防火墙与入侵检测(一)防火墙基础知识

防火墙与入侵检测课程简介授课形式课程讲授+上机实习成绩给定办法期末考试成绩70%到课、课堂作业、上机实习30%上课时间2-16周周三5-6节实验第十二、十三、十四、十五周地点授课10J317上机12J214授课班级网络0901、0902、0903、09Q1网络安全网络安全是指网络系统的软件、硬件及其存储的数据处于保护状态，网络系统不会由于偶然的或者恶意的冲击而受到破坏，网络系统能够连续可靠地运行。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多研究领域的综合性学科。凡是涉及网络系统的保密性、完整性、可用性和可控性的相关技术和理论都是网络安全的研究内容。网络安全2009年网民遭遇安全事件的情况网络安全网民遭遇安全事件的诱因网络安全安全事件带来的损失网络安全网络安全事件带来的直接财产损失情况网络安全网络安全研究内容密码技术防火墙技术入侵检测计算机病毒学网络安全管理规范密码技术能完整地解决信息安全性中的机密性、数据完整性、认证、身份识别以及不可抵赖等问题中的一个或多个。密码技术不能解决所有的网络安全问题，它需要与信息安全的其他技术如访问控制技术、网络监控技术等互相融合，形成综合的信息网络安全保障。防火墙建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。特征：网络位置特性内部网络和外部网络之间的所有网络数据都必须经过防火墙工作原理特性只有符合安全策略的数据才能通过防火墙先决条件防火墙自身应具有非常强的扛攻击能力入侵检测80%以上的入侵来自于网络内部由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于来自内部网络的攻击，防火墙形同虚设入侵检测是对防火墙及其有益的补充在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击在入侵攻击过程中，能减少入侵攻击所造成的损失在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库中，增强防范能力，避免系统再次受到入侵。计算机病毒学病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”反病毒技术病毒预防技术病毒检测技术病毒清除技术网络安全管理规范信息网络安全策略实体可信、行为可控、资源可管、事件可查、运行可靠信息网络管理机制谁主管谁负责、谁运行谁负责安全事件响应机制网络安全网络安全研究内容密码技术防火墙技术入侵检测计算机病毒学网络安全管理规范防火墙篇第1章防火墙基础知识第2章防火墙的关键技术第3章主流防火墙的部署与实现第4章防火墙厂商及产品介绍第5章防火墙的发展趋势第一章防火墙基础知识构造比较全面的关于防火墙的知识框架防火墙基础知识防火墙的定义－－什么是防火墙防火墙的位置－－所处的逻辑位置和物理位置防火墙的理论特性和实际功能防火墙的规则－－防火墙的灵魂－－“过滤规则”防火墙的分类－－多种分类方法防火墙的定义

从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。

AT&T的工程师WilliamCheswick和StevenBellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性：防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。

防火墙的物理位置

从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。下图为防火墙在网络中的常见位置：防火墙的逻辑位置

防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能，表现出来的特性也不同。所有防火墙均依赖于对ISOOSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来，防火墙越是工作在ISOOSI/RM模型的上层，能检查的信息就越多，其提供的安全保护等级就越高。防火墙与网络层次关系如下表所示：ISOOSI/RM七层模型防火墙级别应用层网关级表示层会话层传输层电路级网络层路由器级数据连路层网桥级物理层中继器级防火墙的理论特性和实际功能防火墙面对的安全威胁防火墙的理论特性防火墙的实际功能防火墙面对的安全威胁

通过更改防火墙配置参数和其它相关安全数据而展开的攻击。攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。绕开身份认证和鉴别机制，伪装身份，破坏已有连接。任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。未经授权访问内部网络中的目标数据。用户对防火墙等重要设备未经授权的访问。破坏审计记录。防火墙的理论特性1创建阻塞点

