防火墙的名词解释

2024-08-05

防火墙的名词解释（共8篇）

防火墙的名词解释篇1

防火墙的名词解释篇2

传统网络防火墙依赖于网络的物理拓扑结构及一个控制入口点来实施它的安全策略,更精确的说,传统防火墙是假定防火墙保护的内部网是安全可靠的,而外部网则是潜在的敌人[1,2]。这种方案在过去网络规模不大、网络应用简单的情况下,因为配置简单,管理方便,因而很有生命力。但是随着当前网络呈现大型化、分布式、多样化的趋势后,防火墙的策略设置变得越来越复杂,逐渐成为一个性能瓶颈,甚至有很大的安全隐患。面对各种安全威胁,分布式防火墙这一新的防火墙体系结构被提出用以提升网络安全的整体性能[3]。

1分布式防火墙简介

1.1分布式防火墙原理

分布式防火墙(见图1)是由一个中心来制定策略,并将策略分发到主机上执行。它使用一种策略语言(如KeyNote)来制定策略,并被编译成内部形式存于策略数据库中,系统管理软件将策略分发到被保护的主机上,而主机根据这些安全策略和加密的证书来决定是接受还是丢弃包,从而对主机实施保护。

分布式防火墙在提供集中的访问策略控制的同时减少或者说是消除了拓扑相关性。策略在中心定义而强制在每个端点执行。这样,就保留了防火墙的优点同时又避免了大多数严重依赖拓扑结构的问题。

1.2分布式防火墙体系结构

分布式防火墙是一种全新的防火墙体系结构,包括边界防火墙、主机防火墙和中心管理三部分。分布式防火墙由中心制定策略,并将策略分发到主机边界上执行,主机再上传日志文件到中心。

在分布式防火墙的体系结构中并没有废弃边界防火墙,因为物理上的边界依然存在,只是减轻了边界防火墙肩上的担子。边界防火墙仍然执行传统防火墙看守大门的任务,但由于它只处理与全网有关的安全问题,规则较少,因而效率较高。

策略服务器是整个分布式防火墙的核心,主要包括中心管理接口、策略数据库、日志数据库和加密认证等模块。中心管理接口负责人机交互,包括制定规则。规则的制定是通过使用规则定义语言或图形用户接口完成。管理员可以针对每台机器制定规则,也可以将全网分成若干个域,然后针对每个域制定规则,各个域内使用相同的规则,域外使用不同的规则。

主机防火墙驻留在主机中,负责策略的实施[4]。在主机防火墙中如果不允许用户干预,则只包含包过滤引擎、上载日志文件的模块、加密模块等,防火墙对用户透明,即用户感觉不到防火墙的存在,用户不能修改规则,也不能绕过防火墙。如果允许用户部分修改规则,并参与定制个性化的安全策略,则还要包含用户接口。

在一个典型的分布式防火墙系统中,所有主机防火墙(包括分支机构和移动用户)和边界防火墙皆受控于中心策略服务器[5]。

1.2.1 分布式防火墙具有两个特征

1) 分布式防火墙的安全策略必须由管理员统一制定。这是分布式防火墙区别于个人防火墙的根本所在。虽然它们都是主机驻留防火墙,但个人防火墙中的所有行为都是用户个人行为,别人不能干涉。而分布式防火墙中的行为是集体行为,用户个人不能干涉,每台主机的安全策略都是整个组织安全策略的一部分,全部主机的安全策略之和构成一个组织的整体安全策略。所以分布式防火墙要求实行统一的策略管理。

2) 分布式防火墙的策略必须被推到网络的边缘即主机上实施,因为分布式防火墙的本意就是要将策略从边界集中实施点迁移到网络末端即主机中来实施。

3) 日志必须统一收集、集中管理。因为管理员要对全网进行安全监控,他必须掌握充分的信息。日志是管理员了解信息、追踪攻击者的主要依据。分布式防火墙的体系结构如图2所示。

1.2.2 分布式防火墙的运作过程

1) 管理员首先制定策略,定义好的策略被放入策略数据库中。

2) 分发策略。策略的分发采用策略服务器主动分发和主机开机时主动索取两种方式。如果策略服务器中的策略被更新,则立即被推到主机中执行。

3) 主机执行策略。

4) 上传日志文件。在运行期间主机将日志文件上传到中心服务器日志数据库中。日志文件采用的是实时传送方式。

2主机防火墙的设计与实现

分布式防火墙技术增加了针对主机的入侵检测和防护功能,加强了来自内部攻击的防范,对用户网络环境可以实施全方位的安全策略,并提供了多层次立体的防范体系。在分布式防火墙的组成里,主机防火墙是最有特色的部分。主机防火墙驻留在被保护的主机上,用户可以针对该主机上的具体应用和对外提供的服务设定个性化的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,还把安全策略推广延伸到每个网络的边缘上。

2.1主机防火墙包过滤技术

主机防火墙运行于宿主机操作系统内核,通过替换或挂接操作系统网络协议堆栈完成数据包过滤,因此与主机操作系统及网络协议有莫大的关系。其主要手段是分析主机操作系统网络协议,在适当的位置插入拦截点,所有的网络数据包通讯都要经过这些拦截点,再根据安全策略对经过拦截点的网络信息进行监控和审查,过滤掉不符合安全策略的信息,以保护主机不受外界的非法访问和攻击。

2.1.1 Windows操作系统的总体构架

本文要在Windows操作系统下进行网络数据包拦截,那么必须对Windows系统的结构有一个清晰的了解。

Windows操作系统由其核心、设备驱动程序和大量的动态链接库及应用程序组成。操作系统的总体构架分为两个层次,上面的为应用层(用户态),下面的为核心层(核心态)。其结构如图3所示。

应用程序(EXE)与动态链接库(DLL)工作在应用层,动态链接库被应用程序调用时就成为应用程序的一部分。EXE和DLL是两种工作方式不同的应用程序。

Windows内核与设备驱动程序运行在保护模式的核心层,称为核心态,而一般应用程序与动态链接库运行在应用层,称为用户态。Windows给Win32应用程序调用设备驱动程序提供了一个标准调用,即用设备文件句柄和硬件设备驱动程序通信。设备文件句柄通过标准Win32 API调用CreateFile,然后可以使用ReadFile与WriteFile从设备中读写内容,使用DeviceIoControl控制设备驱动程序的具体操作。

在Windows操作系统中与硬件设备打交道的驱动程序代码必须运行在核心态,程序扩展名为SYS,驱动程序为上层应用程序提供底层的支持,运行在用户态的代码必须通过核心态代码才能访问硬件。

2.1.2 Windows网络数据包拦截技术

要拦截Windows下的网络数据包可以在两个层次进行:用户态和核心态。在用户态实现数据包过滤简单方便,在核心态实现数据包过滤功能强大但是复杂。

1) 用户态数据包拦截

Winsock分层服务提供者是为上层应用程序提供的一种标准网络接口,它为上层应用程序提供透明的服务。Winsock2.0引入了一种新的叫做SPI( Service Provider Interface)的接口,开发者可以编写自己的服务提供者接口程序,即SPI程序。SPI以动态链接库的形式存在。利用这种技术可以在Socket中插入一层,从而可以完成包过滤及安全控制功能。

自己编写的SPI程序安装到系统之后,所有的Winsock2请求都会先发送到这个程序并由它完成网络调用。由于系统提供的SPI已经可以完成网络传输功能,所以自己编写的SPI没有必要重新编写这部分功能。一般可以直接调用系统函数完成网络传输,这样工作的效果就是“钩子”(HOOK)程序。Winsock SPI工作在API之下,Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。

2) 核心态数据包拦截

Windows系统的网络功能结构模块遵循了OSI七层协议模型,其网络模型最主要的包括一个NDIS(网络驱动程序接口规范)的管理库,它抽象了底层硬件驱动程序的接口、上层协议的接口和协议之上的传输设备接口。NDIS为网络驱动的开发提供了一套标准的接口,给数据交换提供了一个灵活的环境,使得网络驱动程序的跨平台性更好,传输协议可用它与网卡驱动程序进行通信。Windows使用NDIS函数库实现NDIS接口。所有的网络通信最终必须通过NDIS完成,NDIS横跨传输层、网络层和数据链路层,这是网络数据拦截的良好位置。

NDIS HOOK的工作原理是直接替换NDIS的函数库中函数地址,这样只要向NDIS发出的请求,就会先经过自己编写的函数处理,这些函数可以过滤掉特定的网络数据包再转发给系统函数。NDIS HOOK拦截的是较为底层的数据包,不容易被渗透。

2.2主机防火墙的核心功能分析

主机防火墙的核心技术主要是包过滤。其中入侵检测、安全策略过滤、实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。

主机防火墙系统的核心功能包括:

1) 可接收从策略中心配置的安全策略,供过滤数据包时使用。

2) 根据应用程序访问策略可对应用程序联网动作进行过滤。

3) 可实时监控网络活动。

4) 具有日志,以记录网络访问动作的详细信息;并提交给日志服务器供其审计时使用。

5) 定时向策略中心发送消息,以告诉其处于活动状态。

2.3主机防火墙主要模块

根据以上功能定义将主机防火墙分为三个模块(总体模块划分见图4):NETSHLD.SYS、NETSHLD.DLL和NETSHLD.EXE。

其中NETSHLD IO CONTROL为NETSHLD.DLL的模块,提供与NETSHLD.EXE之间的接口;DEVICE IO CONTROL为NETSHLD.SYS的模块,提供NETSHLD.EXE和NETSHLD.DLL之间的接口。

SPI HOOK是NETSHLD.DLL的模块,通过SOCKET访问网络的应用程序将经过SPI HOOK进行过滤。

NDIS HOOK是NETSHLD.SYS的模块,通过NDIS进行网络通信的应用程序、DLL和驱动程序都将 NDIS HOOK进行过滤。

1) NETSHLD.SYS

NETSHLD.SYS模块位于核心层的驱动程序,HOOK NDIS函数库中的函数,将其替换成自定义的函数,这样所有的网络连接都会通过自定义的函数。在这个位置上根据策略中心制定的安全策略进行过滤;同时产生日志信息发送给上层模块。

