07通信科技学院2011届

..................................................................................................................................III 引 第一章的概 的基本概 使用的重要 的发展历 第二章的体系结 双重宿主主机体系结 主机体系结 子网体系结 第三章的安全部 安全部署的目的及意 目 意 第一代部署及特 第二代部署及特 第三代部署及特 第四代部署及特 第四章实例分 部署实 云火墙与最主要特 第五章典型部署方案分 内（全部）部署方案与分 带DMZ的部署方案与分 参考文 作为一种网络或系统之间强制执行的控制机制，是确保的重，在IT安全领域，是一个重要的角色，对于，杀毒是没有任何办法的，因为的操作不具有任何特征码，杀毒自然无法识别，而则可以系统的每个端口都隐，让找不到，自然也就保证了系统的安全。和其它资源免遭外部。企业在选择产品的时候，没有一套完全正确的规则可参考，因为每个企业的实际网络环境不一样，而且每个企业对功能要求也不同，因此企业通常要立足于需要和自己公司的实际情况来选择适合的，从而保护你的DeploymentoffirewallAsakindofnetworkfirewallorsystembetweentheenforcedaccesscontrolmechanismtoensurethatthereisanimportantmeasureofnetworksecurityintheITsecurityarea，firewallisanimportantrole，forhackerattacks，antisoftwareisnoway，becausethehacker'soperationdoesnothaveanysignature，antisoftwarenatureisunabletoidentify，firewallmaybeputtoyoursystemofeachportarehidden，lethackersfindentrance，naturealsoguaranteethesecurityofthesystem.inaddition，areoftendeployedincorporatenetworksandextemalattack.enterpriseinchoosingfirewallproducts，donothaveanabsoluycorrect，rulescanbereference，becauseeachenterprise'sactualnetworkenvironmentdifferent，andeachenterpriseusuallyshouldbaseontheneedsandtheirowncompany'sactualsituationtochooseappropriatefirewalls，thusprotectingyoursystemsafe.thisprintroducsethebasicconceptoffirewall，workingprinciple，characteristics，suchasfirewallsdeplomentralatedquestion.引要时时面对网络开放带来的数据安全方面的新和新。为了保障，当园及阻挡的，以此来实现网络的安全运行。样正确部署？这个问题与的生活关。哦们应该要在部署之前需制定一个比较实用而又合适的策略呢？首先要进行网络拓扑结构的分析，确定防略，特别是对于的日志管理、本身安全性管理。在具体实施中，按照做好的策略做就行了。第一章的概Internet在全世界的迅速发展和广泛应用，Internet中出现的信息泄密、数据现代通信网络技术和技术的基础上的应用性安全技术，越来越多地应用在网络与公用网络的互联环境中，特别是接入Internet网络，在实际应用中发挥着极其重析，论证部署的基本原则。1.1的基本概“这个术语来自应用在建筑结构里的全技术。在楼宇里用来起分隔作用的墙，用来同的公或房间，可能地防火作用。一某个单起火，这方就可以保护其居住者然而，多都有一个重要门，允人们进入离大楼。因此，然保护了人的安全但这个门在提增强安性的同时应允许要1。的英文名称为“FireWall”，它是目前一种最重要的网络防护设备。是络。能有效地控制网络与外部网络之间的及数据传输，从而达到保护内部网络的信息不受外部非用户的和过滤不良信息的目的。络和外部网络（或公用网络）之间的一道屏障[2]，用以分隔被保护网络与外部网络系统防止发生不可的、潜在破坏性的，它是不同网络或域之间信息的唯一安全服务、实现网络和的基础设施，图1.1显示了一个简单的结构。