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于网络系统的边界（networkboundary），属于用户内部网络边界安全保护设备。所谓网络边界就是采用不同安全策略的两个网络连接位置。防火墙就是在网络的外边界或周边，在内部网络和外部网络之间建立的唯一一个安全控制检查点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。从而实现防止非法用户进入内部网络，禁止存在安全脆弱性的服务进出网络，并抵抗来自各种路线的攻击，进而提高被保护网络的安全性，降低风险。这样一个检查点被称为阻塞点。这是防火墙所处网络位置特性，同时也是一个前提。如果没有这样一个供监视和控制信息的点，系统管理员要在大量的地方来进行监测。在某些文献里，防火墙又被称为内部网络与外部网络之间的单联系点。需要注意的是，虽然存在着许多的多接入点网络，但是每个出口也都要有防火墙设备，因此从逻辑上看，防火墙还是内部网络与外部网络之间的唯一联系点。防火墙的理论特性2强化网络安全策略，提供集成功能

防火墙设备所处的位置，正好为系统提供了一个多种安全技术的集成支撑平台。通过相应的配置，可以将多种安全软件，譬如口令检查、加密、身份认证、审计等，集中部署在防火墙上。与分散部署方案相比，防火墙的集中安全管理更经济、更加有效，简化了系统管理人员的操作，从而强化了网络安全策略的实行。防火墙的理论特性3实现网络隔离

防火墙将网络划分成内部网络和外部网络两个不同的部分，因此网络隔离就成为防火墙的基本功能。防火墙通过将内部网络和外部网络相互隔离来确保内部网络的安全，同时限制局部重点或敏感网络安全问题对全局网络造成的影响，降低外部网络对内部网络一些统计数据的探测能力。限制来自外部网络的访问防火墙基础功能之一就是限制信息包进入网络。防火墙针对每一个进入内部网络的企图都要根据依照安全策略制订的规则进行过滤，即授权检查。如果该行为属于系统许可的行为则予以放行，否则将拒绝该连接企图。防火墙的这种功能实现了对系统资源的保护，防止了针对机密信息的泄漏、盗窃和破坏性为。限制网络内部未经授权的访问传统防火墙难于觉察内部的攻击和破坏行为。现代防火墙则加强了对内部访问数据的监控，主要表现就是一切都严格依照预先制订的系统整体安全策略，限制内部网络未经授权的访问。防火墙的理论特性4记录和审计内联网络和外联网络之间的活动

由于防火墙处在内部网络和外部网络相连接的阻塞点，所以它可以对所有涉及内部网络和外部网络存取与访问的行为进行监控。当防火墙发现可疑的行为时，可以进行及时的报警，并提供网络是否受到破坏以及攻击的详细信息。对于内部用户的误操作防火墙也将进行严格的监控，预防内部用户的破坏行为。此外，防火墙还能进行网络使用情况的统计操做。以上提及的防火墙的操作和数据都将被详细地记录到日志文件（logfile）中并提交给网络管理员进行分析和审计。防火墙的日志文件既记录正常的网络访问行为又记录非正常的网络行为。对日志文件的分析和审计可以使管理员清楚地了解防火墙的安全保护能力和运行情况；优化防火墙，使其更加有效地工作；准确地识别入侵者并采取行之有效的措施；及时地对非法行为及其造成的后果做出反应；为网络的优化和建设提供必要的数据支撑。管理员需要关注的问题不是网络是否会受到攻击，而是网络何时会受到攻击。因此要求管理员要及时地响应报警信息并经常性地审查防火墙日志记录。防火墙的理论特性5自身具有非常强的抵御攻击的能力

由于防火墙是一个关键点，所以其自身的安全性就显得尤为重要。一旦防火墙失效，则内部网络将完全曝光于外部入侵者的目光之下，网络的安全将受到严重的威胁！一般来说，防火墙是一台安装了安全操作系统且服务受限的堡垒主机。即防火墙自身的操作系统符合相应的软件安全级别；除了必要的功能外，防火墙不开设任何多余的端口。这些措施在相当程度上增强了防火墙抵御攻击的能力，但这种安全性也只是相对的。防火墙的实际功能1包过滤