2) NETSHLD.DLL

NETSHLD.DLL模块是处于应用层的动态链接库,可拦截所有采用Winsock2的网络通讯。在此位置根据策略中心制定的安全策略进行过滤;同时产生日志信息发送至上层模块。

3) NETSHLD.EXE

NETSHLD.EXE为上层模块,是一个普通的应用程序,提供用户接口。可接收从策略中心定制的安全策略;并定期向策略中心发送一个“活动”状态序列号,告知策略中心主机防火墙还在运行。该模块还为数据中心收集前两个模块产生的日志信息,并将日志信息发送给日志服务器。

4) NETSHLD.DLL与NETSHLD.EXE之间的接口

NETSHLD.DLL与NETSHLD.EXE之间需要进行策略数据和封包数据的共享,它们之间的接口函数为 NSIoControl,此函数在NETSHLD.DLL里,用Export导出供其它应用程序调用。

NETSHLD.EXE通过LoadLibrary打开NETSHLD.DLL, 然后通过GetProcAddress得到NSIoControl函数的地址,以后NETSHLD.EXE便可以通过NSIoControl函数完成与NETSHLD.DLL的通信。

5) NETSHLD.SYS 与其它模块的接口

驱动程序模块NETSHLD.SYS与NETSHLD.EXE和NETSHLD.DLL之间主要需要进行安全策略数据、封包数据等信息的共享,它们之间的接口函数为OnW32Deviceio-

control,此函数在NETSHLD.SYS中。

NETSHLD.EXE通过CreateFile打开NETSHLD.SYS, 然后通过DeviceIoControl完成与NETSHLD.SYS的通信。

2.4主机防火墙工作流程

主机防火墙的工作流程图见图5,主体功能说明如下:

1) 读取配置文件模块

> 得到策略中心的IP和其服务器端口号。

> 日志服务器的IP和其服务器端口号。

> 得到“活动”状态序列号。

2) 安全策略接收模块

> 接收主机防火墙安全策略。

> 接收更新的“活动”状态序列。

> 接收主机入侵检测安全策略。

3) 封包过滤模块

> Netshld.dll和Netshld.sys给出工作模式的的接口。工作模式分为3种形式:放行所有,拒绝所有和过滤。

> Netshld.dll和Netshld.sys根据工作模式和安全策略对过往封包进行过滤。

> Netshld.dll和Netshld.sys将通过的网络封包记录下来并通知Netshld.exe取走封包。

4) 发送日志模块

> 设定定时器、判断共享内存区有无空间。

> 将日志写入共享内存区。

> 从共享内存区中读取日志并发送至日志服务器。

3结束语

分布式防火墙是一种新型的防火墙体系结构,在克服了

传统防火墙的许多缺点的同时又保留了许多优点。本文通过讨论分布式防火墙的原理、体系结构,分析了主机防火墙的核心功能、主要模块和工作流程,并给出了实现方法。

参考文献

[1]刘建伟,王育民.网络安全技术与实践[M].北京:清华大学出版社,2005.

[2]喻飞,朱森良,周洲仪.计算机网络安全[M].北京:科学出版社,2004.

[3]赵戈,钱德沛,范晖.用分布式防火墙构造网络安全体系[J].计算机应用研究,2004.

[4]王伟.主机日志分析及其在入侵检测的应用[J].计算机工程与应用,2002(13).

人体的防火墙篇3

防火墙的组成

T细胞和B细胞都来源于骨髓，但T细胞是在胸腺内进一步分化成熟的，所以称为胸腺依赖性淋巴细胞，T为英文胸腺一词的第一个字母。B细胞在禽类是在法布里齐奥氏囊内分化成熟，故又称为囊依赖性淋巴细胞，而哺乳类动物和人的B细胞在骨髓内分化成熟(在胎儿期于肝脏内产生，成年时在骨髓内产生)，B为英文骨髓一词的第一个字母。

T细胞接受抗原刺激变成致敏细胞后便分化繁殖成具有免疫活性的细胞。T细胞随血液或淋巴液流动到达抗原(对个体而言，一切外来物都可以称为抗原，如细菌、异物和他人的组织细胞)所在地，通过与抗原的直接接触，分泌出免疫活性物质，发挥免疫作用，如排斥移植的异体组织、破坏肿瘤细胞、抑制病毒与细菌繁殖等。这个过程就叫做细胞免疫。同时，按照免疫功能不同可将T细胞分为辅助性T细胞、调节性T细胞(抑制性T细胞)、杀伤T细胞(细胞毒T细胞)和迟发型超敏反应性T细胞(诱发过敏反应)。

而B细胞被抗原激活后，可转化为浆母细胞，并分裂、分化为浆细胞。浆细胞产生各种特异性免疫球蛋白，总称为抗体。抗体通过血液、淋巴液等运输至抗原如细菌所在地，执行不同的免疫机能，如抗感染、抗肿瘤、中和毒素和免疫调理等，这个过程称为体液免疫。B细胞根据产生抗体时是否需要T细胞辅助分为B1和B2细胞。B1细胞为T细胞非依赖细胞，B2细胞为T细胞依赖细胞。

尽管我们对于身体内部的防卫系统心存感激，也尽管我们自以为对体内的防御系统了解得比较多，可是，随着研究的深入，我们不得不承认，人体的免疫系统非常复杂，它既有我们认识的强大防御功能，但有时也会很脆弱，并损害我们自身，例如导致变态反应(过敏)和自身免疫疾病，而且我们对自身防御系统的了解只是皮毛而已。

防火墙功劳匪浅

现在，我们以T细胞介导的细胞免疫来看看自身的防火墙是如何起作用的。T细胞是淋巴细胞中数量最多，功能最复杂的一类细胞。

细胞免疫过程分为感应、反应和效应三个阶段。T细胞受到抗原，如细菌的刺激后，会分化、增殖和转化为致敏T细胞，当相同抗原再次进入机体，致敏T细胞就对抗原进行直接杀伤和协同杀伤。

直接杀伤指的是T细胞对入侵人体的病毒、细菌和被致病微生物感染的细胞进行直接消灭。例如，一个人自身的细胞被病毒感染后，细胞表面呈现病毒表达的抗原，并结合到细胞表面的主要组织相容性抗原分子中，形成主要组织相容性抗原结合物。杀伤T细胞接触到人体内被感染的细胞表面的主要组织相容性抗原结合物后，就会识别出这些被感染的细胞是敌人或异己，可能对自身不利。于是，杀伤T细胞便分泌穿孔素，使受感染的细胞溶解而死亡。从这个意义上来看，癌变细胞也是异己分子，因而是杀伤T细胞攻击的目标。所以，如果免疫功能低下，既容易患癌症，也难于治愈。

协同杀伤则是由迟发型超敏反应性T细胞释放的细胞因子对入侵者进行协同杀灭。迟发型超敏反应性T细胞与病原菌接触后便分泌细胞因子(淋巴因子)，后者再吸引和活化其他免疫细胞，如巨噬细胞和嗜碱性粒细胞(也都是白细胞)聚集到炎症部位或抗原部位，对入侵者进行围攻。例如，皮肤反应因子可使血管通透性增高，使巨噬细胞易于从血管内游出：巨噬细胞趋化因子可引导相应的免疫细胞向抗原所在部位集中，以利于对抗原进行吞噬、杀伤、清除等。在各种淋巴因子的协同作用下，免疫部队可以扩大对入侵者的围歼效果，达到清除抗原异物的目的。

当体内的免疫战斗或战争接近尾声时，调节性T细胞便开始发挥作用。这类细胞通过考察战场而采取行动。如果敌人已经消灭了，就不需要再采取战争行动了，而是要让机体重新建设，养精蓄锐。所以，调节性T细胞会抑制其他淋巴细胞的作用，以终止战斗。而且被致敏的T细胞也收兵回营，但是它们对敌人留下了记忆。未来如果再次遇到相同敌人(抗原)入侵时，就会更迅速地集结，并且成为数量最多的战斗人员(效应细胞)，重新投入战场进行持久的抗敌斗争。

所以，T细胞和B细胞所形成的防火墙的作用包括，抗击肿瘤、抗御各种病原微生物、抵御细胞内微生物感染，同时也排斥移植物，并导致过敏反应以及诱发一些自身免疫疾病。

防火墙的漏洞

其实，人体的防火墙并非完美，存在着很多漏洞，极容易被一些入侵黑客攻破，例如，艾滋病病毒就是目前人的防火墙无法防御的超级黑客。

虽然T细胞是我们体内的防御系统的主力军，但它又与艾滋病有千丝万缕的联系，因为艾滋病病毒入侵的就是T细胞，最后彻底摧毁体内T细胞的功能，让人由于失去防御功能而患多种并发症死亡。艾滋病病毒入侵T细胞最先是从辨认T细胞上的标志开始的。

白细胞表面有多种蛋白质分子(也称抗原)，其中一种称为CD分子，指的是分化抗体群鉴定的分化抗原，以此来鉴别和命名白细胞。现在已经知道的cD分子有130多种，因而白细胞，包括T细胞和B细胞就可能有100多种。而在艾滋病病毒的入侵行动中，拥有CD4和CD8分子的T细胞就成为了艾滋病病毒进攻的目标，但CD4T细胞是艾滋病病毒主要攻击的细胞。

HIV是如何攻击CD4T细胞和CDST细胞的呢?艾滋病病毒发起攻击是要首先寻找那种具有与病毒自身的抗原相适应的、能结合的“受体”的细胞。如同钥匙要插入相配的锁眼才能打开房门。而艾滋病病毒选中的就是CD4阳性T细胞，是由艾滋病病毒蛋白质外壳的gpl20蛋白质与T细胞上的CD4分子结合，然后病毒把自己慢慢融合到T细胞中，从而完成攻击。一旦艾滋病病毒感染CD4T细胞后，就会慢慢耗尽CD4T细胞。于是，人体外周血液、淋巴结和黏膜组织中的CD4T细胞不断减少，人的免疫力便逐渐下降。

在实际生活中，艾滋病感染者是在几年甚至10多年的时间里才耗竭完正常的T细胞。而且艾滋病病毒在感染T细胞的过程中不断变异。随着时间的推移，更适应人体免疫环境的变异病毒会存活于被感染的T细胞内。于是，艾滋病病毒通过感染T细胞产生更多新的病毒。艾滋病病毒感染CD4T细胞其实就是激活CD4T细胞，这样病毒可以获得可感染的适宜的目标细胞，即CD4T细胞。而增加有效的目标细胞就像给燃烧的火添加燃料一样，又导致更多感染和CD4T细胞的巨大损耗，结果让人体的免疫系统彻底失效。

