网络管理与安全技术课件.ppt

1、网络管理与安全技术第第7章章 防火墙 防火墙作为网络安全的一种防护手段防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用增强了对网络的保护作用 。7.1 防火墙基本概念防火墙基本概念 防火墙示意图防火墙示意图 UF3500/3100防火墙应用 三端口NAT模式交换机交换机路由器路由器集线器集线器防火墙防火墙UF3500/3100UF3500/3100WWW WWW 服务器服务器

2、MailMail服务器服务器PCPCPCPCFTP FTP 服务器服务器7.1.1 防火墙技术发展状况防火墙技术发展状况 n第四代防火墙：第四代防火墙：19921992年，开发出了基于动年，开发出了基于动态包过滤技术的第四代防火墙。态包过滤技术的第四代防火墙。n第五代防火墙：第五代防火墙：19981998年，年，NAINAI公司推出了一公司推出了一种自适应代理技术，可以称之为第五代防种自适应代理技术，可以称之为第五代防火墙。火墙。7.1.1 防火墙技术发展状况防火墙技术发展状况 7.17.1.2 .2 防火墙的任务防火墙的任务 2.创建检查点创建检查点 n 防火墙在内部网络和公网间建立一个检查

3、防火墙在内部网络和公网间建立一个检查点。点。n通过检查点防火墙设备可以监视、过滤和通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。检查所有进来和出去的流量。n网络管理员可以在检查点上集中实现安全网络管理员可以在检查点上集中实现安全目的。目的。7.17.1.2 .2 防火墙的任务防火墙的任务7.17.1.2 .2 防火墙的任务防火墙的任务 九运会信息网络系统已经受并成功地抵御了九运会信息网络系统已经受并成功地抵御了87万多次网络攻击万多次网络攻击3.3.记录记录InternetInternet活动活动 7.17.1.2 .2 防火墙的任务防火墙的任务目前大多数防火墙都采用几种技术相

4、结合的形式目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分来保护网络不受恶意的攻击，其基本技术通常分为两类：为两类：l l 网络数据单元过滤网络数据单元过滤l l 网络服务代理网络服务代理 数据包过滤（数据包过滤（Packet Packet FilteringFiltering）技术是在网）技术是在网络层对数据包进行分析、络层对数据包进行分析、选择，选择的依据是系统选择，选择的依据是系统内设置的过滤逻辑，称为内设置的过滤逻辑，称为访问控制表（访问控制表（Access Access Control TableControl Table）。）。通过检查数据流中每

5、一个通过检查数据流中每一个数据包的源地址、目的地数据包的源地址、目的地址、所用端口号、协议状址、所用端口号、协议状态等因素，或它们的组合态等因素，或它们的组合来确定是否允许该数据包来确定是否允许该数据包通过。通过。l l 源源IP地址地址l l 目的目的IP地址地址l l TCP/UDP源端口源端口l l TCP/UDP目的端口目的端口l l 协议类型（协议类型（TCP包、包、UDP包、包、ICMP包）包）l l TCP报头中的报头中的ACK位位l l ICMP消息类型消息类型例如：例如：FTPFTP使用使用TCPTCP的的2020和和2121端口。如果包过滤要禁止所有的数端口。如果包过滤要禁

6、止所有的数据包只允许特殊的数据包通过。据包只允许特殊的数据包通过。第一条是允许网络地址为第一条是允许网络地址为192.168.1.0192.168.1.0内的任何主机与目标地址为内的任何主机与目标地址为任意且端口为任意且端口为2121建立建立TCPTCP的会话连接。的会话连接。第二条是阻止任何源端口为第二条是阻止任何源端口为2020的远程的远程IPIP地址访问内部网络地址为地址访问内部网络地址为192.168.1.0192.168.1.0且端口小于且端口小于10241024的任意主机。的任意主机。第三条规则是允许源端口为第三条规则是允许源端口为2020的任意远程主机可以访问的任意远程主机可以访

7、问192.168.1.0192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执网络内主机任意端口。这些规则的应用是按照顺序执行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则，它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要它会被立刻丢弃掉，第三条规则不会执行。但第三条规则仍然需要是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允许规则。许规则。n包过滤防火墙的优点包过滤防火墙的优点 速度快、逻辑简单、成本低、易于安装和使用，速度快、逻辑简单