网络通信通过计算机之间的连接实现，而连接则是由两台主机之间相互传送的若干数据包组成。防火墙的基本功能之一就是对由数据包组成的逻辑连接进行过滤，即包过滤。数据包的过滤参数有很多，最基本的是通信双方的IP地址和端口号。随着过滤技术的不断发展，各层网络协议的头部字段以及通过对字段分析得到的连接状态等等内容都可以作为过滤技术考察的参数。包过滤技术也从早期的静态包过滤机制发展到动态包过滤、状态检测等机制。总的说来，现在的包过滤技术主要包括针对网络服务的过滤以及针对数据包本身的过滤。防火墙的实际功能2代理

代理技术是与包过滤技术截然不同的另外一种防火墙技术。这种技术在防火墙处将用户的访问请求变成由防火墙代为转发，外部网络看不见内部网络的结构，也无法直接访问内部网络的主机。在防火墙代理服务中，主要有两种实现方式：一是透明代理（Transparentproxy），指内部网络用户在访问外部网络的时候，本机配置无需任何改变，防火墙就像透明的一样；二是传统代理，其工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。相对于包过滤技术，代理技术可以提供更加深入细致的过滤，甚至可以理解应用层的内容，但是实现复杂且速度较慢。防火墙的实际功能3网络地址转换

网络地址转换功能现在已经成为防火墙的标准功能之一。通过这项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到保护作用；同时可以用来缓解由于网络规模需速增长而带来的地址空间短缺问题；此外还可以消除组织或机构在变换ISP时带来的重新编址的麻烦。下面描述一下从内部网络向外部网络建立连接时NAT工作的过程：

1）防火墙对收到的内部访问请求进行过滤，决定允许该访问请求通过还是拒绝。

2）NAT机制将请求中的源IP地址转换为防火墙处可以利用的一个公共IP地址。

3）将变动后的请求信息转发往目的地。当从目的地返回的响应信息到达防火墙的接口时，防火墙执行如下步骤：

1）NAT将响应数据包中的目的地址转换为发出请求的内部网络主机的IP地址。

2）将该响应数据包发往发出请求的内部网络主机。防火墙的实际功能4虚拟专用网VPN在不安全的公共网络，例如Internet，上建立一个逻辑的专用数据网络来进行信息的安全传递，目前已经成为在线交换信息的最安全的方式之一。但是传统的防火墙不能对VPN的加密连接进行解密检查，所以是不允许VPN通信通过的，VPN设备也是作为单独产品出现的。现在越来越多的厂家将防火墙和VPN集成在一起，将VPN作为防火墙的一种新的技术配置。多数防火墙支持VPN加密标准，并提供基于硬件的加密，这使得防火墙速度不减但功能更加合理。防火墙的实际功能5用户身份认证

防火墙要对发出网络访问连接请求的用户和用户请求的资源进行认证，确认请求的真实性和授权范围。系统整体安全策略确定了防火墙执行的身份认证级别。与此相应的是防火墙一般支持多种身份认证方案，譬如RADIUS、Kerberos、TACACS／TACACS+、用户名+口令、数字证书等等。防火墙的实际功能6记录、报警、分析与审计

防火墙对于所有通过它的通信量以及由此产生的其它信息要进行记录，并提供日志管理和存储方法。具体内容如下：自动报表、日志报告书写器：防火墙实现报表自动化输出和日志报告功能。简要列表：防火墙按要求进行报表分类打印的功能。自动日志扫描：防火墙的日志自动分析和扫描功能。图表统计：防火墙进行日志分析后以图形方式输出统计结果。报警机制是在发生违反安全策略的事件后，防火墙向管理员发出提示通知的机制，各种现代通信手段都可以使用，包括E-mail、呼机、手机等。分析与审计机制用于监控通信行为，分析日志情况，进而查出安全漏洞和错误配置，完善安全策略。防火墙的日志记录量往往比较大，通常将日志存储在一台专门的日志服务器上。防火墙的实际功能7管理功能