所以，治疗艾滋病的药物有很多是抑制病毒的复制能力，一些新药和疫苗也是瞄准T细胞上的CD4分子和艾滋病病毒上的gpl20蛋白质，如果能阻止这两种蛋白质分子的识别和结合，就能阻止艾滋病病毒入侵T细胞。

防火墙关闭

人体防火墙的脆弱和漏洞也体现在白细胞的相互传递信息和评估体内是否遭到外来敌人的入侵上面。例如，调节性T细胞是评估人体内是否还需要对入侵者作战的细胞。但是，由于种种原因，这类T细胞的评估会出现问题。在体内的病原体还未消灭干净时，是应当鼓励白细胞与病原菌进行战斗的。但是，由于评估不当，调节性T细胞不仅不支持其他白细胞攻击病原体，反而命令它们停止战斗或阻止其他白细胞对病原体进行攻击，因而使得人体的防火墙处于被关闭的状态。

例如，对123例慢性乙型肝炎合并肝癌的病人进行研究，通过与21例肝硬化患者和47例健康人比较，发现肝癌患者体内的调节性T细胞数量异常增加，分别是健康人的2～10倍和肝硬化患者的1，5倍以上。并且，随着肝癌的发展，调节性T细胞增加得越来越多。增加的调节性T细胞可以显著影响肝癌病人的存活时间。表现为，调节性T细胞水平较低，病人的存活期较长；反之，调节性T细胞水平越高，病人的存活期越短。

那么，是什么机制让调节性T细胞抑制其他白细胞攻击病原体的呢?研究人员发现，病人体内异常增加的调节性T细胞可以与自身的CD8T淋巴细胞直接接触，从而破坏CD8T淋巴细胞，使其失去有效的杀伤肿瘤的效应，从而促进了肝癌细胞的恶性增殖。不过，为何调节性T细胞要去抑制其他免疫细胞的杀伤肿瘤的功能呢?目前还找不到答案。

同样的情况出现在疟疾患者的身上。调节性T细胞一直被视为是抑制其他免疫细胞的活性来平衡体内的免疫系统的。澳大利亚莫纳什大学的马达尼纳·普尼班斯基的研究小组对印度尼西亚的33名疟疾病人进行研究，其中有一半的人病情严重，将其分为一组，另一组为病情较轻者。两组病人体内都有相似数量的调节性T细胞，但是病情严重者体内的调节性T细胞有高度的抑制性，原因是细胞表面形成了新的有特点的受体(肿瘤坏死因子受体2)。而且，病情严重的病人身上也含有更多的疟原虫，但攻击和消灭疟原虫的各种白细胞却活性较低。这可能是调节性T细胞抑制了其他白细胞的功能，从而关闭了体内的防火墙。

这既是一个谜，也是我们人体防火墙的一个弱点。本来体内病原菌增多会促使免疫系统动员大量的白细胞参加战斗，以消灭病原菌，但有时调节性T细胞却错误评估了战场情况，例如疟疾严重者体内伴有高度抑制性调节T细胞的产生，反而抑制其他白细胞的作用。

防火墙技术的应用篇4

作者：郭丽指导老师：李争艳

摘要：为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析，阐述了防火墙的几种技术及其应用模式。最后，详细介绍了防火墙的应用设计。

关键词：防火墙；防火墙技术；防火墙应用模式；防火墙应用设计防火墙概述

防火墙是设置在不同网络（如可信任的企业内部网络与不可信任的外部公共网络）或者不同网络安全域之间的一系列部件（包括软件和硬件）的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口，能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流，从而对所受保护的网络提供信息安全服务。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，它有效地监控了所要保护的内部网和外部公共网络之间的任何活动，用于确定网络哪些内部服务允许外部访问，以及内部网络主机访问哪些外部服务等，从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同，从某种意义来说，防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一，它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间，执行网络安全策略，以有效地阻止来自外界的网络攻击，保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点：内部和外部的所有网络数据流必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙本身应该坚固安全可靠。

第1页(共14页)2 防火墙技术

防火墙技术分为包过滤，代理，NAT，状态监测等几种技术。2.1 包过滤技术

包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用，对具有安全意识的网络管理者来说，包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解，以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用，简要地比较了IP包过滤和其它的网络安全方法如应用级网关，描述了包过滤在每一个包中检查什么，及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题，说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感，并对这些问题提出解决方案。

这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时，对提供好的可能的服务给他们的用户感兴趣的人)，站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣，而不是设法管辖内部的人，并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务，而不是防止内部的人有意地或恶意地暗中破坏安全措施。

包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问，而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的，从而提高策略被正确和彻底的实现的可能性。或多或少的，包过滤是完成所有这些目的的一种机制，但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。

为了网络安全，包过滤的一般的可供选择的方法包括用网络访问保护

第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问，然后尝试去保护具有网络访问权的每一台机器一般是不切实际的，没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关，诸如被AT&T, DEC和其他几个机构使用的那些，通常也是不切实际的。因为它们为了到达外部主机，要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的，内部主机的用户简直是不幸的，而且不能到达过去的应用网关。

在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包，那么它将被送到它的目的地，好像路由不曾发生。如果路由器决定拒绝或丢弃一个包，那么该包仅仅被丢弃，好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明)，路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息)，或只是假装不曾收到该包。另外，本文中，入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包，有时用于从过滤器路由器(在内部网络边缘，内部网络和外部网络之间)的观点谈到包，或用于涉及包经过的路由器接口。一个包在它到外部网络的路上，对于过滤路由器来说，可能看来是入站的，但从内部网络作为一个整体来说，该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的，它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地，一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说，入站接口是在包出现的过滤路由器上的接口，而出站接口是包将经由它出去的接口，如果它不被应用过滤规则拒绝的话。2.2代理技术

具有因特网访问功能的主机代替其它主机完成与因特网的通信，这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务，尽管它看起来像是对所有的主机提供服务。

代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器

第3页(共14页)交谈，而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求，应决定哪个请求可以传送，那个可以不考虑。如果一个请求是许可的，代理服务器就会代表客户与真正的服务器交谈，继而将客户请求传达给真实服务器，并将真实服务器的应答返回给客户。代理服务对用户是透明的，用户与代理服务器交谈就像与真实服务器交谈一样；而对真实服务器米说，它是于一个运行于代理服务器主机上的用户交谈，而并不知道用户的真实所在。代理技术有如下特点：

（1）代理服务允许用户直接地访问因特网服务

使用双宿主主机方式，用户需要在访问任何因特网服务之前连入这个主机，通常这样做很不方便，会使一些用户变得很沮丧，以至于是他们在防火墙周围寻找通道。使用代理服务，用户会认为他们是在直接与因特网服务器进行交流。

当然，后台仍会有更多程序在运行，但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时，它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机，或者通过一个堡垒主机和屏蔽路由器系统。（2）代理服务可以优化日志服务

因为代理服务器可以优先选择协议，所以它们允许日志服务以一种特殊有效的方式运行。例如，一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答，来代替记录所有传送的数据，这样会产生一个小的多也有用的多的日志。

（3）代理服务滞后于非代理服务

尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务，但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后，通常要经过一个明显的延迟，它的代理服务器才会出现，滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时，难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务，那么在找到合适的代理软件之前，将不得不把它置于防火墙之外，这等于打开了潜在的安全缺口。

（4）不同的服务可能要求不同的服务器

第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议，以判断什么是允许的，什么是不允许的，并且它还得扮演两个角色，对真实服务器来说它是用户，对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。

根据所用的代理软件的不同，配置的难易程度也大不相同，在一个地方容易做的事情可能在其它地方非常困难。例如，容易配置的服务器通常实用性比较差，它们之所以可以比较容易地配置，是因为它们限制了各种使用条件，这些条件可能是正确的，也可能根本不适合你的站点。（5）代理服务对用户的限制比较多

代理服务器通常要求对用户和使用过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制，代理服务就不能像非代理服务运行得那样好，它们往往可能曲解协议，而且也缺少一定的灵活性。2.3 NAT技术

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

NAT的工作过程如图1所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。

图1 NAT工作过程

在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。2.4状态监测技术

这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则做出安全决策。

“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上，进一步发展了“会话过滤”功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施（市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已）。

3防火墙的应用模式

由于网络拓扑结构和安全需求等方面的差异，在使用防火墙构建网络安全防护系统时，其应用模式可能是千差万别的。总的来说，比较典型的防火墙应用模式有4种。

3.1屏蔽路由器（Screened Route）

这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常，防火墙功能由路由器提供（在路由器上增加一个防火墙模块），该路由器设置在内部网与internet之间，根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中，防火墙功能也可以用单独的防火墙设备或主机来实现，设置在内部网与路由器之间。参见图2：

内部网

屏蔽

路由器

INTERNET

图2 屏蔽路由器第7页(共14页)这种应用模式的优点是数据转发速度快，冈络性能损失较小，易于实现，费用较低、它的缺点是安全性比较脆弱，尤其是分组过滤型防火墙，容易被人侵者攻破，进而入侵内部网。3.2双宿主机网关（Dual Homed Gateway）

这种应用模式采用单一的代理服务型防火墙来实现。通常，防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机（Bastion Host），而具有两个网络接口的堡垒。主机称为双宿主机（Dual Home）。这种应用模式由双宿主机充当内部网与internet之间的网关，并在其上运行代理服务器软件，受保护的内部网与Internet之间不能直接建立连接，必须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3：

内部网

堡垒

主机

INTERNET

图3 双宿主机网关

这种应用模式的安全性略好一些。但仍然比较脆弱，因为堡垒主机是惟一的安全屏障，一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关（Screened Host Gateway）

这种应用模式采用双重防火墙来实现，一个是屏蔽路由器，构成内部网的第一道安全屏障；另一个是堡垒主机．构成内部网的第二道安全屏障。参见图4：

内部网

堡垒主机屏蔽路由器

INTERNET

图4 屏蔽主机网关

屏蔽路由器基于下列规则过滤分组流：堡垒主机是内部网惟一的系统，允许外部用户与堡垒主机建立连接，并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障，并且是由两种不同的防火墙构成的，可以优势互补和相互协调。因此，具有较高的第8页(共14页)安全性，并且比较灵活。

