5.5.1典型防火墻產(chǎn)品1、國內(nèi)個人防火墻軟件中經(jīng)典之作天網(wǎng)防火墻個人防火墻軟件在防火墻中是最低廉、最簡單易用、最易于安裝的一種面向個人用戶的防御工具。盡管這樣但個人防火墻軟件仍可以有效地防御大多數(shù)黑客的攻擊。下面介紹一下天網(wǎng)個人防火墻軟件，它是國內(nèi)個人防火墻軟件的代表之一。天網(wǎng)個人防火墻是國內(nèi)一款頗為有效的防火墻，它是由天網(wǎng)安全實驗室推出的。適用平臺：Windows98、Windows2000。對于初級用戶幾乎不用做任何專業(yè)設(shè)置，就可以有效的發(fā)揮作用。對于高級用戶，天網(wǎng)允許進行他們自己的設(shè)置。用戶可以對指定的協(xié)議、端口、IP地址進行過濾，完全監(jiān)控所有的網(wǎng)絡(luò)數(shù)據(jù)?？傊炀W(wǎng)防火墻具有訪問控制、身份認證、應用選通、網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）、信息過濾、虛擬專網(wǎng)（VPN）、流量控制、虛擬網(wǎng)橋等功能。天網(wǎng)個人防火墻屬于軟件防火墻系列，因此安裝相當簡單，用戶只需運行安裝文件，按提示操作即可。5.5.1典型防火墻產(chǎn)品1典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件2天網(wǎng)啟動后，縮為一個盾牌形圖標，如圖5.25所示。雙擊該圖標，顯示天網(wǎng)的主界面，如圖5.26所示。圖5.26天網(wǎng)防火墻主界面天網(wǎng)啟動后，縮為一個盾牌形圖標，如圖5.25所示。雙擊該圖標3（1）系統(tǒng)設(shè)置圖5.27系統(tǒng)設(shè)置主界面選中開機后自動啟動防火墻，天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動，否則天網(wǎng)防火墻需要手工啟動。（1）系統(tǒng)設(shè)置4單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。圖5.28天網(wǎng)防火墻提示信息界面如果選擇“確定”按鈕，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復為初始設(shè)置，用戶對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉，例如：將重新設(shè)置在局域網(wǎng)內(nèi)的地址；用戶設(shè)定的天網(wǎng)防火墻預警的聲音也將被取消。單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。5（2）安全級別設(shè)置天網(wǎng)防火墻安全級別分為高、中、低三級，默認的安全等級為中，其中安全設(shè)置如下：低：所有應用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。計算機將完全信任內(nèi)部網(wǎng)絡(luò)，允許內(nèi)部網(wǎng)絡(luò)的機器訪問提供的各種服務（文件、打印機共享服務）但禁止網(wǎng)絡(luò)網(wǎng)絡(luò)的機器訪問這些服務。中：所有應用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務（文件、打印機共享服務），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)路上的機器將無法看到天網(wǎng)防火墻所安裝的主機。高：所有應用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務（文件、打印機共享服務），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)上的機器將無法看到本機。除了是由已經(jīng)被認可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。（2）安全級別設(shè)置6（3）斷開/接通網(wǎng)絡(luò)如果按下斷開/接通網(wǎng)絡(luò)按鈕，那么主機就將完全與網(wǎng)絡(luò)斷開了，就好象拔下了網(wǎng)線一樣。（4）程序規(guī)則設(shè)置天網(wǎng)防火墻具有對應用程序數(shù)據(jù)包進行底層分析攔截功能，可以控制應用程序發(fā)送和接收數(shù)據(jù)包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)個人版防火墻打開的情況下，啟動的任何應用程序只要有通訊數(shù)據(jù)包發(fā)送和接收存在，都會先被天網(wǎng)個人版防火墻先截獲分析，并彈出窗口，如下圖：（3）斷開/接通網(wǎng)絡(luò)7圖5.29天網(wǎng)防火墻信息攔截界面圖5.29天網(wǎng)防火墻信息攔截界面8如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應用程序的數(shù)據(jù)包，并且彈出警告窗口。如果你如果選中以后都允許選項，該程序?qū)⒆约尤氲綉贸绦蛄斜碇?，天網(wǎng)版防火墻將默認不會再攔截該程序發(fā)送和接受的數(shù)據(jù)包，但你可以通過應用程序設(shè)置來設(shè)置更為復雜的數(shù)據(jù)包過濾方式。應用程序規(guī)則的設(shè)置界面如下圖所示：如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應用9單擊該面板每一個程序的選項按鈕即可設(shè)置應用程序的數(shù)據(jù)通過規(guī)則，如下圖:單擊該面板每一個程序的選項按鈕即可設(shè)置應用程序的數(shù)據(jù)通過規(guī)則10可以設(shè)置該應用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設(shè)置端口過濾，讓應用程序只能通過固定幾個通訊端口或者一個通訊端口范圍接收和傳輸數(shù)據(jù)，完成這些設(shè)置后，可以選擇詢問和禁止操作。對應用程序發(fā)送數(shù)據(jù)包的監(jiān)察可以確認系統(tǒng)有那些程序正在進行通訊。通過這種對數(shù)據(jù)包的監(jiān)察防火墻可以監(jiān)視到攻擊者對木馬的控制通訊，防止木馬程序向外網(wǎng)發(fā)送非法信息。可以設(shè)置該應用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設(shè)置11（5）IP規(guī)則設(shè)置IP規(guī)則設(shè)置是針對整個系統(tǒng)的數(shù)據(jù)包監(jiān)測，IP規(guī)則設(shè)置的界面如下：（5）IP規(guī)則設(shè)置12工具欄上的按鈕主要有導入，增加，修改，刪除按鈕等。由于規(guī)則判斷是由上而下的，可以通過點擊調(diào)"規(guī)則上下移動"按鈕調(diào)整規(guī)則的順序"。另外，只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序），當調(diào)整好順序后，可按保存按鈕保存你的修改。