8、、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，网络性能和透明度好。它通常安装在路由器上，因内部网络与因内部网络与InternetInternet连接必须通过路由器，所连接必须通过路由器，所以在原有网络上增加这类防火墙，几乎不需要任以在原有网络上增加这类防火墙，几乎不需要任何额外的费用。何额外的费用。n包过滤防火墙的缺点包过滤防火墙的缺点 不能对数据内容进行控制，缺乏用户级的授权；不能对数据内容进行控制，缺乏用户级的授权；非法访问一旦突破防火墙，即可对主机上的系统非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。数据包的源地址、目的地址以和配置进行攻击。数据包的源地

9、址、目的地址以及及IPIP端口号都在数据包的头部，很有可能被冒充端口号都在数据包的头部，很有可能被冒充或窃取。或窃取。n应用层网关技术是应用层网关技术是在网络的应用层上在网络的应用层上实现协议过滤和转实现协议过滤和转发功能。它针对特发功能。它针对特定的网络应用服务定的网络应用服务协议使用指定的数协议使用指定的数据过滤逻辑，并在据过滤逻辑，并在过滤的同时，对数过滤的同时，对数据包进行必要的分据包进行必要的分析、记录和统计，析、记录和统计，形成报告。实际的形成报告。实际的应用网关通常安装应用网关通常安装在专用工作站系统在专用工作站系统上上 n应用级网关能够理解应用层上的协议，进应用级网关能够理解应

10、用层上的协议，进行复杂一些的访问控制。但每一种协议需行复杂一些的访问控制。但每一种协议需要相应的代理软件，使用时工作量大，效要相应的代理软件，使用时工作量大，效率不如网络级防火墙。率不如网络级防火墙。n常用的应用级防火墙有相应的代理服务器，常用的应用级防火墙有相应的代理服务器，应用级网关有较好的访问控制，但实现困应用级网关有较好的访问控制，但实现困难，而且有的应用级网关缺乏难，而且有的应用级网关缺乏“透明度透明度”n应用层网关防火墙和应用层网关防火墙和数据包过滤有一个共数据包过滤有一个共同的特点，就是它们同的特点，就是它们仅仅依靠特定的逻辑仅仅依靠特定的逻辑来判断是否允许数据来判断是否允许数据

11、包通过。一旦符合条包通过。一旦符合条件，防火墙内外的计件，防火墙内外的计算机系统便可以建立算机系统便可以建立直接联系，外部的用直接联系，外部的用户便有可能直接了解户便有可能直接了解到防火墙内部的网络到防火墙内部的网络结构和运行状态，这结构和运行状态，这大大增加了非法访问大大增加了非法访问和攻击的机会。和攻击的机会。n应用代理服务技术能够将所有跨越防火墙的网络通应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。信链路分为两段。n防火墙内外计算机系统间应用层的连接是由两个代防火墙内外计算机系统间应用层的连接是由两个代理服务器之间的连接来实现，外部计算机的网络链理服务器之间的连接来实现，外

12、部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。计算机系统的作用。n另外，代理服务器也对过往的数据包进行分析、记另外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。发出警告，并保留攻击痕迹。n 应用代理服务器对客户应用代理服务器对客户端的请求行使端的请求行使“代理代理”职责。客户端连接到防职责。客户端连接到防火墙并发出请求，然后火墙并发出请求，然后防火墙连接到服务器，防火墙连接到服务器，并代表这个客户端重复并代表这个

13、客户端重复这个请求。返回时数据这个请求。返回时数据发送到代理服务器，然发送到代理服务器，然后再传送给用户，从而后再传送给用户，从而确保内部确保内部IPIP地址和口令地址和口令不在不在InternetInternet上出现。上出现。n代理技术与包过滤技术完全不同，包过滤技术是代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。一个特定应用都有一个程序。n根据其处理协议的不同，可分为根据其处理协议的不同，可分为FTPFTP网关型、网关型、WWWWWW网关型、网关型、TelnetTelnet网关型等防

