典型防火墙产品与防火墙技术发展

5.5.1典型防火墙产品1、国内个人防火墙软件中经典之作天网防火墙个人防火墙软件在防火墙中是最低廉、最简单易用、最易于安装的一种面向个人用户的防御工具。尽管这样但个人防火墙软件仍可以有效地防御大多数黑客的攻击。下面介绍一下天网个人防火墙软件，它是国内个人防火墙软件的代表之一。天网个人防火墙是国内一款颇为有效的防火墙，它是由天网安全实验室推出的。适用平台：Windows98、Windows2000。对于初级用户几乎不用做任何专业设置，就可以有效的发挥作用。对于高级用户，天网允许进行他们自己的设置。用户可以对指定的协议、端口、IP地址进行过滤，完全监控所有的网络数据。总之天网防火墙具有访问控制、身份认证、应用选通、网络地址转换（NetworkAddressTranslation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。天网个人防火墙属于软件防火墙系列，因此安装相当简单，用户只需运行安装文件，按提示操作即可。天网启动后，缩为一个盾牌形图标，如图5.25所示。双击该图标，显示天网的主界面，如图5.26所示。图5.26天网防火墙主界面（1）系统设置图5.27系统设置主界面选中开机后自动启动防火墙，天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。单击“防火墙自定义规则重置”按钮，防火墙将弹出如下窗口。图5.28天网防火墙提示信息界面如果选择“确定”按钮，天网防火墙将会把防火墙的安全规则全部恢复为初始设置，用户对安全规则的修改和加入的规则将会全部被清除掉，例如：将重新设置在局域网内的地址；用户设定的天网防火墙预警的声音也将被取消。（2）安全级别设置天网防火墙安全级别分为高、中、低三级，默认的安全等级为中，其中安全设置如下：低：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任内部网络，允许内部网络的机器访问提供的各种服务（文件、打印机共享服务）但禁止网络网络的机器访问这些服务。中：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网路上的机器将无法看到天网防火墙所安装的主机。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网络上的机器将无法看到本机。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。（3）断开/接通网络如果按下断开/接通网络按钮，那么主机就将完全与网络断开了，就好象拔下了网线一样。（4）程序规则设置天网防火墙具有对应用程序数据包进行底层分析拦截功能，可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如下图：图5.29天网防火墙信息拦截界面如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示：单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则，如下图:可以设设置该该应用用程序序禁止止使用用TCP或或者UDP协议议传输输，以以及设设置端端口过过滤，，让应应用程程序只只能通通过固固定几几个通通讯端端口或或者一一个通通讯端端口范范围接接收和和传输输数据据，完完成这这些设设置后后，可可以选选择询询问和和禁止止操作作。对对应用用程序序发送送数据据包的的监察察可以以确认认系统统有那那些程程序正正在进进行通通讯。。通过过这种种对数数据包包的监监察防防火墙墙可以以监视视到攻攻击者者对木木马的的控制制通讯讯，防防止木木马程程序向向外网网发送送非法法信息息。（5））IP规则则设置置IP规规则设设置是是针对对整个个系统统的数数据包包监测测，IP规规则设设置的的界面面如下下：工具栏栏上的的按钮钮主要要有导导入，，增加加，修修改，，删除除按钮钮等。。由于于规则则判断断是由由上而而下的的，可可以通通过点点击调调"规规则上上下移移动"按钮钮调整整规则则的顺顺序"。