當規(guī)則增加或修改后，為了使新設(shè)定的規(guī)則生效，需要單擊"應用新規(guī)則"按鈕。上圖中IP規(guī)則部分列出了規(guī)則的名稱，該規(guī)則所對應的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標志，如果標記為鉤表示改規(guī)則有效，否則表示無效。當你改變某些設(shè)置后，請按保存按鈕，以便使設(shè)置生效。工具欄上的按鈕主要有導入，增加，修改，刪除按鈕等。由于規(guī)則判13天網(wǎng)防火墻本身已經(jīng)默認設(shè)置好了相當?shù)陌踩墑e，一般用戶，并不需要自行更改。例如：防御ICMP攻擊：即別人無法用PING的方法來確定你的存在。但不影響你去PING別人。防御IGMP攻擊：IGMP是用于傳播的一種協(xié)議。TCP數(shù)據(jù)包監(jiān)視：監(jiān)視你機器上所有的TCP端口服務。這是一種對付木馬程序的主要方法。用戶可以通過點擊增加按鈕或選擇一條規(guī)則后按修改按鈕，激活編輯窗口，以便用戶進一步設(shè)置適合自己的規(guī)則。輸入規(guī)則的"名稱"和"說明"，以便于查找和閱讀。天網(wǎng)防火墻本身已經(jīng)默認設(shè)置好了相當?shù)陌踩墑e，一般用戶，并不14典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件15選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。對方的ip地址，用于確定選擇數(shù)據(jù)包從那里來或是去哪里。任何地址是指可以接收從任何地方發(fā)來的數(shù)據(jù)包；局域網(wǎng)網(wǎng)絡(luò)地址是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)；指定地址是用戶輸入的地址，指定的網(wǎng)絡(luò)區(qū)域是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。還要錄入該規(guī)則所對應的協(xié)議，在這里請注意，如果錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。對方的ip地16TCP協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處鍵入該端口，結(jié)束處，鍵入0。如果不想指定任何端口，只要在起始端口都鍵入0。ICMP規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。當一個數(shù)據(jù)包滿足上面的條件時，你就可以對該包采取操作了："通行"指讓該數(shù)據(jù)包可以正常通過；"攔截"指讓該數(shù)據(jù)包無法通過；"繼續(xù)下一規(guī)則"指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條規(guī)則來確定對該包的處理操作。在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并可以設(shè)置"天網(wǎng)防火墻"托盤圖標是否閃爍來"警告"，或發(fā)出聲音來進行提示。TCP協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指17建立規(guī)則的原則：防火墻的規(guī)則檢查順序與列表順序是一致的。如果只想對內(nèi)部網(wǎng)絡(luò)開放某些端口或協(xié)議（但對外部網(wǎng)絡(luò)關(guān)閉）時，可對內(nèi)部網(wǎng)絡(luò)的規(guī)則采用允許"局域網(wǎng)網(wǎng)絡(luò)地址"的某端口、協(xié)議的數(shù)據(jù)包"通行"的規(guī)則，然后用"任何地址"的某端口、協(xié)議的規(guī)則"攔截"，就可實現(xiàn)你的目的。如果錄入了IP協(xié)議的規(guī)則，一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：對方地址為任何地址，動作是“繼續(xù)下一規(guī)則"，否則會其他協(xié)議的規(guī)則會執(zhí)行不到。不要濫用"記錄"功能，一個定義不好的規(guī)則加上記錄功能，會產(chǎn)生大量沒有任何意義的日志，并浪費大量的系統(tǒng)資源。（6）日志查看天網(wǎng)防火墻將會把所有不合規(guī)則的數(shù)據(jù)包攔截并且記錄下來，如果你選擇了監(jiān)視TCP和UDP數(shù)據(jù)包，那你發(fā)送和接受的每個數(shù)據(jù)包也將被記錄下來。每條記錄從左到右分別是發(fā)送/接受時間、發(fā)送IP地址、數(shù)據(jù)包類型、本機通訊端口，對方通訊端口，標志位建立規(guī)則的原則：18典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件19但不是所有的被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)據(jù)包可能由于你設(shè)置的安全級別過高而不符合安全規(guī)則，也會被天網(wǎng)防火墻攔截下來并且報警，如你設(shè)置了禁止別人Ping你的主機，如果有人向你的主機發(fā)送Ping命令，天網(wǎng)防火墻也會把這些發(fā)來的ICMP數(shù)據(jù)攔截下來記錄在日志上并且報警。安全日志可以導出和被刪除，其上面左右兩個按鈕分別為存為文件和清空日志的按鈕。另外，天網(wǎng)網(wǎng)站可以為天網(wǎng)防火墻注冊用戶提供在線的系統(tǒng)檢測服務。如下圖。具體包括的項目和功能如下。但不是所有的被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)20典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件21信息泄露檢測：檢測系統(tǒng)是否存在信息泄漏的危險性。如果你的電腦系統(tǒng)存在安全漏洞，檢測系統(tǒng)會顯示出你的計算機名，甚至會檢測出你的共享文件目錄和打印機的名稱，并把共享目錄里的具體內(nèi)容列出來。系統(tǒng)安全性檢測：如果系統(tǒng)存在漏洞，很可能會成為網(wǎng)絡(luò)上的攻擊對象。該項檢測的目的就是驗證系統(tǒng)是否存在這樣的漏洞。同時還提供了電腦網(wǎng)絡(luò)安全軟件，可以幫助用戶填補這些漏洞。信息泄露檢測：檢測系統(tǒng)是否存在信息泄漏的危險性。如果你的電腦22網(wǎng)絡(luò)端口掃描：掃描你的系統(tǒng)是否存在開放的易于被攻擊的網(wǎng)絡(luò)端口。DdosSlave掃描，在黑客攻擊的事件中，許多接入互聯(lián)網(wǎng)的計算機被黑客利用來作為攻擊其他網(wǎng)站或計算機的跳板（又被稱為“肉雞”）。因為這些主機被黑客植入DDOS攻擊的代理程序，所以黑客控制這些代理程序來對外攻擊。DDOSSlave掃描是檢查您的系統(tǒng)里是否存在這種代理程序。