14、火墙，其优点在于既网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。软件模式，以进行安全控制。应用层代理主要的优点：应用层代理主要的优点：n支持用户认证并提供详细的注册信息；支持用户认证并提供详细的注册信息；n过滤规则相对于包过滤路由器更容易配置和测试；过滤规则相对于包过滤路由器更容易配置和测试；n 可提供详细的日志和安全审计功能；可提供详细的日志和安全审计功能；n可以隐藏内部网的可以隐藏内部网的IPIP地址以保护内部主机不

15、受外地址以保护内部主机不受外部主机的进攻；部主机的进攻；n内部网中的所有主机通过代理可以访问内部网中的所有主机通过代理可以访问InternetInternet。应用层代理也有明显的缺点：应用层代理也有明显的缺点：n应用层实现的防火墙会造成执行速度慢，其性能应用层实现的防火墙会造成执行速度慢，其性能明显下降；明显下降；n每个应用程序都必须有一个代理服务程序来进行每个应用程序都必须有一个代理服务程序来进行安全控制，并随应用升级面升级。其适应性和连安全控制，并随应用升级面升级。其适应性和连接性都是有限的。接性都是有限的。n状态检测是对包过滤功能的扩展。状态检测是对包过滤功能的扩展。n传统的包过滤在用

16、动态端口的协议时，事先传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必能用到的端口打开，而这会给安全带来不必要的隐患。要的隐患。n状态检测将通过检查应用程序信息来判断此状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。端口马上恢复为关闭状态。n状态检测防火墙克服了包过滤防火墙和应用代理状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不要求每个被访问的应用都有服务器的局限性，不要求每个被访问的应用

17、都有代理。代理。n状态检测模块能够理解并学习各种协议和应用，状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用服务。以支持各种最新的应用服务。n状态检测模块截获、分析并处理所有试图通过防状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。火墙的数据包，保证网络的高度安全和数据完整。n网络和各种应用的通信状态动态存储、更新到动网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策态状态表中，结合预定义好的规则，实现安全策略。略。n状态检测是检查状态检测是检查OSIOSI七层模型的所有层，以决定是七层模型的所有层，以决定是

18、否过滤，而不仅仅是对网络层检测。否过滤，而不仅仅是对网络层检测。防火墙体系结构通常分为四类：防火墙体系结构通常分为四类：l l 屏蔽路由器（屏蔽路由器（Screening RouterScreening Router）l l 屏蔽主机网关屏蔽主机网关 (Screened Host Gateway)Screened Host Gateway)l l 双穴主机网关双穴主机网关 (Dual-Homed Gateway)Dual-Homed Gateway)l l 屏蔽子网屏蔽子网 (Screened Subnet)Screened Subnet)7.3.13.1屏蔽路由器屏蔽路由器 n屏蔽路由器就是

19、实施过滤的路由器屏蔽路由器就是实施过滤的路由器 n包过滤路由器在网络之间完成数据包包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。规则来允许或拒绝数据包。n通常过滤规则定义为：内部网络上的通常过滤规则定义为：内部网络上的主 机 可 以 直 接 访 问主 机 可 以 直 接 访 问 I n t e r n e tI n t e r n e t，InternetInternet上的主机对内部网络上的主上的主机对内部网络上的主机进行访问是有限制的，即没有特别机进行访问是有限制的，即没有特别允许的数据包都拒绝。允许的数据包都拒绝。

20、7.3.13.1屏蔽路由器屏蔽路由器 7.3.13.1屏蔽路由器屏蔽路由器 n优点是价格低且易于使用，优点是价格低且易于使用，n缺点缺点1.1.需要掌握需要掌握TCP/IPTCP/IP知识才能创建相应的过滤规则，知识才能创建相应的过滤规则，若有配置错误将会导致不期望的流量通过或拒若有配置错误将会导致不期望的流量通过或拒绝一些应接受的流量。绝一些应接受的流量。2.2.包过滤路由器不隐藏内部网络的配置，任何允包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的布局许访问屏蔽路由器的用户都可看到网络的布局和结构。和结构。3.3.其监视和日志功能较弱，通常也没有警报的功其监视和