3.4屏蔽子网网关（Screened Subnet Gateway）

这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网，在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器，堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统，但要受到屏蔽路由器过滤规则的限制。参见图5：

屏蔽子网

内部网

堡垒主机

屏蔽路由器

INTERNET

图5 屏蔽子网网关

在这种应用模式中，内部服务器设有三道安全屏障：两个屏蔽路由器和堡垒主机，入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机，这显然是相当困难的。因此，具有更高的安全性，比较适合保护大型的网络，但成本也比较高。防火墙的应用设计

根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的，必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求，完整的网络安全体系应当包括防护、检测、响应和管理等各个环节，不是单靠某一种安全技本来解决的，也要形成一个动态的安全防护系统。其中，防火墙是整个网络安全体系的基础和关键环节，也是一种常用的安全防护技术，它作为第一道安全屏障最容易受到人侵者的攻击。因此，除了防火墙本身应具有较好的安全防护能力之外，防火墙的应用方案设计也是十分重要的。

第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析

根据网络应用性质，可以将网络应用环境分成3种：开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的，其安全解决方案也有所不同。

（1）开放的网络应用环境：在开放的网络应用环境中，网络服务和信息内容向internet上的所有用户完全开放，如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题，它所面临的安全风险是拒绝服务（Dos）篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范，包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息，使用“补丁”程序来阻塞系统安全漏洞，使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低，防火墙的作用是次要的，必要时可采用屏蔽路由器模式。

（2）专用的网络应用环境：在专用的网络应用环境中，网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的，他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题，主要是用防火墙等技术来防范；后者属于信息安全问题，主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。

在这种网络应用环境中，一般要在内部网与Internet之间设置防火墙，并通过安全规则来控制外部用户对内部网资源（如Web服务器和其他服务器）的访问。根据网络服务的安全要求，选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外，还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。

（3）内部的网络应用环境：在内部的网络应用环境中，内部网与Internet是物理隔离的，网络服务器没置在内部网，只允许内部用户通过内部网访问网络服务器，这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问，窃取和泄露机密信息等。其防范措施主要侧重

第10页(共14页)于解决内部用户对内部网的攻击问题，如采用VLAN、访问控制、安全审计和安全管理等防范措施。

由于不同的网络应用环境所面临的安全风险是各不相同的，不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点，减少盲目性。4.2网络安全系统设计

在上述的4种防火墙应用模式中，每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中，应当根据网络应用系统的安全需求来构造网络安全体系。

在安全要求不高的情况下，一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下，有利于降低系统费用，简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下，可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。

例如：在基于屏蔽子网网关应用模式构建的网络安全系统中，必须将内部网划分为3个子网：内部子网、屏蔽子网与外部网（如Internet）。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器，一个位于内都子网和屏蔽子网之间的内部屏蔽路由器；另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网，而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上，而不能到达外部网。这样内部网和外部网之间不能直接通信，双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区，所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。

第11页(共14页)

图6 网络安全系统结构

内部屏蔽路由器还应当提供网络地址翻译器（NAT）功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的，可见的只是代理服务器的公用IP地址。这样，在屏蔽内部子网结构的同时，还解决了公用IP地址短缺问题。

对于各种对外开放的网络服务器，如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet，在屏蔽子网上设置一个堡垒主机，提供代理服务器功能。这样，既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等，又防止了外部用户攻击内部网，篡改数据或破坏系统。在这种网络安全体系结构中，入侵者想要攻击内部网，必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。

合理地配置防火墙可以防御多种网络攻击，例如：

（1）在防火墙中配置多块网卡，不同的网卡对应于不同的网段，通过将网卡与对应网段绑定，可以防御IP地址欺骗的攻击。

（2）在防火墙中阻塞ICMP报文，只允许某些类型（如回应请求类型）的ICMP报文通过，可以防御“Ping Of death”之类的攻击。

（3）在防火墙中阻塞ActiveX和Java Applets程序，可以防御恶意程序对内部主机进行攻击。

（4）在防火墙中使用NAT功能，所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址，不仅可以使内部主机共享有限的 Internet IP地址，而且能够隐藏内部网络信息。

（5）在防火墙中使用认证功能，可以对主机地址、网卡地址和主机名进行认证，还可以对用户身份进行认证，例如采用口令认证、RADIUS认证以及硬件参与认证等，可以防御地址欺骗、身份假冒等攻击。

另外，对于处于不同地理位置上的内部网通过Internet交换信息时，可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下，应当在屏蔽子网设置一个VPN网关，两个内部网之间通过VPN网关建立一个安全的传输隧道，实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙，而在建立VPN隧道时，双方的身份是经过认证的，都是可信的用户。

第12页(共14页)4.3安全策略设计

在图6所示的网络安全系统结构中，设有3个防火墙：外部分组过滤器（由外部屏蔽路由器提供）、内部分组过滤器（由内部屏蔽路由器提供）和代理服务器（由堡垒主机提供）。根据网络应用的安全需求，必须分别为它们设计安全策略和规则。

（1）外部分组过滤器：外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器（如 Web服务器、FTP服务器等），允许外部用户连接安全代理服务器。每次连接都要产生日志记录，供以后安全审计使用。

（2）内部分组过滤器：内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能，使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络（如Internet）。

（3）代理服务器：代理服务器的缺省规则为禁止听有连接．它允许内部用户访向外部网络的web站点，并提供代理功能，对所代理的连接进行安全检查，禁止内部用户访问非法站点，并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量，发送者、接收者，甚至内容进行检查，并产生日志记录。它在代理 Telnet和 FTP内部服务器时，要求验证用户的身份，允许合法用户以规定的权限上载和下载服务器中的文件，并产生日志记录。

为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作，一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后，便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时，应当及时修改防火墙的安全策略，避免可能产生的安全漏洞。在防火墙工作过程中，可以通过管理软件监视防火墙的日志信息，定期进行安全审计，及时发现系统可能存在的安全漏洞，入侵者的攻击行为以及其他违反安全规则的行为，为网络安全管理提供决策依据。结束语

第13页(共14页)本论文主要研究防火墙技术的应用，从防火墙的简单概述展开，描述了防火墙的四种技术，防火墙的应用模式。最后，阐述了防火墙的应用设计。旨在展望网络安全，即防火墙技术的未来状况。

参考文献

[1] 蔡皖东.网络与信息安全[M].西安：西北工业大学出版社，2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报：计算机科学技术版，2003，38（4）：21-33.[3] 蒋建春，冯登国.网络入侵检测技术原理与技术[M].北京：国防工业出版社，2005.[4] 陆楠.现代网络技术[M].西安：西安电子科技大学出版社，2003.[5] 刘克龙，蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报：计算机科学技术版，2005，46（6）：11-14.[6] 张凡，李丹灵.网络信息安全的真相[J].深圳大学学报：计算机科学技术版，2006，24（5）：12-19.[7] 陈功富.现代计算机网络技术[M].北京：电子工业出版社，2005.[8] 邓吉，柳靖.黑客防攻实战详解[M].北京：电子工业出版社，2006.[9] 郭鑫.防黑档案[M].北京：电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社，2004.[11]邓亚平.计算机网络安全[M].北京：人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

实验三防火墙的配置篇5

 实验目的

1、了解防火墙的含义与作用

2、学习防火墙的基本配置方法

3、理解iptables工作机理

4、熟练掌握iptables包过滤命令及规则

5、学会利用iptables对网络事件进行审计

6、熟练掌握iptables NAT工作原理及实现流程

7、学会利用iptables+squid实现web应用代理

 实验原理

 防火墙的基本原理

一．什么是防火墙

在古代，人们已经想到在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，于是有了“防火墙”的概念。

进入信息时代后，防火墙又被赋予了一个类似但又全新的含义。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

二．防火墙能做什么 1．防火墙是网络安全的屏障

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2．防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

3．对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4．防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

三．NAT NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（Internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0～10.255.255.255，172.16.0.0～172.16.255.255，192.168.0.0～192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将Web Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问192.168.1.1。另外对资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。

其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址访问Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

 Windows 2003防火墙

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

在Windows2003服务器上，对直接连接到Internet的计算机启用防火墙功能，支持网络适配器、DSL适配器或者拨号调制解调器连接到Internet。它可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，从而提高Windows 2003服务器的安全性。同时，它也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

1．启用/关闭防火墙

（1）打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

（2）选择“高级”选项卡，单击“设置”按钮，出现启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请单击“启用(O)”按钮；如果要禁用Internet 连接防火墙，请单击“关闭(F)”按钮。

2．防火墙服务设置

Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

（1）解除阻止设置。

在“例外”选项卡中，可以通过设定让防火墙禁止和允许本机中某些应用程序访问网络，加上“√”表示允许，不加“√”表示禁止。如果允许本机中某项应用程序访问网络，则在对话框中间列表中所列出该项服务前加“√”（如果不存在则可单击“添加程序”按钮进行添加）；如果禁止本机中某项应用程序访问网络，则将该项服务前的“√”清除（如果不存在同样可以添加）。在“Windows防火墙阻止程序时通知我”选项前打“√”则在主机出现列表框中不存在的应用程序欲访问网络时，防火墙会弹出提示框询问用户是否允许该项网络连接。

（2）高级设置。

在“高级”选项卡中，可以指定需要防火墙保护的网络连接，双击网络连接或单击“设置”按钮设置允许其他用户访问运行于本主机的特定网络服务。选择“服务”选项卡，其中列举出了网络标准服务，加上“√”表示允许，不加“√”表示禁止。如果允许外部网络用户访问网络的某一项服务，则在对话框中间列表中所列出该项服务前加“√”（如果不存在则可单击“添加程序”按钮进行添加）；如果禁止外部网络用户访问内部网络的某一项服务，则将该项服务前的“√”清除（如果不存在同样可以添加）。选择“ICMP”选项卡，允许或禁止某些类型的ICMP响应，建议禁止所有的ICMP响应。

3．防火墙安全日志设置

Windows2003防火墙可以记录所有允许和拒绝进入的数据包，以便进行进一步的分析。在“高级”选项卡的“安全日志记录”框中单击“设置”按钮，进入“日志设置”界面。