在结构中，连接互联网的路由器（外部路由器）强迫所有流入的通信流量经过应用网关，而连接网络的路由器（路由器）仅仅接受来自应用网关的分组。实际上，网关控制着哪些流入和流出网络的网络服务的传递，假如，只允许指定的用户连接到互联网，或者只允许特定的应用程序能够在主机和外部主机之是有组许由样不保了应网，避免认可分组多造成荷载。根据的定义，一个完备的应具有以下几个方面的特性1、所有的网络和外部网络之间传输的数据必须通过2、只有被的合法数据及系统中安全策略允许的数据可以通过3、本身不受各种的影响根据的定义，的基本功能可概述为以下几个方面4、可以来自特殊站点的，从而防止来自不明者的所有通信使用的重要的开放性、共享性、互联程度也随着扩大。上网工程的启动和实施，电子商务CommerceCurrency起和发展，使得问题显得日益重要和突出，比如一些重要的应用系统要能保证是，同其他任何社会一样，Internet这样的网络环境也受到某些无聊之人的困扰，这些Internet完成一些真正的工作，而另计算机水平很差，根本不可能做到这一点。而且，若一时粗心（例5台主机，4台已经打补丁，但遗漏了一台，则因为简单的配置错误或遗漏了未打安全补防范一个网络或企业的数据和信息面的风险：1、性的风险，包括某方就的敏感数据或数据的过露特性或某上商品的价格。总的来说，使用可以带来以下益处通过过滤不安全的服务，可以极大地提高和减少子网中主机的风ISFS和重定向封包[3。可以提供对系统的控制，如允许从外部某主机，同时另外的主机。例如，允许外部特定的MailServer和WebServer。对企业网络实现集中的安全管理，在定义的安全规则可以运行于整个网络系统，而无需再网的每台机器上分别设立安全策略。可以定义4、增强的使用可以者获取网络系统的有用信息，如Figer和DNS使用可以记录和统计通过的网络通信，提供关于网络使用的统计数据，并且，可以提供统计数据来判断可能的和探测。1.3的发展历第一代，称滤[4]其进行转发，它是最早使用的一种技术，它的第一代模型是“静态滤”，使用滤技术的通常工作在OSI模型中的网络层上，后来发展更新的“动态滤”增加了传输层。适当的设置过滤规则可以让工作得更安全有效，后来人们对滤技术进行了改进，这种改进后的技术称为“动态滤”与它的前辈相比，动态滤功能在保持着原有静态滤技术和过滤规则的基础上，会对已经成功与计算机连接偏又不能满足建立精细规则的要求（规则数量和性能成反比，而且它只能工作能消除危害（如SYN、ICMP洪水等因此人们需要一种更全面的保护技术，在这样的需求背景下，采用“应用”技术的诞生了。这种实际上就个设备中嵌入滤技术，而是一种被称为“应用协议分析”的新技术。“应用协议分析”技术工作在OSI模型的最——应用层上，在这一层里能接触到的所有数据都都需先经过服务器审核，通过后再由服务器连接，根本没有给分隔在内外部网络两边的计算机直接沟通的机会，可以避免者使用“数据驱动”方式（一种能通过滤技术规则的数据报文，但是当它进入计算机处理后，却变成能够修改系统设置和用户数据的代码）渗透网络，可以说，“应用”是比滤技术更完善的技术。所以，的普及范围还远远不及滤型，而在软件方面更是几乎没见过类似产品了——单机并不具备技术所需的条件，所以第三代，为状态检测它可以对每一层的数据包进行检测和。这种检测的高明之处是能对每个数据包的内容进行监视，从而提高了安全性，为了克服滤技术和应用技术的缺陷，第三代结合了两者的技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。这是在“滤”技术和应用技术后发展的防火墙技术，它是基于“滤原理的“动态滤技术发展而来的，与之类似的有其他发展的“深度包检测”技术。这种技术通过一种被称为“状态监视的模块，在不影响正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。状态监视技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了会话过滤个连接建立时，会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，状态监视可以对包内容进行分析，从而摆脱了传统仅局限于几个包头部信息的检测弱点，而且这种不必开放过多端口，进一步杜绝了可能因为开放端在三代的基础上，更有甚者提出了采用安全系统的，并把它称作第四代。在第四代产品的设计与开发中，安全内核、系统、多级过滤、安核的与改造主要从以下几个方面进行1、取消的系统调3、取消ip录方式存在一个相对独立的区域以安全。在所有的连接通过前，所有的所有外部网络到或ssn的连接由进站处理，进站要保证主机能够了解外部主机的所有信息，而外部主机只能看到之外或ssn的地址。