檢測和掃描服務是通過天網(wǎng)網(wǎng)站對主機進行掃描實現(xiàn)的，完成后將給出一個完整的報告和適當?shù)慕ㄗh。網(wǎng)絡(luò)端口掃描：掃描你的系統(tǒng)是否存在開放的易于被攻擊的網(wǎng)絡(luò)端口23圖5.37天網(wǎng)網(wǎng)站安全漏洞報告界面圖5.37天網(wǎng)網(wǎng)站安全漏洞報告界面242、操作系統(tǒng)集成的防火墻--啟用winxp中自帶的防火墻操作系統(tǒng)WINDOWSXP本身就具有Internet連接防火墻（ICF），即充當網(wǎng)絡(luò)與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)。Internet連接防火墻（ICF）是用來限制哪些信息可以小型辦公網(wǎng)絡(luò)或個人主機進入Internet（外部網(wǎng)絡(luò)）以及從Internet進入小型辦公網(wǎng)絡(luò)或個人主機的一種工具軟件。如果網(wǎng)絡(luò)使用Internet連接共享（ICS）來為多臺計算機提供Internet訪問能力，在共享的Internet連接中啟用ICF。當然ICS和ICF也可以單獨啟用。2、操作系統(tǒng)集成的防火墻--啟用winxp中自帶的防火墻25工作原理：ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標地址。ICF保留了所有源自ICF計算機的通訊表。在單獨的主機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時，才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計算機。源自外部源ICF計算機的通訊（如Internet）將被防火墻阻止，除非在“服務”選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。ICF和個人主機或小型辦公室通訊不應該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻。如果在ICS客戶計算機的網(wǎng)絡(luò)適配器上啟用防火墻，則將干擾該主機和網(wǎng)絡(luò)上的所有其他主機之間的某些通訊。ICF也具有日志功能能夠記錄被許可的和被拒絕的通信。工作原理：26（1）配置防火墻1.啟用或禁用Internet連接防火墻。圖5.38網(wǎng)絡(luò)鄰居屬性窗口（1）配置防火墻27方法：打開“網(wǎng)絡(luò)連接”，單擊要保護的撥號、LAN或高速Internet連接，然后在“本地連接屬性”→“高級”→“設(shè)置”下，選擇下面的一項：