如果要记录被丢弃的包，则选中“记录被丢弃的数据包”复选按钮；如果要记录成功的连接，则选中“记录成功的连接”复选按钮。

日志文件默认路径为C:WINDOWSpfirewall.log，用记事本可以打开，所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。你也可以重新指定日志文件，而且还可以通过“大小限制”限定文件的最大使用空间。

「说明」建立安全日志是非常必要的，在服务器安全受到威胁时，日志可以提供可靠的证据。

 linux防火墙-iptable的应用

一．iptables简介

从1.1内核开始，linux就已经具有包过滤功能了，在2.0的内核中我们采用ipfwadm来操作内核包过滤规则。之后在2.2内核中，采用了大家并不陌生的ipchains来控制内核包过滤规则。在2.4内核中我们不再使用ipchains，而是采用一个全新的内核包过滤管理工具—iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。

实际上iptables只是一个内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。

netfilter提供了一系列的“表(tables)”，每个表由若干“链(chains)”组成，而每条链中有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，链又是规则的容器。

netfilter系统缺省的表为“filter”,该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据预先定义的策略(policy)来处理该数据包。

图3-2-1 网络数据包在filter表中的流程

数据包在filter表中的流程如图3-2-1所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：

（1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

（2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

（3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

当我们在使用iptables NAT功能的时候，我们所使用的表不再是“filter”表，而是“nat”表，所以我们必须使用“-t nat”选项来显式地指明这一点。因为系统缺省的表是“filter”，所以在使用filter功能时，我们没有必要显式的指明“-t filter”。

同“filter”表一样，nat表也有三条缺省的链，这三条链也是规则的容器，它们分别是：

（1）PREROUTING: 可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的IP地址，为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。

（2）POSTROUTING: 可以在这里定义进行源NAT的规则，在路由器进行路由之后才进行源NAT。（3）OUTPUT: 定义对本地产生的数据包的目的NAT规则。二．NAT工作原理

NAT的基本思想是为每个企业分配一个IP地址(或者是很少几个)来进行Internet传输。在企业内部，每个电脑取得一唯一的IP地址来为内部传输做路由。然而，当封包离开企业，进入ISP之后，就需要进行地址转换了。为了使这个方案可行，IP地址的范围被声明为私有的，企业可以随意在内部使用他们。仅有的规则是，没有包含这些地址的封包出现在Internet上。

「说明」 IP私有地址范围是：10.0.0.0～10.255.255.255/

8、172.16.0.0 ～172.31.255.255/

12、192.168.0.0～192.168.255.255/16。

如图3-2-2所示。在企业内部，每个机器都有一个唯一的172.16.x.y形式的地址。然而，当封包离开企业时，它要经过NAT转盒，NAT盒将内部IP源地址，即图中的172.16.0.50转换成企业的真实地址(这个地址对于Internet来说是可见的)，此例中为202.198.168.150。NAT盒通常和防火墙一起绑定在一个设备上，这里的防火墙通过小心地控制进出企业的封包提供了安全保障。

图3-2-2 NAT地址转换

三．iptables常用操作语法

对于任何协议及协议的扩展，通用匹配都可以直接使用。（1）匹配指定协议。

匹配-p,--protocol／使用 iptables-A INPUT-p tcp-j ACCEPT／说明匹配指定的协议，指定协议的形式有以下几种：①名字不分大小写，但必须是在/etc/protocols中定义的；②可以使用协议相应的整数值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少设置ALL，相应数值是0,要注意这只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定义的所有协议；④可以是协议列表，以英文逗号为分隔符，如：udp,tcp；⑤可以在协议前加英文的感叹号表示取反，注意有空格,如：--protocol!tcp表示非TCP协议，也就是UDP和ICMP。可以看出这个取反的范围只是TCP、UDP和ICMP。

（2）以IP源地址匹配包。

匹配-s,--src,--source／使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT／说明以IP源地址匹配包。地址的形式如下：①单个地址，如192.168.0.1，也可写成192.168.0.1/255.255.255.255或192.168.0.1/32；②网络，如192.168.0.0/24,或192.168.0.0/255.255.255.0；③在地址前加英文感叹号表示取反，注意空格，如—source!192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。

（3）以IP目的地址匹配包。

匹配-d,--dst,--destination／使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT／说明以IP目的地址匹配包。地址的形式和—source完全一样。

（4）以包进入本地使用的网络接口匹配包。

匹配-i／使用 iptables-A INPUT-i eth0-j ACCEPT／说明以包进入本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于INPUT,FORWARD和PREROUTING这三个链，用在其他任何地方会提示错误信息。指定接口有以下方法：①指定接口名称，如：eth0、ppp0等；②使用通配符，即英文加号，它代表字符数字串。若直接用一个加号，即iptables-A INPUT-i +表示匹配所有的包，而不考虑使用哪个接口。通配符还可以放在某一类接口的后面，如：eth+表示匹配所有从Ethernet接口进入的包；③在接口前加英文感叹号表示取反，如：-i!eth0意思是匹配来自除eth0外的所有包。

（5）以包离开本地所使用的网络接口来匹配包。

匹配-o／使用 iptables-A OUTPUT-o eth1-j ACCEPT／说明以包离开本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于OUTPUT,FORWARD和POSTROUTING这三个链，用在其他任何地方会提示错误信息。

（6）匹配通信源端口。

匹配--source-port,--sport／使用 iptables-A INPUT-p tcp--sport 1111／说明当通信协议为TCP或UDP时，可以指定匹配的源端口，但必须与匹配协议相结合使用。

（7）匹配通信源端口。

匹配--destination-port,--dport／使用 iptables-A INPUT-p tcp--dport 80／说明当通信协议为TCP或UDP时，可以指定匹配的目的端口，但必须与匹配协议相结合使用。

五．iptables功能扩展 1．TCP扩展

iptables可以扩展，扩展分为两种：一种是标准的；另一种是用户派生的。如果指定了“-p tcp”，那么TCP扩展将自动加载，通过--tcp-flags扩展，我们指定TCP报文的哪些Flags位被设置，在其后跟随两个参数：第一个参数代表Mask,指定想要测验的标志位；第二个参数指定哪些位被设置。

例：设置iptables防火墙禁止来自外部的任何tcp主动请求，并对此请求行为进行事件记录。

其中ULOG指定对匹配的数据包进行记录,由日志生成工具ULOG生成iptables防火日志，--log-prefix选项为记录前缀。

2．ICMP扩展

例：设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包。

其中--icmp-type为扩展命令选项，其后参数可以是三种模式：（1）ICMP类型名称（例如，host-unreachable）。（2）ICMP类型值(例如3)。（3）ICMP类型及代码值（8/0）。六．状态检测

“状态”的意思是指如果一个数据包是对先前从防火墙发出去的包的回复，则防火墙自动不用检查任何规则就立即允许该数据包进入并返回给请求者，这样就不用设置许多规则定义就可实现应用的功能。

我们可以把请求端与应答端之间建立的网络通信连接称为网络会话，每个网络会话都包括以下信息——源IP地址、目标IP地址、源端口、目的端口，称为套接字对；协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单的包过滤防火墙具有更大的安全性，而iptables就是一种基于状态的防火墙。命令格式如下：

iptables-m state--state [!] state [,state,state,state] 其中，state表是一个由逗号分割的列表，用来指定连接状态，状态分为4种：（1）NEW: 该包想要建立一个新的连接（重新连接或连接重定向）

（2）RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。

（3）ESTABLISHED：该包属于某个已经建立的连接。（4）INVALID:该包不匹配于任何连接，通常这些包被DROP。七．NAT操作

前面提到在iptables防火墙中提供了3种策略规则表：Filter、Mangle和NAT，这3种表功能各不相同，而最为常用的就是filter和nat表。

nat表仅用于NAT,也就是网络地址转换。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于流的包只会经过这个表一次，经一个包被允许做NAT,那么余下的包都会自动地做相同的操作。也就是说，余下的包不会再通过这个表一个一个的被NAT，而是自动完成的。常用操作分为以下几类。

（1）SNAT(source network address translation，源网络地址目标转换)。

SNAT是POSTROUTING链表的作用，在封包就要离开防火墙之前改变其源地址，这在极大程度上可以隐藏本地网络或者DMZ等。比如，多个PC机使用路由器共享上网，每个PC机都配置了内网IP(私有IP)，PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的IP，当外部网络的服务器比如网站Web服务器接到访问请求的时候，它的日志记录下来的路由器的IP，而不是PC机的内网IP，这是因为，这个服务器收到的数据包的报头里边的“源地址”已经被替换了。所以叫做SNAT，基于源地址的地址转换。

例如更改所有来自192.168.0.1/24的数据包的源IP地址为10.0.0.1，其iptables实现为：

（2）DNAT(destination network address translation，目标网络地址转换)。

DNAT是PREROUTING链表的作用，在封包刚刚到达防火墙时改变其目的地址，以使包能重路由到某台主机。典型的应用是，有个Web服务器放在企业网络DMZ区，其配置了内网IP地址，企业防火墙的的外网接口配置了企业唯一的公网IP，互联网上的访问者使用公网IP来访问这个网站，当访问的时候，客户端发出一个数据包，这个数据包的报头里边，目标地址写的是防火墙的公网IP，然后再把这个数据包发送到DMZ区的Web服务器上，这样，数据包就穿透了防火墙，并从公网IP变成了一个对DMZ区的访问了。所以叫做DNAT，基于目标的网络地址转换。

例如更改所有来自202.98.0.1/24的数据包的目的IP地址为192.168.0.1，其iptables实现为：

（3）REDIRECT(重定向)。

REDIRECT是DNAT的特殊情况是重定向，也就是所谓的Redirection，这时候就相当于将符合条件的数据包的目的IP地址改为数据包进入系统时的网络接口的IP地址。通常是在与squid配置形成透明代理时使用，假设squid的监听端口是3128,我们可以通过以下语句来将来自192.168.0.1/24，目的端口为80的数据包重定向到squid监听：