21、日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查网络能。这就意味着网络管理员要不断地检查网络以确定其是否受到攻击。防火墙一旦被攻陷后以确定其是否受到攻击。防火墙一旦被攻陷后很难发现攻击者。很难发现攻击者。n防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。n提供的安全等级比包过滤防火墙要高，其实现了网络层安全提供的安全等级比包过滤防火墙要高，其实现了网络层安全（包过滤）和应用层安全（代理服务）。（包过滤）和应用层安全（代理服务）。n堡垒主机可以通过网络地址解析来隐藏内部网络的配置信息。堡垒主机可以通过网络地址解析来隐藏内

22、部网络的配置信息。n在单宿主堡垒主机结构上，所有外部的流量在单宿主堡垒主机结构上，所有外部的流量直接转发到堡垒主机上执行。黑客可修改路直接转发到堡垒主机上执行。黑客可修改路由器而不把数据包转发给堡垒主机，这样将由器而不把数据包转发给堡垒主机，这样将会绕过堡垒主机且直接进入到内部网络中。会绕过堡垒主机且直接进入到内部网络中。n双宿堡垒主机有两个网络接口，但主机不能双宿堡垒主机有两个网络接口，但主机不能在两个端口之间直接转发信息。这种物理结在两个端口之间直接转发信息。这种物理结构强行让所有去往内部网络的信息经过堡垒构强行让所有去往内部网络的信息经过堡垒主机。主机。n双宿主机网关优于屏蔽路由器的地方

23、是：双宿主机网关优于屏蔽路由器的地方是：1.1.堡垒主机的系统软件可用于维护系统日志、堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。便于日后的检查硬件拷贝日志或远程日志。便于日后的检查之用。之用。2.2.由于堡垒主机是唯一能从由于堡垒主机是唯一能从InternetInternet上直接访上直接访问的内部系统，所以有可能受到攻击的主机问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。就只有堡垒主机本身。3.3.对于入侵者来说，允许其注册到堡垒主机，对于入侵者来说，允许其注册到堡垒主机，就可容易的破坏堡垒主机而整个内部网络受就可容易的破坏堡垒主机而整个内部网络受到攻击的威胁

24、。因此，避免被渗透和不允许到攻击的威胁。因此，避免被渗透和不允许非法用户注册对堡垒主机来说是至关重要的。非法用户注册对堡垒主机来说是至关重要的。n实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部实施防火墙最常见的方法就是屏蔽子网。在内部网络和外部网络之间建立一个被隔离的子网，称之为非军事区网络之间建立一个被隔离的子网，称之为非军事区DMZDMZ。n其是用两台分组过滤路由器将这一子网分别与内部网络和外其是用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开，网络管理员将堡垒主机、信息服务器以及其他部网络分开，网络管理员将堡垒主机、信息服务器以及其他公用服务器放在公用服务器放在DMZDM

25、Z网络中。网络中。n内部网络和外部网络均可访问被屏蔽子网，但禁止其穿过被内部网络和外部网络均可访问被屏蔽子网，但禁止其穿过被屏蔽子网直接通信。屏蔽子网中的堡垒主机作为唯一可访问屏蔽子网直接通信。屏蔽子网中的堡垒主机作为唯一可访问点，并作为应用网关代理。点，并作为应用网关代理。INTERNET包过滤路由器包过滤路由器内部网络内部网络屏蔽子网防火墙屏蔽子网防火墙信息服务器信息服务器堡垒主机堡垒主机包过滤路由器包过滤路由器对于进来的信息，外面的路由器用于防范通常的外对于进来的信息，外面的路由器用于防范通常的外部攻击，并管理部攻击，并管理InternetInternet到到DMZDMZ网络的访问。它只

26、允网络的访问。它只允许外部系统访问堡垒主机和信息服务器许外部系统访问堡垒主机和信息服务器 。里面的路由器提供第二层防御，只接受源于堡垒主里面的路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理机的数据包，负责的是管理DMZDMZ到内部网络的访问。到内部网络的访问。对于出来的信息，里面的路由器管理内部网络到对于出来的信息，里面的路由器管理内部网络到DMZDMZ的访问。它允许内部系统只访问堡垒主机和信息的访问。它允许内部系统只访问堡垒主机和信息服务器。服务器。外面的路由器上的过滤规则要求使用代理服务，即外面的路由器上的过滤规则要求使用代理服务，即只接受来自堡垒主机的去往只接受来自堡垒主