所有从网络ssn通过与外部网络建立的连接由出站处理，出站必须确保完全由它代表网络与外部地址相连，防止与外部的直接连接，同时还要处理网络ssn的连接。到减少对的，过滤器在调用时将被到内核中执行，服务终止时，过滤规ssn的流为它从网络对外的方式十分有限。ssn上的每一个服务器都隐蔽于internet，ssn提供的服务对外部网络而言好像功能，由于地址已经是透明的，对各种网络应用没有限制。实现ssn的关键在于：1、解决分组过滤器与ssn2、支持通过防火对ssn最后，是鉴别与加密的考虑。鉴别与加密是识别用户、验证和保护信息（cryptocard法和数字签名技术，除pem、pgp和kerberos外，目前国外产品中尚没有更好的第二章的体系结双重宿主主机体系双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接送IP数据包，然而双重宿主主的体系结构这种发送。因此，IP数包并不从一个网络（如外部网络接发送到另网络（如网络外与台式台式2.1双重宿主主机体系结构图2.2主机体系结单宿主堡垒主机（主机）模型由滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比滤系统要高，因为它实现了网络层安全（滤）和应用层安全（服务。所以者在破坏网络的安全性之前，必须首先渗透8所示。部网络的数据包进行过滤，集中解决网络的安全问题。在的路由器上的数据滤是按这样法设置的，堡垒主机是因特网上的主机能连接到网络上的系统的桥梁(例如，传送进来的电子邮件)。即使这样，也仅有某些确定类的连接被许。任何部的统试图的系统或务将必须到这台堡垒主上。因此堡垒主机要拥高等级的安全数据也允许堡机开放可允许的连接(“可允许将由用户的站点的安全策略决定)到外部世界。在2、不允许来自主机的所有连接(强迫那些主机经由堡垒主机使用服务)。为主机体系结构图安全安全区通过登录到堡垒主机获得台式图2.2主机体系结子网体系进一步地把网络和外部网络（通常是Internet）开。子网体系结构的最简一个位于周边网与外部网络（通常为Internet）之间。这样就在网络与外部网络之个路由器。即使侵入者侵入堡垒主机，他将必须通过路由器，图2.3为子网体第三章的安全部安全部署的目的及意要不得的，在现今的环境下，木马、肆虐，频繁，而各种的数据通过。系统之间的交流问题，需要建立一个的传输协议，基于不同的操作系统有不同的应用程序，而所有这些应用程序都遵守同一种协议，这样就能进行传输，在网和外部网之间、网与公共网之间构造保护屏障.使Internet与Intranet之间建立起一个安全网关（SecurityGateway，从而保护网免受问题的检查点，使可疑的被于门外，可以阻断，简单的理解就是可以隔绝外界通过网络到你的计算机中，就相当于家里的门一样，限制人则的人，是为了防止不良现象发生的“交通”，它执行站点的安全策略，仅仅全策略，能有效地记录Internet上的活动，限制用户点，能够用来隔开网络中一个可疑的被于门外，这些优点使得在领域中成为佼佼者，它对网络安全起了很重要的作用，让一起期待下一代更全面的的到来。第一代部署及特据的规则表，来检测行为，通常在路由器上实现[6]。滤一般作用Firewallfiltrs整个技术的发展过程中，滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态滤”。第一代：静态滤，这种类型的根据定义好的这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每接都进行，并且根据需要可动态地在过滤规则中增加或更新条目，图3.2为滤部署图FTP

ent

WWWLnternal

Specificinternalhost

Spcificexternalhost图3.2滤部署使用滤的优点有1、对每条传入和传出网络的包实行低水平控制3、可以识别和丢弃带性源IP地址的包使用滤的缺点有：第二代部署及特第二代，应用工作与OSI/RM的会话层，充当路由器，将内彻底[7]。在目的网络创建一个连接，通过这个连接传递通信。通常包含高级应用检测能力，允许检测尖端的应用层，防火墙也叫应用层网关（ApplicationGateway）。这种通过一种（Proxy）技术参与到一个TCP连接的全过程。它的技术就是服务器技术。然而服务器技术呢？是这样的，Proxy是什么呢？是。普通的因特网是一个典WWW服务器程序响应请求并提供相应的数据。而Proxy处于客户机与服务器之间，对现实生活中的服务商。因此ProxyServer的中文名称就是服务器，其功能就是网络用户去取得网络信息。