（4）MASQUERADE(地址伪装)。

在iptables中有着和SNAT相近的效果，但也有一些区别。在使用SNAT的时候，出口IP的地址范围可以是一个，也可以是多个，例如把所有

192.168.0.0/2

4网段数据包

SNAT

成202.98.0.150/202.98.0.151/202.98.0.152等几个IP然后发出去,其iptables实现为：

SNAT即可以NAT成一个地址，也可以NAT成多个地址。但是，对于SNAT来说不管是几个地址，必须明确指定转换的目标地址IP。假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口IP都会改变，而且改变的幅度很大，不一定是202.98.0.150到202.98.0.152范围内的地址，这个时候如果使用SNAT的方式来配置iptables就会出现麻烦了，因为每次拨号后出口IP都会变化，而iptables规则内的IP是不会随着自动变化的，每次地址变化后都必须手工修改一次iptables，把规则里边的固定的IP改成新的IP，这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的，它的作用是从防火墙外网接口上自动获取当前IP地址来做NAT，比如下边的命令：

八．防火墙应用代理 1．代理服务器概述

在TCP/IP网络中，传统的通信过程是这样的：客户端向服务器请求数据，服务器响应该请求，将数据传送给客户端，如图3-2-3所示。

图3-2-3 直接访问Internet 在引入了代理服务器以后，这一过程变成了这样：客户端向服务器发起请求，该请求被送到代理服务器；代理服务器分析该请求，先查看自己缓存中是否有请求数据，如果有就直接传递给客户端，如果没有就代替客户端向该服务器发出请求。服务器响应以后，代理服务将响应的数据传递给客户端，同时在自己的缓存中保留一份该数据的拷贝。这样，再有客户端请求相同的数据时，代理服务器就可以直接将数据传送给客户端，而不需要再向该服务器发起请求，如图3-2-4所示。

图3-2-4 通过代理服务器访问Internet

2．代理服务器功能

一般说来，代理服务器具有以下的功能：（1）通过缓存增加访问速度。

随着Internet的迅猛发展，网络带宽变得越来越珍贵。所以为了提高访问速度，好多ISP都提供代理服务器，通过代理服务器的缓存功能来加快网络的访问速度。一般说来，大多数的代理服务器都支持HTTP缓存，但是，有的代理服务器也支持FTP缓存。在选择代理服务器时，对于大多数的组织，只需要HTTP缓存功能就足够了。

通常，缓存有主动缓存被动缓存之分。所谓被动缓存，指的是代理服务器只在客户端请求数据时才将服务器返回的数据进行缓存，如果数据过期了，又有客户端请求相同的数据时，代理服务器又必须重新发起新的数据请求，在将响应数据传送给客户端时又进行新的缓存。所谓主动缓存，就是代理服务器不断地检查缓存中的数据，一旦有数据过期，则代理服务器主动发起新的数据请求来更新数据。这样，当有客户端请求该数据时就会大大缩短响应时间。对于数据中的认证信息，大多数的代理服务器都不会进行缓存的。

（2）提供用私有IP访问Internet的方法。

IP地址是不可再生的宝贵资源，假如你只有有限的IP地址，但是需要提供整个组织的Internet访问能力，那么，你可以通过使用代理服务器来实现这一点。

（3）提高网络的安全性。

如果内部用户访问Internet都是通过代理服务器，那么代理服务器就成为进入Internet的唯一通道；反过来说，代理服务器也是Internet访问内部网络的唯一通道，如果你没有做反向代理，则对于Internet上的主机来说，你的整个内部网只有代理服务器是可见的，从而大大增强了网络的安全性。

3．传统、透明和反向代理服务器（1）传统代理服务器。

传统代理常被用于缓存静态网页(例如：html文件和图片文件等)到本地网络上的一台主机上(即代理服务器)。不缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而不再向原Web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求给代理服务器处理，代理服务器根据请求确定是否连接到远程Web服务器获取数据。如果在本地缓冲区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，并在本地保存一份缓冲，然后将文件发给客户端浏览器。

（2）透明代理服务器。

透明代理与传统代理的功能完全相同。但是，代理操作对客户端浏览器是透明的(即不需指明代理服务器的IP和端口)。透明代理服务器阻断网络通信，并且过滤出访问外部的HTTP(80端口)流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户，如果在本地没有缓冲则向远程Web服务器发出请求，其余操作和传统代理服务器完全相同。对于Linux操作系统来说，透明代理使用iptables实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP来说特别有用。

（3）反向代理服务器。

反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始Web服务器的负载。反向代理服务器承担了对原始Web服务器的静态页面的请求，防止原始服务器过载。如图3-2-5所示，它位于本地Web服务器和Internet之间，处理所有对Web服务器的请求。如果互联网用户请求的页面在代理器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向Web服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式通过降低了向Web服务器的请求数从而降低了Web服务器的负载。

图3-2-5 反向代理服务器位于Internet与组织服务器之间

4．代理服务器squid简介

Squid是一个缓存Internet数据的一个开源软件，它会接收用户的下载申请，并自动处理所下载的数据。也就是说，当一个用户要下载一个主页时，他向squid发出一个申请，要求squid替它下载，squid连接申请网站并请求该主页，然后把该主页传给用户同时保留一个备份，当别的用户申请同样的页面时，squid把保存的备份立即传给用户，使用户觉得速度相当快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议，暂不能代理POP、NNTP等协议。但是已经有人开始改进squid，相信不久的将来，squid将能够代理这些协议。

Squid不是对任何数据都进行缓存。像信用卡账号、可以远方执行的Script、经常变换的主页等是不适合缓存的。Squid可以根据用户的需要进行设置，过滤掉不想要的东西。

Squid可用在很多操作系统中，如Digital Unix, FreeBSD, HP-UX, Linux, Solaris，OS/2等，也有不少人在其他操作系统中重新编译过Squid。

Squid对内存有一定的要求，一般不应小于128M，硬盘最好使用服务器专用SCSI硬盘。

Squid是一个高性能的代理缓存服务器，和一般的代理缓存软件不同，Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。

Squid将数据元缓存在内存中，同时也缓存DNS查询的结果。此外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。Squid支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存协议），Squid能够实现层叠的代理阵列，从而最大限度地节约带宽。

Squid由一个主要的服务程序Squid,一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。当Squid启动以后，它可以派生出预先指定数目的dnsserver进程，而每一个dnsserver进程都可以执行单独的DNS查询，这样就减少了服务器等待DNS查询的时间。

5．Squid常用配置选项

因为缺省的配置文件不能使Squid正常启动服务，所以我们必须首先修改该配置文件的有关内容,才能让Squid运行起来。

下面是squid.conf文件的结构。squid.conf配置文件的可以分为13个部分，这13个部分如下有所示。

虽然Squid的配置文件很庞大，但是如果你只是为一个中小型网络提供代理服务，并且只准备使用一台服务器，则只需要修改配置文件中的几个选项。

6．Squid常用命令选项（1）端口号。

http_port指令告诉squid在哪个端口侦听HTTP请求。默认端口是3128：http_port 3128，如果要squid作为加速器运行则应将它设为80。

你能使用附加http_port行来指squid侦听在多个端口上。例如，来自某个部门的浏览器发送请求3128，然而另一个部门使8080端口。可以将两个端口号列举出来：

http_port 3128 http_port 8080 Squid也可以使http_port指令侦听在指定的接口地址上。squid作为防火墙运行时，它有两个网络接口：一个内部的和一个外部的。你可能不想接受来自外部的http请求。为了使squid仅仅侦听在内部接口上，简单的将IP地址放在端口号前面：

http_port 192.168.1.1:3128（2）日志文件路径。

默认的日志目录是squid安装位置下的logs目录，其路径是/usr/local/squid/var/logs。

你必须确认日志文件所存放的磁盘位置空间足够。squid想确认你不会丢失任何重要的日志信息，特别是你的系统被滥用或者被攻击时。

Squid有三个主要的日志文件：cache.log、access.log和store.log。cache.log文件包含状态性的和调试性的消息。access.log文件包含了对squid发起的每个客户请求的单一行。每行平均约150个字节。假如因为某些理由，你不想squid记录客户端请求日志，你能指定日志文件的路径为/dev/null。store.log文件对大多数cache管理员来说并非很有用。它包含了进入和离开缓存的每个目标的记录。平均记录大小典型的是175-200字节。

如果squid的日志文件增加没有限制。某些操作系统对单个文件强制执行2G的大小限制，即使你有充足的磁盘空间。超过该限制会导致写错误，squid就会退出。（3）访问控制。

squid默认的配置文件拒绝每一个客户请求。在任何人能使用代理之前，你必须在squid.conf文件里加入附加的访问控制规则。最简单的方法就是定义一个针对客户IP地址的ACL和一个访问规则，告诉squid允许来自这些地址的HTTP请求。squid有许多不同的ACL类型。src类型匹配客户IP地址，squid会针对客户HTTP请求检查http_access规则。

acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 请将这些行放在正确的位置。http_access的顺序非常重要。在第一次编辑squid.conf文件时，请看如下注释：

在该注释之后，以及“http_access deny all”之前插入新规则。（4）命令选项。

这里的很多选项在实际应用中从不会使用，另外有些仅仅在调试问题时有用。

 实验步骤

 Windows 2003防火墙

一．防火墙基础操作

操作概述：启用windows2003系统防火墙，设置规则阻断ICMP回显请求数据包，并验证针对UDP连接工具的例外操作。

（1）在启用防火墙之前，同组主机通过ping指令互相测试网络连通性，确保互相是连通的，若测试未通过请排除故障。

（2）本机启用防火墙，并设置防火墙仅对“本地连接”进行保护。

（3）同组主机再次通过ping指令互相测试网络连通性，确认是否相互连通_______。（4）设置本机防火墙允许其传入ICMP回显请求。（5）第三次测试网络连通性。二．防火墙例外操作

操作概述：启用windows2003系统防火墙，在“例外”选项卡中添加程序“UDPtools” 允许UDPtools间通信，并弹出网络连接提示信息。

（1）关闭防火墙，同组主机间利用UDPtools进行数据通信，确保通信成功。

「说明」 UDPtools通信双方应分别为客户端和服务端，其默认通过2513/UDP端口进行通信，可以自定义通信端口，运行如图3-1-1所示。

图3-1-1 UDP连接工具

（2）本机启用防火墙(仅对本地连接)，将本机作为UDPtools服务器端，同组主机以UDPtools客户端身份进行通信，确定客户端通信请求是否被防火墙阻塞_______。