另另外，，只有有相同同协议议的规规则才才可以以调整整相互互顺序序），，当调调整好好顺序序后，，可按按保存存按钮钮保存存你的的修改改。当当规则则增加加或修修改后后，为为了使使新设设定的的规则则生效效，需需要单单击"应用用新规规则"按钮钮。上图中中IP规则则部分分列出出了规规则的的名称称，该该规则则所对对应的的数据据包的的方向向，该该规则则所控控制的的协议议，本本机端端口，，对方方地址址和对对方端端口，，以及及当数数据包包满足足本规规则时时所采采取的的策略略。在在列表表的左左边为为该规规则是是否有有效的的标志志，如如果标标记为为钩表表示改改规则则有效效，否否则表表示无无效。。当你你改变变某些些设置置后，，请按按保存存按钮钮，以以便使使设置置生效效。天网防防火墙墙本身身已经经默认认设置置好了了相当当的安安全级级别，，一般般用户户，并并不需需要自自行更更改。。例如如：防御ICMP攻攻击：：即别别人无无法用用PING的的方方法来来确定定你的的存在在。但但不影影响你你去PING别别人。。防御IGMP攻攻击：：IGMP是用用于传传播的的一种种协议议。TCP数据据包监监视：：监视视你机机器上上所有有的TCP端口口服务务。这这是一一种对对付木木马程程序的的主要要方法法。用户可可以通通过点点击增增加按按钮或或选择择一条条规则则后按按修改改按钮钮，激激活编编辑窗窗口，，以便便用户户进一一步设设置适适合自自己的的规则则。输入规规则的的"名名称"和"说明明"，，以便便于查查找和和阅读读。选择该该规则则是对对进入入的数数据包包还是是输出出的数数据包包有效效。对对方的的ip地址址，用用于确确定选选择数数据包包从那那里来来或是是去哪哪里。。任何何地址址是指指可以以接收收从任任何地地方发发来的的数据据包；；局域域网网网络地地址是是指数数据包包来自自和发发向局局域网网；指指定地地址是是用户户输入入的地地址，，指定定的网网络区区域是是你可可以自自己输输入一一个网网络和和掩码码。还还要录录入该该规则则所对对应的的协议议，在在这里里请注注意，，如果果录入入了IP协协议的的规则则，一一点要要保证证IP协议议规则则的最最后一一条的的内容容是：：“对对方方地址址：任任何地地址；；动动作：：继续续下一一规则则””。TCP协协议要要填入入本机机的端端口范范围和和对方方的端端口范范围，，如果果只是是指定定一个个端口口，那那么可可以在在起始始端口口处键键入该该端口口，结结束处处，键键入0。如如果不不想指指定任任何端端口，，只要要在起起始端端口都都键入入0。。ICMP规规则要要填入入类型型和代代码。。如果果输入入255，，表示示任何何类型型和代代码都都符合合本规规则。。当一一个数数据包包满足足上面面的条条件时时，你你就可可以对对该包包采取取操作作了：："通通行"指让让该数数据包包可以以正常常通过过；"拦截截"指指让该该数据据包无无法通通过；；"继继续下下一规规则"指不不对该该数据据包作作任何何处理理，由由该规规则的的下一一条规规则来来确定定对该该包的的处理理操作作。在在执行行这些些规则则的同同时，，还可可以定定义是是否记记录这这次规规则的的处理理和这这次规规则的的处理理的数数据包包的主主要内内容，，并可可以设设置"天网网防火火墙"托盘盘图标标是否否闪烁烁来"警告告"，，或发发出声声音来来进行行提示示。建立规规则的的原则则：防火墙墙的规规则检检查顺顺序与与列表表顺序序是一一致的的。如果只只想对对内部部网络络开放放某些些端口口或协协议（（但对对外部部网络络关闭闭）时时，可可对内内部网网络的的规则则采用用允许许"局局域网网网络络地址址"的的某端端口、、协议议的数数据包包"通通行"的规规则，，然后后用"任何何地址址"的的某端端口、、协议议的规规则"拦截截"，，就可可实现现你的的目的的。如果录录入了了IP协议议的规规则，，一定定要保保证IP协议议规则则的最最后一一条的的内容容是：：对方方地址址为任任何地地址，，动作作是““继续续下一一规则则"，，否则则会其其他协协议的的规则则会执执行不不到。。不要滥用"记录"功功能，一个个定义不好好的规则加加上记录功功能，会产产生大量没没有任何意意义的日志志，并浪费费大量的系系统资源。。（6）日日志查看看天网防火火墙将会会把所有有不合规规则的数数据包拦拦截并且且记录下下来，如如果你选选择了监监视TCP和UDP数数据包，，那你发发送和接接受的每每个数据据包也将将被记录录下来。。