27、机的去往InternetInternet的数据包。的数据包。4.4.外部路由器直接将数据引向外部路由器直接将数据引向DMZDMZ网络上所指定的网络上所指定的系统，无必要设置双宿堡垒主机。系统，无必要设置双宿堡垒主机。5.5.内部路由器作为内部网络与公网之间的防火墙系内部路由器作为内部网络与公网之间的防火墙系统并支持比双宿堡垒主机更大的数据包吞吐量。统并支持比双宿堡垒主机更大的数据包吞吐量。6.6.在在DMZDMZ网络上可以安装网络上可以安装NATNAT于堡垒主机上，从而避于堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。免在内部网络上重新编址或重新划分子网。在实际应用中，具体采用哪一种

28、防火墙主要取决于在实际应用中，具体采用哪一种防火墙主要取决于网络向用户提供什么样的服务及网络所接受的风险网络向用户提供什么样的服务及网络所接受的风险等级。还要取决于经费和技术人员的技术及时间等等级。还要取决于经费和技术人员的技术及时间等因素。因素。7.4 7.4 防火墙的类型防火墙的类型 n大多数防火墙都可以实现上述所讨论的功能，大多数防火墙都可以实现上述所讨论的功能，在实际使用中的防火墙以其实现形式可以分在实际使用中的防火墙以其实现形式可以分为以下四种类型：为以下四种类型：l l 嵌入式防火墙嵌入式防火墙l l 软件防火墙软件防火墙l l 硬件防火墙硬件防火墙l l 应用程序防火墙应用程序防

29、火墙 7.4.1 7.4.1 嵌入式防火墙嵌入式防火墙 n当防火墙功能被集成到路由器或者交换机上当防火墙功能被集成到路由器或者交换机上时，这种防火墙称为嵌入式（时，这种防火墙称为嵌入式（embeddedembedded）防）防火墙。火墙。n其通常只对分组信息进行其通常只对分组信息进行IPIP级的检查，可获级的检查，可获得较高的性能，易于实现并有较好的性价比。得较高的性能，易于实现并有较好的性价比。7.4.2 7.4.2 软件防火墙软件防火墙 n软件防火墙又分有两种类型软件防火墙又分有两种类型:1.1.一是企业级软件防火墙，其用于大型网络上一是企业级软件防火墙，其用于大型网络上并执行路由选择功能

30、。并执行路由选择功能。2.2.另一种是另一种是SOHO(Small Office Home Office)SOHO(Small Office Home Office)级。软件防火墙通常会提供全面的防火墙功级。软件防火墙通常会提供全面的防火墙功能能.n基于服务器的防火墙实际上是在操作系统之基于服务器的防火墙实际上是在操作系统之上运行的应用程序。其系统平台有上运行的应用程序。其系统平台有UnixUnix、LinuxLinux以及以及Windows NTWindows NT、20002000、XPXP和和.NET.NET等。等。7.4.3 7.4.3 硬件防火墙硬件防火墙 n因为硬件路由器也要使用软

31、件，所以将硬件防火墙又因为硬件路由器也要使用软件，所以将硬件防火墙又称为设备防火墙。其设计成一种总体系统，不需要复称为设备防火墙。其设计成一种总体系统，不需要复杂的安装或配置就可以提供防火墙功能。硬件防火墙杂的安装或配置就可以提供防火墙功能。硬件防火墙与软件防火墙相似，可以针对企业应用市场来设计，与软件防火墙相似，可以针对企业应用市场来设计，也可以针对也可以针对SOHOSOHO环境。环境。n基于设备的防火墙也为集成解决方案，是指运行在专基于设备的防火墙也为集成解决方案，是指运行在专用的硬件和软件上的防火墙产品。如用的硬件和软件上的防火墙产品。如Cisco PIXCisco PIX防火防火墙就属

