俗稱“三次握手”來完成。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊第一次：客戶端發送一個帶有SYN標記的TCP報文到服務端，正式開始TCP連接請求。在發送的報文中指定了自己所用的端口號以及TCP連接初始序號等信息。第二次：服務器端在接收到來自客戶端的請求之后，返回一個帶有SYN+ACK標記的報文，表示接受連接，并將TCP序號加l。第三次：客戶端接收到來自服務器端的確認信息后，也返回一個帶有ACK標記的報文，表示已經接收到來自服務器端的確認信息。服務器端在得到該數據報文后，一個TCP連接才算真正建立起來。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊在以上三次握手中，當客戶端發送一個TCP連接請求給服務器端，服務器也發出了相應的響應數據報文之后，可能由于某些原因（如客戶端突然死機或斷網等原因），客戶端不能接收到來自服務器端的確認數據報，這就造成了以上三次連接中的第一次和第二次握手的TCP半連接(并不是完全不連接，連接并未完全中斷)。由于服務器端發出了帶SYN+ACK標記的報文，卻并沒有得到客戶端返回相應的ACK報文，于是服務器就進入等待狀態，并定期反復進行SYN+ACK報文重發，直到客戶端確認收到為止。這樣服務器端就會一直處于等待狀態，并且由于不斷發送SYN+ACK報文，使得CPU及其他資源嚴重消耗，還因大量報文使得網絡出現堵塞，這樣不僅服務器可能崩潰，而且網絡也可能處于癱瘓。8.5智能防火墻8.5.5用智能防火墻阻止攻擊2智能TCP代理有效防范SYNFlood攻擊SYNFlood攻擊正是利用了TCP連接的這樣一個漏洞來實現攻擊目的的。當惡意的客戶端構造出大量的這種TCP半連接發送到服務器端時，服務器端就會一直陷入等待的過程中，并且耗用大量的CPU資源和內存資源來進行SYN+ACK報文的重發，最終使得服務器端崩潰。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。智能TCP代理型防火墻的防御方法是客戶端要與服務器建立TCP連接的三次握手過程中，因為它位于客戶端與服務器端(通常分別位于外、內部網絡)中間，充當代理角色，這樣客戶端要與服務器端建立一個TCP連接，就必須先與防火墻進行三次TCP握手，當客戶端和防火墻三次握手成功之后，再由防火墻與客戶端進行三次TCP握手，完成后再進行一個TCP連接的三次握手。一個成功的TCP連接所經歷的兩個三次握手過程(先是客戶端到防火墻的三次握手，再是防火墻到服務器端的三次握手)8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。從整個過程可以看出，由于所有的報文都是通過防火墻轉發，而且未同防火墻建立起TCP連接就無法同服務器端建立連接，所以使用這種防火墻就相當于起到一種隔離保護作用，安全性較高。當外界對內部網絡中的服務器端進行SYNFlood攻擊時，實際上遭受攻擊的不是服務器而是防火墻。而防火墻自身則又是具有抗攻擊能力的，可以通過規則設置，拒絕外界客戶端不斷發送的SYN+ACK報文。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。防火墻工作時，并不會立即開啟TCP代理（以免影響速度），只有當網絡中的TCP半連接達到系統設置的TCP代理啟動警戒線時，正常TCPIntercept會自動啟動，并且當系統的TCP半連接超過系統TCPIntercept高警戒線時，系統進入入侵模式，此時新連接會覆蓋舊的TCP連接；此后，系統全連接數增多，半連接數減小，當半連接數降到入侵模式低警戒線時，系統推出入侵模式。如果此時攻擊停止，系統半連接數量逐漸降到TCP代理啟動警戒線以下，智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYNFlood攻擊，保證網絡資源安全。8.5智能防火墻8.5.5用智能防火墻阻止攻擊用防火墻防御SYNFlood攻擊。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過濾對DoS和病毒檢測網絡監控在抵御DDOS攻擊中有重要的意義。智能防火墻支持流量分析功能，它將網絡交換中的數據包識別為流的方式加以記錄，并封裝為UDP包發送到分析器上，這樣就為網絡管理、流量分析和監控、入侵檢測等提供了豐富的資料來源(學習資料)。可以在不影響轉發性能的同時記錄、發送流量數據信息，并能夠利用防火墻的安全管理平臺對接收到的資料進行分析、處理。8.5智能防火墻8.5.5用智能防火墻阻止攻擊3基于流量分析的包過濾對DoS和病毒檢測通過監控網絡流量，防火墻可以有效的抵御DDOS攻擊，但當攻擊流數量超過一定程度，已經完全占據了帶寬時，雖然防火墻已經通過安全策略把攻擊數據包丟棄（過濾掉），但由于攻擊數據包已占據所有的網絡帶寬，這時正常的用戶訪問依然無法完成。利用流量分析監視蠕蟲病毒。防止蠕蟲病毒的攻擊，重要的是防止蠕蟲病毒的擴散，只有盡早發現，才可以迅速采取措施有效阻止病毒。各種蠕蟲病毒在感染了系統后，為了傳播自身，會主動向外發送特定的數據包并掃描相關端口。利用這個特性，防火墻可在安全管理平臺上建立相關的蠕蟲病毒查詢模板，定期查詢，當發現了匹配的資料時，可以分析該地址是否已經感染病毒，通過相應過濾規則，采取相應的措施。8.6WindowsServer2016防火墻安全配置

1．啟用/關閉防火墻

（1）打開“網絡連接”，右擊要保護的連接，單擊“屬性”，出現“本地連接屬性”對話框。

（2）選擇“高級”選項卡，單擊“設置”按鈕，出現啟動/停止防火墻界面。如果要啟用

Internet

連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet

連接防火墻，請單擊“關閉(F)”按鈕。

8.6WindowsServer2016防火墻安全配置2．防火墻服務設置

Windows

Server2016

火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統提供了這些服務，Internet連接防火墻就可以監視并管理這些端口。

（1）解除阻止設置。在“例外”選項卡中，可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網絡，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應用程序訪問網絡，則在對話框中間列表中所列出該項服務前加“√”

（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止本機中某項應用程序訪問網絡，則將該項服