每条记记录从左左到右分分别是发发送/接接受时间间、发送送IP地地址、数数据包类类型、本本机通讯讯端口，，对方通通讯端口口，标志志位但不是所所有的被被拦截的的数据包包都意味味着有人人在攻击击你，有有些正常常的数据据包可能能由于你你设置的的安全级级别过高高而不符符合安全全规则，，也会被被天网防防火墙拦拦截下来来并且报报警，如如你设置置了禁止止别人Ping你的主主机，如如果有人人向你的的主机发发送Ping命命令，天天网防火火墙也会会把这些些发来的的ICMP数据据拦截下下来记录录在日志志上并且且报警。。安全日日志可以以导出和和被删除除，其上上面左右右两个按按钮分别别为存为为文件和和清空日日志的按按钮。另外，天天网网站站可以为为天网防防火墙注注册用户户提供在在线的系系统检测测服务。。如下图图。具体体包括的的项目和和功能如如下。信息泄露露检测：：检测系系统是否否存在信信息泄漏漏的危险险性。如如果你的的电脑系系统存在在安全漏漏洞，检检测系统统会显示示出你的的计算机机名，甚甚至会检检测出你你的共享享文件目目录和打打印机的的名称，，并把共共享目录录里的具具体内容容列出来来。系统安全全性检测测：如果果系统存存在漏洞洞，很可可能会成成为网络络上的攻攻击对象象。该项项检测的的目的就就是验证证系统是是否存在在这样的的漏洞。。同时还还提供了了电脑网网络安全全软件，，可以帮帮助用户户填补这这些漏洞洞。网络端口口扫描：：扫描你你的系统统是否存存在开放放的易于于被攻击击的网络络端口。。DdosSlave扫描描，在黑黑客攻击击的事件件中，许许多接入入互联网网的计算算机被黑黑客利用用来作为为攻击其其他网站站或计算算机的跳跳板（又又被称为为“肉鸡鸡”）。。因为这这些主机机被黑客客植入DDOS攻击的的代理程程序，所所以黑客客控制这这些代理理程序来来对外攻攻击。DDOSSlave扫描是是检查您您的系统统里是否否存在这这种代理理程序。。检检测和和扫描服服务是通通过天网网网站对对主机进进行扫描描实现的的，完成成后将给给出一个个完整的的报告和和适当的的建议。。图5.37天网网网站安安全漏洞洞报告界界面2、操作作系统集集成的防防火墙--启用用winxp中自带带的防火火墙操作系统统WINDOWSXP本身身就具有有Internet连连接防火火墙（ICF）），即充充当网络络与外部部世界之之间的保保卫边界界的安全全系统。。Internet连连接防火火墙（ICF））是用来来限制哪哪些信息息可以小小型办公公网络或或个人主主机进入入Internet（（外部网网络）以以及从Internet进入入小型办办公网络络或个人人主机的的一种工工具软件件。如果果网络使使用Internet连接共共享（ICS））来为多多台计算算机提供供Internet访访问能力力，在共共享的Internet连接接中启用用ICF。当然然ICS和ICF也可可以单独独启用。。工作原理理：ICF被被视为状状态防火火墙，状状态防火火墙可监监视通过过其路径径的所有有通讯，，并且检检查所处处理的每每个消息息的源和和目标地地址。ICF保保留了所所有源自自ICF计算机机的通讯讯表。在在单独的的主机中中，ICF将跟跟踪源自自该计算算机的通通信。与与ICS一起使使用时，，ICF将跟踪踪所有源源自ICF/ICS计计算机的的通信和和所有源源自专用用网络计计算机的的通信。。所有Internet传入入通信都都会针对对于该表表中的各各项进行行比较。。只有当表表中有匹匹配项时时，才允允许将传传入Internet通信传传送给网网络中的的计算机机。源自自外部源源ICF计算机机的通讯讯（如Internet）将将被防火火墙阻止止，除非非在“服服务”选选项卡上上设置允允许该通通讯通过过。ICF不会会向你发发送活动动通知，，而是静静态地阻阻止未经经请求的的通讯，，防止像像端口扫扫描这样样的常见见黑客袭袭击。ICF和和个人主主机或小小型办公公室通讯讯不应该该在所有有没有直直接连接接到Internet的连接接上启用用Internet连连接防火火墙。如如果在ICS客客户计算算机的网网络适配配器上启启用防火火墙，则则将干扰扰该主机机和网络络上的所所有其他他主机之之间的某某些通讯讯。ICF也具具有日志志功能能能够记录录被许可可的和被被拒绝的的通信。。（1）配配置防火火墙1.