（3）断开UDPtools通信，单击“例外”选项卡，在“程序和服务”列表框添加程序“UDPtools.exe”（C:JLCSSTOOLSAnalysertoolsUdpTools.exe）并将其选中。再次启动UDPtools并以服务器身份运行，同组主机仍以客户端身份与其通信，确定客户端通信请求是否被防火墙阻塞_______。

三．NAT操作

操作概述：Windows Server 2003“路由和远程访问”服务包括NAT路由协议。如果将NAT路由协议安装和配置在运行“路由和远程访问”的服务器上，则使用专用IP地址的内部网络客户端可以通过NAT服务器的外部接口访问Internet。

图3-1-2 实验网络连接示意

参看图3-1-2，当内部网络主机PC1发送要连接Internet主机PC2的请求时，NAT协议驱动程序会截取该请求，并将其转发到目标Internet主机。所有请求看上去都像是来自NAT器的外部连接IP地址，这样就隐藏了内部网络主机。

在这里我们将windows Server 2003主机配置成为“路由和远程访问”NAT服务器，并模拟搭建Internet网络环境对NAT服务器进行测试。

（1）实验网络拓扑规划。

按图3-1-2所示，本实验需3台主机共同完成，其中一台主机扮演实验角色“内网主机PC1”,一台主机扮演实验角色“外网主机PC2”,最后一台主机扮演“NAT服务器”。

默认外部网络地址202.98.0.0／24；内部网络地址172.16.0.0／24，也可根据实际情况指定内网与外网地址。

默认主机“本地连接”为内部网络接口；“外部连接“为外部网络接口，也可指定“本地连接”为外部网络接口。

（2）按步骤(1)中规划分别为本机的“本地连接”、“外部连接”配置IP地址。

（3）配置NAT路由服务。依次单击“开始”|“程序”|“管理工具”|“路由和远程访问”，在“路由和远程访问”MMC中，选择要安装NAT路由协议的服务器(这里为本地主机)，右键单击在弹出菜单中选择“配置并启用路由和远程访问”。

（4）在“路由和远程访问服务器安装向导”中选择“网络地址转换(NAT)”服务。

（5）在“NAT Internet连接”界面中指定连接到Internet的网络接口，该网络接口对于Internet来说是可见的。若在步骤(1)中已将“外部连接”指定为公共接口，则此处应选择“外部连接”。

（6）本实验中没有应用到DHCP、DNS服务，所以在“名称和地址转换服务”界面中选择“我将稍后设置名称和地址服务”。至最后完成路由和远程访问配置。

（7）接下来的工作是对各NAT服务器进行测试。下面以主机ABC为例进行测试说明：参照图3-1-2，设定主机A为内网主机PC1，将其内部网络接口(默认为“本地连接”)的默认网关指向主机B的内部网络接口(默认为“本地连接”)；设定主机C为外网主机PC2。内网主机A通过ping指令对外网主机C做连通性测试。

（8）ICMP会话分析。在主机A做连通性测试的同时，主机B打开“协议分析器”并定义过滤器，操作如下：依次单击菜单项“设置”|“过滤器”，在“协议过滤”选项卡“协议树”中选中“ICMP”协议。依次单击按钮“新建捕获窗口”|“开始捕获数据包”，在弹出的“适配器选择”界面中选择“外部连接”，开始捕获。观察状态栏“捕获帧数”窗格，当捕获到数据时单击“停止捕获数据包”按钮，依次展开“会话分析树”|“ICMP会话”，如图3-1-3所示。

图3-1-3 在NAT服务器外部接口上监听到的ICMP会话

（9）结合ICMP会话分析结果说出ICMP数据包的传输（路由）过程_________。

 linux防火墙-iptable的应用

一．包过滤实验

操作概述：为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。

（1）清空filter链表所有规则链规则。iptables命令________。

（2）确定同组主机已清空filter链表后，利用nmap（/opt/portscan/目录下）对同组主机进行端口扫描。

nmap端口扫描命令________。

「说明」 nmap具体使用方法可查看实验6｜练习1｜TCP端口扫描。查看端口扫描结果，并填写下表。

（3）查看INPUT、FORWARD和OUTPUT链默认策略。iptables命令_________。

 （4）将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。iptables命令_________。

确定同组主机已将默认策略设置为DROP后，本机再次利用nmap其进行端口扫描，查看扫描结果，并利用ping命令进行连通性测试。

（5）利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。ICMP回显请求类型__________；代码__________。ICMP回显应答类型__________；代码__________。iptables命令__________ 利用ping指令测试本机与同组主机的连通性。（6）对外开放Web服务(默认端口80/tcp)。iptables命令__________ 利用nmap对同组主机进行端口扫描，查看扫描结果。

（7）设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables命令_______ 利用nmap对同组主机进行端口扫描，查看扫描结果。二．事件审计实验

操作概述：利用iptables的日志功能检测、记录网络端口扫描事件，日志路径 /var/log/iptables.log。（1）根据实验原理(TCP扩展)设计iptables包过滤规则，并应用日志生成工具ULOG对iptables捕获的网络事件进行响应。

iptables命令__________（2）同组主机应用端口扫描工具对当前主机进行端口扫描，并观察扫描结果。（3）在同组主机端口扫描完成后，当前主机查看iptables日志，对端口扫描事件进行审计，日志内容如图3-2-1所示。

图3-2-1 iptables日志内容

三．状态检测实验

操作概述：分别对新建和已建的网络会话进行状态检测。1．对新建的网络会话进行状态检测（1）清空filter规则链全部内容。iptables命令__________（2）设置全部链表默认规则为允许。iptables命令__________（3）设置规则禁止任何新建连接通过。iptables命令__________（4）同组主机对当前主机防火墙规则进行测试，验证规则正确性。2．对已建的网络会话进行状态检测

（1）清空filter规则链全部内容，并设置默认规则为允许。

（2）同组主机首先telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。telnet登录命令_________（3）iptables添加新规则(状态检测)——仅禁止新建网络会话请求。iptables命令___________ 或___________________ 同组主机续(1)步骤继续执行远程登录操作，尝试输入登录用户名“guest”及口令“guestpass”，登录是否成功__________。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功__________。解释上述现象______________________。

（4）删除步骤（3）中添加的规则，并插入新规则(状态检测)——仅禁止已建网络会话请求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作实验步骤(1)(2)(4)。同组主机续(1)步骤继续执行远程登录操作，尝试输入登录用户名“guest”及口令 “guestpass”，登录是否成功__________。

同组主机启动Web浏览器访问当前主机Web服务，访问是否成功__________。解释上述现象_______________。

（5）当前主机再次清空filter链表规则，并设置默认策略为DROP,添加规则开放FTP服务，并允许远程用户上传文件至FTP服务器。

iptables命令______________________________________ 四．NAT转换实验

实验概述：图3-2-2描述了NAT转换实验所应用的网络拓扑结构。内网主机与NAT服务器eth0接口位于同一网段(内网)；外网主机与NAT服务器eth1接口位于同一网络(外网)；NAT服务器提供NAT转换。通过设置nat服务器的iptables NAT规则，实现内、外网主机间的通信数据包的地址转换，达到屏蔽内部网络拓扑结构与转发外网主机请求端口的目的。

图3-2-2 实验网络拓扑结

「说明」本实验是在Linux系统下完成，Linux系统默认安装了2块以太网卡，网络接口分别为eth0和eth1，在设置NAT服务前请激活eth1网络接口，命令ifconfig eth1 up。

1．确定各接口IP地址

本实验由ABC、DEF主机各为一实验小组。默认实验角色：主机A为内网主机、B为NAT服务器、C为外网主机。也可以自定义实验角色。

默认内网IP地址192.168.0.0/

24、外网IP地址202.98.0.0/24。配置完成内网主机eth0接口IP地址及默认网关(指向NAT服务器内网接口)，NAT服务器eth0和eth1接口IP地址，外网主机eth0接口IP地址，并完成下列问题的填写：

内网主机IP____________________，其默认网关____________________；外网主机IP____________________；

NAT服务器内网接口IP____________________、外网接口IP____________________。

内网主机对NAT服务器内网接口进行连通性测试（ping）；外网主机对NAT服务器外网接口进行连通性测试（ping）。

2．设置防火墙规则允许内部网络访问外部网络

操作流程：首先开启NAT服务器的路由功能(开启网络接口间数据的转发)，清空filter链表全部规则，并设置其默认策略为DROP；继续设置规则允许来自内网的数据流进入外网，并允许任何返回流量回到内网；最后规则实现内网、外网接口间的数据转发。

（1）NAT服务器开启路由功能。

基于安全的考虑，默认情况下Linux路由数据包的功能是关闭的，通过下述命令开启系统路由功能：

（2）设置filter表规则链，默认策略为禁止。iptables命令_______________________（3）添加filter表新规则，允许来自防火墙的流量进入Internet；允许任何相关的返回流量回到防火墙。

iptables命令_______________________（4）添加filter表新规则，实现NAT服务器内部网络接口eth0与外部网络接口eth1间的数据转发。iptables命令_______________________（5）主机C启动Snort（/opt/ids/snort）以网络嗅探方式运行(设置过滤器仅监听icmp数据包)，主机A ping探测主机C，是否ping通______？

将主机C的默认网关指向NAT服务器的外网接口，主机A再次ping探测主机C，是否ping通__________？结合snort捕获数据，对比实验现象，说明原因：___________________。

3．设置防火墙规则通过NAT屏蔽内部网络拓扑结构

操作流程：在实现步骤2的操作基础上，添加nat表新规则实现数据从内网到外网的地址翻译。（1）NAT服务器重新启动iptables服务。service iptables restart（2）重新操作步骤2(⑵～⑶)。

（3）添加nat表新规则，通过网络地址翻译实现内部网络地址转换。iptables命令_______________________（4）添加filter表新规则，实现NAT内部网络接口eth0与外部网络接口eth1之间的数据转发。iptables命令_______________________（5）主机C重新将默认网关指为空，重新启动Snort捕获ICMP数据。主机A对主机C进行ping探测，是否ping通__________？主机C停止Snort监听，查看已捕获到ICMP数据，其源IP地址是__________？解释实验象_____________________________________。