圖5.39防火墻設(shè)置窗口方法：打開“網(wǎng)絡(luò)連接”，單擊要保護的撥號、LAN或高速I28若要啟用Internet連接防火墻，選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)”復選框。若要禁用Internet連接防火墻，請清除此復選框。2）安全日志的設(shè)置

若要啟用Internet連接防火墻，選中“通過限制或阻止來自29當選擇“登錄放棄的數(shù)據(jù)包”復選框時，每次通信嘗試通過防火墻卻被檢測和拒絕的信息都被ICF收集。例如，如果Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請求，如Ping和Tracert命令發(fā)出的請求，防火墻將接收到來自外部網(wǎng)絡(luò)的回顯請求，但防火墻會根據(jù)用戶設(shè)置的規(guī)則放棄回顯的數(shù)據(jù)并記錄日志。Ping和Tracert都采用的是網(wǎng)際消息協(xié)議（ICMP）。通過ICMP協(xié)議，可以使采用IP通訊的主機和路由器報告通信錯誤并交換受限控制和狀態(tài)信息。在下列情況中通常自動發(fā)送ICM消息：IP數(shù)據(jù)報無法訪問目標、IP路由器（網(wǎng)關(guān)）無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報、IP路由器將發(fā)送主機重定向為使用更好的到達目標的路由。啟用或禁用Internet控制消息協(xié)議：打開“網(wǎng)絡(luò)連接”。單擊已啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→→“ICMP設(shè)置”選項卡上，選中希望響應的請求信息類型旁邊的復選框。當選擇“登錄放棄的數(shù)據(jù)包”復選框時，每次通信嘗試通過防火墻卻30圖5.41ICMP設(shè)置窗口圖5.41ICMP設(shè)置窗口31當你選擇“登錄成功的外傳連接”復選框時，將收集每個成功通過防火墻的連接信息。例如，當網(wǎng)絡(luò)上的任何人使用InternetExplorer成功實現(xiàn)與某個網(wǎng)站的連接時，將記入日志。生成的安全日志使用的是W3C擴展日志文件格式。啟用或禁用安全日志記錄選項：打開“網(wǎng)絡(luò)連接”，單擊要在其上啟用Internet連接防火墻（ICF）的連接，然后在“網(wǎng)絡(luò)任務”→“更改該連接的設(shè)置”→“高級”→“設(shè)置”→“安全日志記錄”→“記錄選項”下，選擇下面的一項或兩項：當你選擇“登錄成功的外傳連接”復選框時，將收集每個成功通過防32圖5.42安全日志設(shè)置窗口圖5.42安全日志設(shè)置窗口33若要啟用對不成功的入站連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)包”復選框，否則禁用。更改安全日志文件的路徑和文件名的方法：打開“網(wǎng)絡(luò)連接”，選擇要在其上啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→“安全記錄設(shè)置”→“日志文件選項”中，瀏覽要放置日志文件的位置。