启用用或禁用用Internet连连接防火火墙。图5.38网络络邻居属属性窗口口方法：打打开“网网络连接接”，单单击要保保护的拨拨号、LAN或或高速Internet连接接，然后后在“本本地连接接属性””→““高级””→“设设置”下下，选择择下面的的一项：：图5.39防火火墙设置置窗口若要启用用Internet连连接防火火墙，选选中“通通过限制制或阻止止来自Internet的对对此计算算机的访访问来保保护我的的计算机机和网络络”复选选框。若若要禁用用Internet连连接防火火墙，请请清除此此复选框框。2）安全全日志的的设置当选择““登录放放弃的数数据包””复选框框时，每每次通信信尝试通通过防火火墙却被被检测和和拒绝的的信息都都被ICF收集集。例如如，如果果Internet控控制消息息协议没没有设置置成允许许传入的的回显请请求，如如Ping和Tracert命令发发出的请请求，防防火墙将将接收到到来自外外部网络络的回显显请求，，但防火火墙会根根据用户户设置的的规则放放弃回显显的数据据并记录录日志。。Ping和Tracert都采用用的是网网际消息息协议（（ICMP）。。通过ICMP协协议，可可以使采采用IP通讯的的主机和和路由器器报告通通信错误误并交换换受限控控制和状状态信息息。在下下列情况况中通常常自动发发送ICM消息息：IP数据报报无法访访问目标标、IP路由器器（网关关）无法法按当前前的传输输速率转转发数据据报、IP路由由器将发发送主机机重定向向为使用用更好的的到达目目标的路路由。启启用或禁禁用Internet控制消消息协议议：打开开“网络络连接””。单单击已启启用Internet连接防防火墙的的连接，，然后在在“本地地连接属属性”→→“高级级”→““设置置”→““高级””→→““ICMP设设置”选选项卡上上，选中中希望响响应的请请求信息息类型旁旁边的复复选框。。图5.41ICMP设置置窗口当你选择择“登录录成功的的外传连连接”复复选框时时，将收收集每个个成功通通过防火火墙的连连接信息息。例如如，当网网络上的的任何人人使用InternetExplorer成功功实现与与某个网网站的连连接时，，将记入入日志。。生成的的安全日日志使用用的是W3C扩扩展日志志文件格格式。启用或禁禁用安全全日志记记录选项项：打开开“网络络连接””，单击击要在其其上启用用Internet连连接防火火墙（ICF））的连接接，然后后在“网网络任务务”→““更改该该连接的的设置””→“高高级”→→“设置置”→““安全日日志记录录”→““记录选选项”下下，选择择下面的的一项或或两项：：图5.42安全全日志设设置窗口口若要启用用对不成成功的入入站连接接尝试的的记录，，请选中中“记录录丢弃的的数据包包”复选选框，否否则禁用用。更改安全全日志文文件的路路径和文文件名的的方法：：打开““网络连连接”，，选择要要在其上上启用Internet连接接防火墙墙的连接接，然后后在“本本地连接接属性””→“高高级”→→“设设置”→→“高级级”→““安全记记录设置置”→““日志文文件选项项”中，，浏览要要放置日日志文件件的位置置。图5.43修修改安全全日志窗窗口更改安全全日志文文件大小小需要用用户打开开已启用用Internet连连接防火火墙的连连接，然然后在““本地连连接属性性”→““高级””→““设置””→“高高级”→→“安全全记录设设置”→→“日志志文件选选项”““大小限限制”中中，使用用箭头按按钮调整整大小限限制。1）屏蔽蔽内部网网络拓扑扑结构为了防止止黑客的的侵入，，应采用用动态地地址映射射隔离内内部网络络，屏蔽蔽内部网网络拓扑扑结构。。对PIXFirewall做如如下配置置:–4）防范范内部网网络的非非法IP和MAC地址址由于采用用盗用他他人的IP地址址和MAC地址址的方法法，可以以达到隐隐藏非法法访问的的目的。。使用PIXFirewall的的ARP命令可可以将内内部主机机的IP和它的的MAC地址绑绑定，来来防止篡篡改和盗盗用IP地址现现象。例例如，我我们要将将主机的的IP地与与它的MAC地地址00a8.3e41.2bc7绑定，，可进行行如下配配置：结合以上上四种配配置，CiscoPIXFirewall可可以实现现对IP包过滤滤，屏蔽蔽内部网网络和对对网络资资源加以以的控制制，并有有效地防防范IP地址的的盗用和和篡改。。