防火墙的管理功能是将防火墙设备与系统整体安全策略下的其它安全设备联系到一起并相互配合、协调工作的功能，是实现一体化安全必不可少的要素。一般说来，防火墙的管理包括下列方面：根据网络安全策略编制防火墙过滤规则。配置防火墙运行参数。可以通过本地Console口配置、基于不同协议的远程网络化配置等方式进行。实现防火墙日志的自动化管理。就是实现日志文件的记录、转存、分析、再配置等过程的自动化和智能化。防火墙的性能管理。包括动态带宽管理、负载均衡、失败恢复等技术。也可以通过本地或者远程多种方式实现。防火墙的实际功能8其他特殊功能

除了上面描述的技术功能外，许多厂家为了显示各自产品的与众不同，还在防火墙中加入了很多其它的功能，比如病毒扫描，有的防火墙具有防病毒功能，可以发现网络数据中包含的危险信息；信息过滤，指防火墙能够过滤URL、HTTP携带的信息、JavaApplet、JavaScript、ActiveX以及电子邮件中的Subject、To、From域等网络应用信息内容；用户的特定权限设置，包括使用时间、邮件发送权限、件传输权限、使用的主机、所能进行的互联网应用等等，这些内容依据用户需求不同而不同。防火墙的规则规则的作用：系统的网络访问政策。规则内容的分类：高级政策；低级政策。规则的特点：规则是系统安保策略的实现和延伸；

与网络访问行为紧密相关；在严格安全管理和充分利用网络之间取得较好的平衡；防火墙可以实施各种不同的服务访问政策。规则的设计原则：拒绝访问一切未予特许的服务；允许访问一切未被特别拒绝的服务。规则的顺序问题：必须仔细考虑规则的顺序，防止出现系统漏洞。防火墙的分类按防火墙采用的主要技术划分按防火墙的具体实现划分按防火墙部署的位置划分按防火墙的形式划分按受防火墙保护的对象划分按防火墙的使用者划分按防火墙采用的主要技术划分包过滤型代理型包过滤型包过滤型防火墙工作在ISO7层模型的传输层以下，根据数据包头部各个字段进行过滤，包括源地址、端口号以及协议类型等。包过滤方式不针对具体的网络服务而是针对数据包本身进行过滤，适用于所有网络服务。目前大多数的路由器设备都集成了数据包过滤的功能，具有很高的性价比。包过滤方式也有明显的缺点：过滤判别条件有限，安全性不高；过滤规则数目的增加会极大地影响防火墙的性能；很难进行对用户身份进行验证；对安全管理人员素质要求高。包过滤型防火墙包括以下几种类型：静态包过滤防火墙动态包过滤防火墙状态检测（StatefulInspection）防火墙代理型代理型防火墙工作在ISO7层模型的最高层——应用层。它完全阻断了网络访问的数据流：它为每一种服务都建立了一个代理，内部网络与外部网络之间没有直接的服务连接，都必须通过相应的代理审核后再转发。代理型防火墙的优点是：工作在应用层上，可以对网络连接的深层的内容进行监控；它事实上阻断了内部网络和外部网络的连接，实现了内外网络的相互屏蔽，避免了数据驱动类型的攻击。代理型防火墙的缺点是：速度相对较慢，当网关处数据吞吐量较高时，防火墙就会成为瓶颈。代理型防火墙有如下几种类型：应用网关（ApplicationGateway）电路级网关（CircuitProxy）自适应代理（Adaptiveproxy）按防火墙的具体实现划分多重宿主主机筛选路由器屏蔽主机屏蔽子网其他实现结构多重宿主主机

多重宿主主机是放在内网与外网接口上的一台堡垒主机。它最少有两个网络接口：一个与内网相连，另外一个与外网相连。内、外网之间禁止直接通信，需通过多重宿主主机上应用层数据共享或者应用层代理服务来完成。主要有以下两种类型：双重宿主主机双重宿主主机用于在内、外网之间进行寻径并通过其上的共享数据服务提供网络应用。要求用户必须通过账号和口令登录到主机上才能使用这些服务。双重宿主主机要求主机自身有较强的安全性；要支持多种服务、多个用户的访问需求；要能管理其上的大量用户账号。因此双重宿主主机既是系统安全的瓶颈又是系统性能的瓶颈，维护起来也很困难。双重宿主网关双重宿主网关通过运行其上的各种代理服务器来提供网络服务。双重宿主网关与双重宿主主机相比，从结构上说并没有变化，同时代理服务器的服务响应比双重宿主主机的数据共享慢一些，灵活性较差。筛选路由器