更重要的是：ProxyServer(服务器)是Internet链路级网关所提供的一种重要的安全功能，图3.3为应用部署图。图3.3应用部署1、指定对连接的控制，例如允许或基于服务器IP地址的，或者是允许或基于用户所请求连接的IP地址的。第三代部署及特第三代，状态检测是在企业中部署最为常见的，工作在网络层和传输层[8]。他们建立在基于保持每个活动连接状态信息的滤上，当有权过的)的一部分。只有当这个包没有出现在当前的活动连接列表里时，才会以理型则是规范了特定的应用协议上的行为，图3.4为状态检测部署图。开图3.4状态检测部署有应用层的数据包，从中提取有用信息，如IP地址、端、数据内容等，这样安全状态检测工作在协议栈的较低层，通过的所有的数据包都在低层处状态检测不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPCUDP的应用(DNS、WAISArchie等)等。对于无连接的协议，连接请求围的UDP端口，这样了网，降低了安全性。使用状态检测的缺点有：1、滤得以进行正常工作的一切依据都在于过滤规则的实施，但又不能2、状态检测虽然继承了滤和应用网关的优点，克服了它第四代部署及特随着网络和技术的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶段的已超出了原来传统意义上的范畴，已经演变成特洛伊木马、Internet蠕虫、口令探寻、邮件。在安全性上较第三代防火3、灵活的系5、网络地址转换技术6、Internet网关技术，在服务方面，第四代采用两种独立的服务器，一种是DNS服务器，主要处理网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构向Internet提供的部分DNS信息7、安全服务器网络9、用户定新一代的产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而 理技术，从而降低了系统登录固有的安全风险和出错概率。采用了两种机制，一种用于从网络到外部网络的连接，另一种用于从外部网络到网络的连接。前者采用网络地址转换（NAT）技术来实现，后者采用非的用户定制或的系统技术来实现。为保证系统的安全性和防护水平，采用了三级过滤措施，此必须支持用户在InternetInternet服务有关的安全漏洞。在服务方面，第四代采用两种独立的服务器，一种是DNS服部向Ieternet提供的部分DNS信息。在FTP方面，服务器只提供对有限的受保护的部分的只读。在WWW服务器中，只支持静态的网页，而不允许图形或CGI图3.5第四代部署、关完全。这就是安全服务器网络（SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP net等方式从网上管理，SSN的方法提供的安全性要比传统的“区（DMZ）”方法好得多，因为SSN与外部网之间有保护，而DMZ只是一种在内、外部网络网关之间存在的一种方式，应用使用的口令字系统来作为用户的鉴别，并实现了对邮件的加密，为满足特定用户的特定需求，在提供众 、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的、告警条件、管理日志、进站、FTP、出站、邮件服务器、服务器等，告警功能会守住每一个TCP或UDP探寻，并能发出邮件、声响等多种方式，此外第四代还在网络，数据备份与保全等方面具有特色。还有技术实现方面，在第四代第四章实例分析部署安全厂商都在实践着自己的云安全。其做法是，把升级到“云”火墙（简称云主要特征，正从传输向着智能化的云计算演进，正是这一变化，使得新的安全变得也恰恰是今天的产品所需要具备的，也只有具备了这些特性，新一代的信息安全防护体系，才能真正发挥作用，回顾的发展史，从最早的，发展到硬件，尽管性能和功能上都有很大提升，但其最基本的原理大多仍然是静态的地指表，很显然，对于不断变化的僵尸网络，这样的即使性能再高，也难以施展，未来应该属于新一代的——云火墙，图4.1为云火墙部署图。上网“云.切“云.防止4.1云火墙 最主要特

库.15Min同.自己搜.IPS上网关.云火墙区别于传统意义上的最主要特点有以下几点1、云检测：云检测，就是IPS的全球联动。云火墙提供全球安全实时视图和电子邮件的信用报告服务。所提供的信息，云火墙会实时更新到IPS中。反过来，如果IPS发现了新的可疑行为，IPS也会在第一时间把特征数据同步给云动这些的连接，让内网的僵尸或者傀儡主机、挂马程序的失去与称之为FULLCONTROL！即自适应的双向控制。云火墙的优势如下：3、云接入：云接入，就是SSL接入，云接入提供了基于角色的安全控制。有些厂商的SSL产品只是接入设备，不支持、I