从而较较好地实实现了一一个完整整的防火火墙系统统。4、国外外著名防防火墙产产品--CheckPoint公司司的FireWall-1网网络安全全防火墙墙据IDC的最近近统计，，CheckPoint公司司的FireWall-1防防火墙在在市场占占有率上上已超过过32%。CheckPointFireWall-1产品品包括以以下模块块：状态检检测模模块（（InspectionModule））：提提供访访问控控制、、客户户机认认证、、会话话认证证、地地址翻翻译和和审计计功能能；防火墙墙模块块（FireWallModule）：：包含含一个个状态态检测测模块块，另另外提提供用用户认认证、、内容容安全全和多多防火火墙同同步功功能；；管理模模块（（ManagementModule））：对对一个个或多多个安安全策策略执执行点点（安安装了了FireWall-1的某某个模模块，，如状状态检检测模模块、、防火火墙模模块或或路由由器安安全管管理模模块等等的系系统））提供供集中中的、、图形形化的的安全全管理理功能能；连接控控制（（ConnectControl））：为为提供供相同同服务务的多多个应应用服服务器器提供供负载载平衡衡功能能；路由器器安全全管理理模块块（RouterSecurityManagement））：提提供通通过防防火墙墙管理理工作作站配配置、、维护护3Com，Cisco，Bay等路路由器器的安安全规规则；；FireWall-1采采用CheckPoint公公司的的状态态检测测（StatefulInspection）专专利技技术，，以不不同的的服务务区分分应用用类型型。FireWall-1状状态检检测模模块分分析所所有的的包通通讯层层，汲汲取相相关的的通信信和应应用程程序的的状态态信息息。状状态检检测模模块截截获、、分析析并处处理所所有试试图通通过防防火墙墙的数数据包包，保保证网网络的的高度度安全全和数数据完完整。。网络络和各各种应应用的的通信信状态态动态态存储储、更更新到到动态态状态态表中中，结结合预预定义义好的的规则则，实实现安安全策策略管管理。。图5.44FireWall-1网网络结结构示示意图图状态检检测模模块检检验IP地地址、、端口口以及及其它它需要要的信信息以以决定定通信信包是是否满满足安安全策策略。。状状态态检测测模块块把相相关的的状态态和状状态之之间的的关联联信息息存储储到动动态连连接表表中并并随时时更新新，通通过这这些数数据，，FireWall-1可以以检测测到后后继的的通信信。状状态检检测技技术对对应用用程序序透明明，不不需要要针对对每个个服务务设置置单独独的代代理，，使其其具有有更高高的安安全性性、高高性能能、更更好的的伸缩缩性和和扩展展性，，可以以很容容易把把用户户的新新应用用添加加到保保护的的服务务中去去。通通过策策略编编辑器器制定定的规规则存存为一一个用用INSPECT写写成的的脚本本文件件，经经过编编译生生成代代码并并被加加载到到安装装有状状态检检测模模块的的系统统上。。CheckPoint采采用了了OPSEC了了。OPSEC允许许用户户通过过一个个开放放的、、可扩扩展的的框架架集成成、管管理所所有的的网络络安全全产品品。OPSEC把FireWall-1嵌嵌入到到已有有的网网络平平台（（如Unix、、NT服务务器、、路由由器、、交换换机以以及防防火墙墙产品品），，或把把其它它安全全产品品无缝缝集成成到FireWall-1中中，提提供开开放的的、可可扩展展的安安全框框架。。FireWall-1允允许企企业定定义并并执行行统一一的防防火墙墙中央央管理理安全全策略略。企企业的的防火火墙安安全策策略都都存放放在防防火墙墙管理理模块块的一一个规规则库库里。。规则则库里里存放放的是是一些些有序序的规规则，，每条条规则则分别别指定定了源源地址址、目目的地地址、、服务务类型型（HTTP、、FTP、、TELNET等））、针针对该该连接接的安安全措措施（（放行行、拒拒绝、、丢弃弃或者者是需需要通通过认认证等等）、、需要要采取取的行行动（（日志志记录录、报报警等等）、、以及及安全全策略略执行行点（（是在在防火火墙网网关还还是在在路由由器或或者其其它保保护对对象上上上实实施该该规则则）。。管理理员通通过管管理主主机管管理该该规则则库，，建立立、维维护安安全策策略，，加载载安全全规则则到装装载了了防火火墙或或状态态检测测模块块的系系统上上。他他们之之间的的通信信必须须先经经过认认证，，然后后通过过加密密信道道传输输。远程用户和和拨号用户户可以经过过FireWall-1的认认证后，访访问内部网网络资源。。在不修改改本地服务务器或客户户应用程序序的情况下下，对试图图访问内部部服务器的的用户进行行身份认证证。认证服服务集成在在安全策略略中，通过过图形用户户界面集中中管理，通通过日志管管理器监视视、跟踪认认证会话。。