筛选路由器又称为包过滤路由器、网络层防火墙、IP过滤器或筛选过滤器，通常是用一台放置在内部网络和外部网络之间的路由器来实现。它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。筛选滤路由器具有速度快、提供透明服务、实现简单等优点。同时也有安全性不高、维护和管理比较困难等缺点。筛选路由器只适用于非集中化管理、无强大的集中安全策略、网络主机数目较少的组织或机构。屏蔽主机

这种防火墙由内部网络和外部网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接，而不让它们与内部主机直接相连。为了达到这个目的，过滤路由器将所有的外部到内部的连接都路由到了堡垒主机上，让外部网络对内部网络的访问通过堡垒主机上提供的相应代理服务器进行。对于内部网络到外部不可信网络的出站连接则可以采用不同的策略：有些服务可以允许绕过堡垒主机，直接通过过滤路由器进行连接；而其它的一些服务则必须经过堡垒主机上的运行该服务的代理服务器实现。这种防火墙的安全性相对较高：它不但提供了网络层的包过滤服务，而且提供了应用层的代理服务。其主要缺陷是：筛选路由器是系统的单失效点；系统服务响应速度较慢；具有较大的管理复杂性。屏蔽子网

屏蔽子网与屏蔽主机在本质上是一样的，它对网络的安全保护通过两台包过滤路由器和在这两台路由器之间构筑的子网，即非军事区来实现。在非军事区里放置堡垒主机，还可能有公用信息服务器。与外部网络相连的过滤路由器只允许外部系统访问非军事区内的堡垒主机或者公用信息服务器。与内部网络相连接的过滤路由器只接受从堡垒主机来的数据包。内部网络与外部网络的直接访问是被严格禁止的。相对于其它几种防火墙而言，屏蔽子网的安全性是最高的，它为此付出的代价是：经过多级路由器和主机，网络服务性能下降；管理复杂度较大。其他实现结构

其他结构的防火墙系统都是上述几种结构的变形，主要有：一个堡垒主机和一个非军事区、两个堡垒主机和两个非军事区、两个堡垒主机和一个非军事区等等，目的都是通过设定过滤和代理的层次使得检测层次增多从而增加安全性。按防火墙部署的位置划分单接入点的传统防火墙混合式防火墙分布式防火墙单接入点的传统防火墙

防火墙最普通的表现形式。位于内部网络与外部网络相交的边界，独立于其它网络设备，实施网络隔离。混合式防火墙

混合式防火墙依赖于地址策略将安全策略分发给各个站点，由各个站点实施这些规则。其代表产品为CHECKPOINT公司的FIREWALL-1防火墙。它通过装载到网络操作中心上的多域服务器来控制多个防火墙用户模块。多域服务器有多个用户管理加载模块，每个模块都有一个虚拟IP地址，对应着若干防火墙用户模块。安全策略通过多域服务器上的用户管理加载模块下发到各个防火墙用户模块。防火墙用户模块执行安全规则，并将数据存放到对应的用户管理加载模块的目录下。多域服务器可以共享这些数据，使得防火墙多点接入成为可能。混合式防火墙将网络流量分担给多个接入点，降低了单一接入点的工作强度，安全性、管理性更强。但网络操作中心是系统的单失效点。分布式防火墙