32、于这种集成设备，其整个系统不能实现除防火墙就属于这种集成设备，其整个系统不能实现除防火墙之外的其他任何功能，并且也没有硬盘或服务器的墙之外的其他任何功能，并且也没有硬盘或服务器的其他常规组件。由于它的集成性和专用性，其速度、其他常规组件。由于它的集成性和专用性，其速度、稳定性和安全性方面都比基于服务器的防火墙更好。稳定性和安全性方面都比基于服务器的防火墙更好。但基于服务器的防火墙会提供一些额外的配置和支持但基于服务器的防火墙会提供一些额外的配置和支持选项，并且价格比集成解决方案要便宜。选项，并且价格比集成解决方案要便宜。7.4.4 7.4.4 应用程序防火墙应用程序防火墙 n应用程序防火墙经常

33、是作为现有硬件或软件防应用程序防火墙经常是作为现有硬件或软件防火墙的组件实现的。它们的主要目的是提供一火墙的组件实现的。它们的主要目的是提供一种复杂的内容过滤层次，用来对应用层传输的种复杂的内容过滤层次，用来对应用层传输的数据进行过滤。数据进行过滤。n随着防火墙功能的提高，对于数据的过滤已经随着防火墙功能的提高，对于数据的过滤已经越来越多地集中到了应用层，应用程序防火墙越来越多地集中到了应用层，应用程序防火墙的针对性也越来越强。的针对性也越来越强。7.4.57.4.5选择防火墙需要综合考虑的问题选择防火墙需要综合考虑的问题 1.防火墙管理的难易度防火墙管理的难易度n一般企业很少以现有的网络设备

34、直接当作防火一般企业很少以现有的网络设备直接当作防火墙，如包过滤可直接放在路由器上，但其并不墙，如包过滤可直接放在路由器上，但其并不能达到完全的控制。能达到完全的控制。n设定工作困难、须要具备完整的知识。设定工作困难、须要具备完整的知识。n嵌入式防火墙不易排错，是一般企业不愿意使嵌入式防火墙不易排错，是一般企业不愿意使用的主要原因。用的主要原因。7.4.57.4.5选择防火墙需要综合考虑的问题选择防火墙需要综合考虑的问题2.2.防火墙自身的安全性防火墙自身的安全性n大多数人在选择防火墙时都将注意力放在防火墙如何大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往

35、往忽略了控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。控制功能再强，也终究不能完全保护内部网络。n在防火墙上除了执行防火墙软件外，所有的程序、系在防火墙上除了执行防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。统核心，也大多来自于操作系统本身的原有程序。n当防火墙所执行的软件出现安全漏洞时，防火墙本身当防火墙所执行的软件出现安全漏洞时，防火墙本身也

36、将受到威胁。此时，任何的防火墙控制机制都可能也将受到威胁。此时，任何的防火墙控制机制都可能失效。失效。n当黑客取得了防火墙上的控制权以后，其可为所欲为当黑客取得了防火墙上的控制权以后，其可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。因此防火墙自身应有相当高的安全保护。7.4.5 7.4.5选择防火墙需要综合考虑的问题选择防火墙需要综合考虑的问题3.3.防火墙应该是企业整体网络的保护者，并能弥补其它防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网操作系统的不足，

37、使操作系统的安全性不会对企业网络的整体安全造成影响。络的整体安全造成影响。4.4.防火墙应该能够支持多种平台。防火墙应该能够支持多种平台。5.5.防火墙应向使用者提供完整的安全检查功能，但防火防火墙应向使用者提供完整的安全检查功能，但防火墙并不能有效地杜绝所有的恶意封包，想要达到真正墙并不能有效地杜绝所有的恶意封包，想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。的安全仍然需要内部人员不断记录、改进、追踪。6.6.防火墙不但应该具备包括检查、认证、警告、记录的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境，事先提出功能，并且能够为使用者可能遇到的困境，事先提出解决方案，如解决方案，如IPIP不足形成的不足形成的IPIP转换的问题，信息加密转换的问题，信息加密/解密的问题，大企业要求能够透过解密的问题，大企业要求能够透过InternetInternet集中管集中管理的问题等，这也是选择防火墙时必须考虑的问题。理的问题等，这也是选择防火墙时必须考虑的问题。7.7.没有一个防火墙的设计能够适用于所有的环境，所以没有一个防火墙的设计能够适用于所有的环境，所以建议选择防火墙时，还应根据站点的特点来选择合适建议选择防火墙时，还应根据站点的特点来选择合适的防火墙。的防火墙。