FireWall-1提提供三种认认证方法：：用户认证证（UserAuthentication），针对对特定服务务提供的基基于用户的的透明的身身份认证，，服务限于于FTP、、TELNET、HTTP、、HTTPS、RLOGIN；客户机机认证（ClientAuthentication），基于于客户机IP的认证证，对访问问的协议不不做直接的的限制，客客户机认证证不是透明明的，需要要用户先登登录到防火火墙认证IP和用户户身份之后后，才允许许访问应用用服务器；；会话认证证（SessionAuthentication））：提供基基于服务会会话的的透透明认证，，与IP无无关，采用用会话认证证的客户机机必须安装装一个会话话认证代理理，访问不不同的服务务时必须单单独认证。。FireWall-1支持三三种不同的的NAT模模式：静态态源地址NAT、目目的地址NAT：动动态地址NAT。FireWall-1的连接接控制模块块提供了负负载平衡功功能，在提提供相同服服务的多个个应用服务务器之间实实现负载分分担，目前前FireWall-1支持持的负载均均衡算法：：ServerLoad（（由服务器器提供负载载均衡算法法，需要在在应用服务务器端安装装负载测量量引擎）；；RoundTrip（利利用ping命令测测定防火墙墙到各个应应用服务器器之间的循循回时间，，选用循回回时间最小小者响应用用户请求））；RoundRobin（根据记记录表中的的情况，简简单地指定定下一个应应用服务器器响应）；；Random（随随机选取应应用服务器器响应）；；Domain（按按照域名最最近的原则则，指定最最近的应用用服务器响响应）。5.5.2防火火墙的发展展趋势目前，防火火墙技术随随着新技术术的发展，，综合使用用包过滤技技术、代理理服务技术术和其他一一些新技术术的防火墙墙真是今后后防火墙发发展的趋势势。目前出出现几个新新型的防火火墙技术：：1、包过滤滤系统向着着更具柔性性和多功能能的方向发发展。比如如动态包过过滤系统，，在CheckPointFirewall一1中的的包过滤规规则可由路路由器灵活活、快速地地设置。一一个输出的的UDP数数据包可以以引起对应应的允许应应答UDP创立一个个临时的包包过滤规则则，允许其其对应的UDP包进进入内部网。2、从外部部向内看起起来像是代代理服务，，而由内部部向外看像像一个包过过滤系统的的综合性防防火墙结构构。这些产产品通过对对大量内部部网络的外外向连接请请求采用计计账系统和和包的批次次修改方式式，对防火火墙的内外外提供相关关的伪像。。3、分布式式防火墙技技术。新型型的分布式式防火墙由由中心定义义策略，但但由各个分分布在网络络中的端点点实施这些些制定的策策略。实现现的三个主主要步骤：：确定哪些些连接可以以被允许或或那些连接接被禁止的的策略语言言、系统管管理工具和和IP安全全协议。策策略语言言有很多种种，如KeyNote就是一一种通用的的策略语言言。实现分分布式防火火墙的关键键是标志内内部的主机机，不应该该再采用传传统防火墙墙所用的对对物理上的的端口进行行标志的办办法。以IP地址来来标志内部部主机是一一种可供选选择的方法法，但安全全性不高，，所以更倾倾向于使用用IP安全全协议中的的密码凭证证来标志各各台主机，，这种新技技术为主机机提供了可可靠的、唯唯一的标志志，并且与与网络的物物理拓扑无无关。分布布式防火墙墙服务器系系统管理工工具用于将将形成的策策略文件分分发给被防防火墙保护护的所有主主机，应该该注意的是是这里所指指的防火墙墙并不是传传统意义上上的物理防防火墙，而而是逻辑上上的分布式式防火墙。。IP安全全协议是一一种对TCP/IP协议族的的网络层进进行加密保保护的机制制，包括AH和ESP，分别别对IP包包头和整