分布式防火墙是一种较新的防火墙实现：防火墙是在每一台连接到网络的主机上实现的，负责所在主机的安全策略的执行、异常情况的报告，并收集所在主机的通信情况记录和安全信息；同时，设置一个网络安全管理中心，按照用户权限的不同向安装在各台主机上的防火墙分发不同的网络安全策略，此外还要收集、分析、统计各个防火墙的安全信息。这种防火墙的优点突出：可以使每一台主机得到最合适的保护，安全策略完全符合主机的要求；不依赖于网络的拓扑结构，加入网络完全依赖于密码标志而不是IP地址。分布式防火墙的不足在于：难于实现；安全数据收集困难；网络安全中心负荷过重。按防火墙的形式划分软件防火墙

软件防火墙产品形式是软件代码，它不依靠具体的硬件设备，而纯粹依靠软件来监控网络信息。软件防火墙固然有安装、维护简单的优点，但对于安装平台的性能要求较高。独立硬件防火墙

硬件防火墙则需要专用的硬件设备，一般采用ASIC技术架构或者网络处理器，它们都为数据包的检测进行了专门的优化。从外观上看，独立硬件防火墙与集线器、交换机或者路由器类似，只是只有少数几个接口，分别用于连接内部网络和外部网络。模块化防火墙

目前很多的路由器都已经集成了防火墙的功能，这种防火墙往往作为路由器的一个可选配的模块存在。当用户选择路由器的时候，可以根据需要选购防火墙模块来实现自身网络的安全防护，这可以大大降低网络设备的采购成本。按受防火墙保护的对象划分单机防火墙单机防火墙的设计目的是为了保护单台主机网络访问操作的安全。单机防火墙一般是以装载到受保护主机的硬盘里的软件程序的形式存在的，也有做成网卡形式的单机防火墙存在，但是不是很多。受到载机性能所限，单机防火墙性能不会很高，无法与网络防火墙相比。网络防火墙网络防火墙的设计目的是为了保护相应网络的安全。网络防火墙一般采用软件与硬件相结合的形式，也有纯软件的防火墙存在。网络防火墙处于受保护网络与外部网络相接的节点上，对于网络负载吞吐量、过滤速度、过滤强度等参数的要求比单机防火墙要高。目前大部分的防火墙产品都是网络防火墙。按防火墙的使用者划分企业级防火墙企业级防火墙的设计目的是为企业联网提供安全访问控制服务。此外，根据企业的安全要求，企业级防火墙还会提供更多的安全功能。譬如，企业为了保证客户访问的效率，第一时间响应客户的请求，一般要求支持千兆线速转发；为了与企业伙伴之间安全地交换数据，要求支持VPN；为了维护企业利益，要对进出企业内部网络的数据进行深度过滤等等。可以说，防火墙产品功能的花样翻新与企业需求的多种多样是直接相关的，防火墙所有功能都会在企业的安全需求中找到。个人防火墙个人防火墙主要用于个人使用计算机的安全防护，实际上与单机防火墙是一样的概念，只是看待问题的出发点不同而已。使用防火墙的好处

防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击，增加了网络的安全性。防火墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。防火墙可以增强受保护节点的保密性，强化私有权。防火墙有能力较精确地控制对内部子系统的访问。防火墙系统具有集中安全性。在防火墙上可以很方便地监视网络的通信流，并产生告警信息。防火墙是审计和记录网络行为最佳的地方。防火墙可以作为向客户发布信息的地点。防火墙为系统整体安全策略的执行提供了重要的实施平台。防火墙的不足

限制网络服务对内部用户防范不足不能防范旁路连接不适合进行病毒检测无法防范数据驱动型攻击无法防范所有的威胁防火墙配置比较困难无法防范内部人员泄露机密信息防火墙对网络访问速度有影响单失效点相关标准国外的信息安全标准可信计算机安全评价标准TCSEC标准于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC是计算机系统安全评估的第一个正式标准，对信息安全标准化建设具有重要的意义，又被称为“橘皮书”。TCSEC的重点在于提供对敏感信息的机密性保护。它将系统安全概括为六个方面：安全策略、标识、识别、责任、保证和持续的保护。整个标准分成两大部分：一是安全等级的划分，二是该准则开发的目的、原理和美国政府的政策，同时提供了隐蔽通道、强访问控制和安全测试的开发指南。其中使用最为广泛的就是第一部分——安