4．设置防火墙规则通过NAT实现外网请求端口转发

操作流程：在实现步骤3的操作基础，添加nat表新规则实现数据从外网到内网的地址翻译(端口转发)。（1）NAT服务器重新启动iptables服务。service iptables restart（2）重新操作步骤3(⑵～⑷)。

（3）添加nat表新规则，实现数据从外网到内网的地址翻译（80/tcp端口转发）。iptables命令__________________(4)完成NAT外部接口eth1到内部接口eth0之间的数据转发 iptables命令__________________（5）确定主机C默认网关指为空，主机A和主机C启动Snort捕获80/tcp数据，主机C启动Web浏览器，在地址栏中输入：http://202.98.0.150，观察访问结果，回答下列问题：

主机C访问是否成功__________？若成功，其访问的是哪台主机的Web主页__________（主机A/主机B）？

主机C停止Snort捕获，观察80/tcp会话的源、目的IP地址对__________________。主机A停止Snort捕获，观察80/tcp会话的源、目的IP地址对__________________。解释上述实验现象______________________________________________________。五．应用代理实验

实验概述：使用iptables+squid方式来实现传统代理、透明代理和反向代理。

实验角色说明如下：

内网客户端仅需启用“本地连接”，其IP地址形式如下：172.16.X.Y，子网掩码255.255.255.0,其中X为所属实验组编号（1-32）,Y为主机编号（1-6）,例如第4组主机A的IP地址为172.16.4.4。

代理服务器需要启动内部网络接口eth0和外部网络接口eth1。内部IP地址形式同内网客户端，外部IP地址形式如下：202.98.X.Y，子网掩码255.255.255.0，其中X为所属实验组号（1-32）,Y为主机编号，例如第4组主机B的内部IP地址为172.16.4.2，外部IP地址为202.98.4.2。

外网Web服务器仅需启用“本地连接”，其IP地址形式如下：202.98.X.Y，子网掩码255.255.255.0，其中X为所属实验组号（1-32），Y为主机编号（1-6），例如第4组主机C的IP地址为202.98.4.3。

在进行实验操作前，首先清空防火墙规则。1．传统代理

（1）外网Web服务器手动分配IP地址，并确认本地Web服务已启动。

（2）代理服务器激活网络接口eth1，并手动分配IP地址，可通过以下两种方式激活eth1：通过“桌面”｜“管理”｜“网络”激活eth1，并手动分配IP地址；在控制台中输入命令ifconfig eth1 up激活eth1,输入命令ifconfig eth1 202.98.X.Y/24为eth1分配IP地址。（3）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf。在squid.conf中配置如下选项：

第936行，使用默认的端口http_port 3128；

第574行，添加行acl mynet src 主机A地址域。例如acl mynet src 172.16.1.0/24；第610行，添加行http_access allow mynet。（4）运行代理服务器

代理服务器进入目录/usr/local/squid/sbin/，输入命令：./squid –NCd1启动代理服务。（5）通过代理访问Web服务器

内网客户端打开IE浏览器，通过“工具”｜“Internet选项”｜“连接”｜“局域网设置”选中“为LAN使用代理服务器”，在“地址”中输入代理服务器的内网IP，在“端口”中输入代理服务器的监听端口号，单击“确定”按钮，完成浏览器设置。

内网客户端在IE浏览器地址栏中输入“http://外网Web服务器IP地址”，即可访问到Web页面。（6）验证代理服务器的作用

内网客户访问外网Web服务，是否可以访问到页面__________。

外网Web服务器关闭Web服务，代理服务器访问外网Web服务，是否可以访问到页面__________。内网客户端再次访问外网Web服务，是否可以访问到页面__________，为什么？____________。2．透明代理

（1）外网Web服务器开启Web服务。（2）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf，配置如下选项：第936行，修改为：http_port 主机B内网IP:3128 transparent（3）代理服务器添加iptables规则。

对从代理服务器内网接口进入的、基于tcp协议的、目的端口是80的数据包，做“端口重定向”。将数据包重定向到3128端口，规则如下：

iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128（4）运行代理服务器。

（5）通过代理访问Web服务器。

内网客户端将本地连接的“默认网关”设置为代理服务器的内网IP，即代理服务器的eth0网络接口的IP。内网客户端打开IE浏览器，通过“工具”｜“Internet选项”｜“连接”｜“局域网设置”，取消“为LAN使用代理服务器”。

内网客户端在IE浏览器地址栏输入“http://外网Web服务器的IP”，即可访问到外网Web服务器的Web页面。

3．反向代理

（1）内网客户端开启Web服务。（2）代理服务器配置squid。

代理服务器进入目录/usr/local/squid/etc/，使用vim编辑器打开配置文件squid.conf，配置如下选项：第936行，修改为：http_port 主机B外网地址:80 vhost。

第1499行，添加行：cache_peer 主机A的IP parent 80 0 no-query originserver。第574行，修改为：acl outside src 主机C地址域。例如acl outside src 202.98.1.0/24。第610行，修改为：http_access allow outside。（3）停止代理服务器的Web服务。

在代理服务器的终端输入命令：service httpd stop。（4）删除缓存文件。

删除目录/usr/local/squid/var/cache/00/00下所有文件。（5）运行代理服务器。

（6）外网通过代理访问内网客户端Web服务

构建企业信息的防火墙篇6

在现阶段，企业信息的传递和存储方式多种多样，公司员工、远程办公、即时通讯、移动存储、智能手机和各种社交网站的不断涌现，为企业的数据泄漏防护体系带来了极大的挑战。

企业数据泄漏的主要包括以下几点：

1、运用网络攻击。

此类数据泄漏现象以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等领域的企业最为常见。

2、社交网站的兴起。

随着微博、BBS、社区等社交网站的兴起为企业业务开展创造了更便捷的平台，但与此同时，这些应用也带来了新型的攻击。而据一份来自某信息安全厂商中国站的监控结果显示：

79%的公司机密信息从Web上被下载

71%的恶意代码来自受信赖的网站

70%的网络钓鱼拦截率

68%的恶意软件进入公司网络中

61%的防护措施能够阻止间谍软件将信息传送至外部服务器

53%的安全网站重定向至未知网站的拦截率

48%的USB设备控制

47%的解决方案提供Web内容的实时分类

44%的即时通讯附件拦截率

2%的中国企业未曾对以上问题采取任何防护措施

3、内部员工的非法窃取，

管理资料

比如：使用即时通讯、FTP上传、移动存储、打印、电子邮件等手段泄漏信息。还有一类最常见的就是企业员工跳槽时，会将原工作企业里的大量的信息带进竞争对手企业。也可能由于员工个人忠诚度不够及企业文化的缺失导致企业核心机密的流失和泄露。

面对种种潜在的信息泄漏“危机”，建立一个完善的企业信息防火墙是必不可少的。

1、选择专业数据防泄露工具

专业的数据防泄漏工具，可对企业不同保护级别的数据予以相应的保护。此外，企业网络安全管理者还应对存储在服务器、数据库、终端磁盘、便携设备和其他数据库的数据进行加密防护。

2、封堵各种泄漏途径

企业的网络系统复杂多样，数据存储系统也需要分门别类的维护，比如，从职能上，企业网络系统可以分为生产业务网和办公业务局域网;从部署位置上可以分为内网系统和外网系统;从企业所处的行业上来划分，又可以分为具有不同行业特点的网络模式等等。因此，不同企业的不同网络区域有着不同的数据防护需求。

3、控制计算机的外设端口和网络，以及各类移动存储设备

对存储设备最好的是进行加密处理。加密技术长久以来都代表着技术含量及不菲的应用，但近年来众多加密产品的问世，可以使企业网络安全管理者以较低的成本实现电子邮件、磁盘等系统的加密。目前已经有越来越多的企业采取加密技术来实现对内部关键数据和文件的监控和保护，这可以在完全不改变企业原有工作流程和文件使用习惯的前提下，有效的防止被动和主动泄密。

4、培养企业员工的忠诚度

建立良好的企业文化氛围，拉近企业与员工的距离，增强员工对企业的归属感，提高信息防泄漏的意识等。可以从内部着手进一步减低重要信息外漏的风险。

防火墙技术的现状与展望篇7

随着计算机网络不断深入到社会的各行各业, 信息安全的内涵也发生了根本的变化。一个国家的信息安全体系实际上应包括国家的法规和政策, 以及技术与市场的发展平台。网络安全产品有以下几大特点:第一, 网络安全来源于安全策略与技术的多样化;第二, 网络的安全机制与技术要不断地变化;第三, 随着网络在社会各个方面的延伸, 进入网络的手段也越来越多。因此, 网络安全技术是一个十分复杂的系统工程。

二、防火墙技术的产生和现状

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统, 提出了防火墙概念后, 防火墙技术得到了飞速的发展。

目前的防火墙产品主要包含有堡垒主机、包过滤路由器、应用层网关 (代理服务器) 以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

三、防火墙的分类

根据防火墙所采用的技术不同, 我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。

1. 包过滤型。

包过滤型产品是防火墙的初级产品, 其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的, 数据被分割成为一定大小的数据包, 每一个数据包中包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点, 一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况来灵活制定判断规则。

2. 网络地址转化NAT。

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网, 用户不需要为其网络中每一台机器取得注册的IP地址。

3. 代理型。

代理型防火墙也可以被称为代理服务器, 它的安全性要高于包过滤型产品, 并已经开始向应用层发展。代理服务器位于客户机与服务器之间, 完全阻挡了二者间的数据交流。从客户机来看, 代理服务器相当于一台真正的服务器;从服务器来看, 代理服务器又是一台真正的客户机。

4. 监测型。

监测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上, 监测型防火墙能够有效地判断出各层中的非法入侵。

四、防火墙的选择

防火墙的选择标准很多。从实际应用的角度出发, 主要考虑的是价格成本和防护质量。

1. 价格成本。

防火墙产品作为网络系统的安全屏障, 其总拥有成本 (TCO) 不应该超过受保护网络系统可能遭受最大损失的成本。

2. 防火墙本身是安全的。

作为信息系统安全产品, 防火墙本身也应该保证安全, 不给外部侵入者以可乘之机。如果外部进攻者能够轻易地绕过防火墙进入系统内部, 网络系统也就没有任何安全性可言了。