圖5.43修改安全日志窗口若要啟用對不成功的入站連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)34

更改安全日志文件大小需要用戶打開已啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→“安全記錄設(shè)置”→“日志文件選項”“大小限制”中，使用箭頭按鈕調(diào)整大小限制。更改安全日志文件大小需要用戶打開已啟用Internet連接35典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件361）屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)為了防止黑客的侵入，應采用動態(tài)地址映射隔離內(nèi)部網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)。對PIXFirewall做如下配置:nat100

global(outside)1220.294.204.179–91

global(outside)1781）屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)37典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件38典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件39

4）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址由于采用盜用他人的IP地址和MAC地址的方法，可以達到隱藏非法訪問的目的。使用PIXFirewall的ARP命令可以將內(nèi)部主機的IP和它的MAC地址綁定，來防止篡改和盜用IP地址現(xiàn)象。例如，我們要將主機的IP地址00與它的MAC地址00a8.3e41.2bc7綁定，可進行如下配置：arpinside0000a8.3e41.2bc7alias結(jié)合以上四種配置，CiscoPIXFirewall可以實現(xiàn)對IP包過濾，屏蔽內(nèi)部網(wǎng)絡(luò)和對網(wǎng)絡(luò)資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實現(xiàn)了一個完整的防火墻系統(tǒng)。4）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址404、國外著名防火墻產(chǎn)品--CheckPoint公司的FireWall-1網(wǎng)絡(luò)安全防火墻據(jù)IDC的最近統(tǒng)計，CheckPoint公司的FireWall-1防火墻在市場占有率上已超過32%。CheckPointFireWall-1產(chǎn)品包括以下模塊：狀態(tài)檢測模塊（InspectionModule）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；防火墻模塊（FireWallModule）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內(nèi)容安全和多防火墻同步功能；4、國外著名防火墻產(chǎn)品--CheckPoint公司的Fire41管理模塊（ManagementModule）：對一個或多個安全策略執(zhí)行點（安裝了FireWall-1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；連接控制（ConnectControl）：為提供相同服務的多個應用服務器提供負載平衡功能；路由器安全管理模塊（RouterSecurityManagement）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；

FireWall-1采用CheckPoint公司的狀態(tài)檢測（StatefulInspection）專利技術(shù)，以不同的服務區(qū)分應用類型。FireWall-1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預定義好的規(guī)則，實現(xiàn)安全策略管理。管理模塊（ManagementModule）：對一個或多個42圖5.44FireWall-1網(wǎng)絡(luò)結(jié)構(gòu)示意圖圖5.44FireWall-1網(wǎng)絡(luò)結(jié)構(gòu)示意圖43狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall-1可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應用程序透明，不需要針對每個服務設(shè)置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。通過策略編輯器制定的規(guī)則存為一個用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。CheckPoint采用了OPSEC了。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。OPSEC把FireWall-1嵌入到已有的網(wǎng)絡(luò)平臺（如Unix、NT服務器、路由器、交換機以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall-1中，提供開放的、可擴展的安全框架。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包44FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)則）。管理員通過管理主機管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。他們之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安45遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部網(wǎng)絡(luò)資源。在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內(nèi)部服務器的用戶進行身份認證。認證服務集成在安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。

FireWall-1提供三種認證方法：用戶認證（UserAuthentication），針對特定服務提供的基于用戶的透明的身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN；客戶機認證（ClientAuthentication），基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制，客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用服務器；會話認證（SessionAuthentication）：提供基于服務會話的的透明認證，與IP無關(guān)，采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務時必須單獨認證。遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問46FireWall-1支持三種不同的NAT模式：靜態(tài)源地址NAT、目的地址NAT：動態(tài)地址NAT。FireWall-1的連接控制模塊提供了負載平衡功能，在提供相同服務的多個應用服務器之間實現(xiàn)負載分擔，目前FireWall-1支持的負載均衡算法：ServerLoad（由服務器提供負載均衡算法，需要在應用服務器端安裝負載測量引擎）；RoundTrip（利用ping命令測定防火墻到各個應用服務器之間的循回時間，選用循回時間最小者響應用戶請求）；RoundRobin（根據(jù)記錄表中的情況，簡單地指定下一個應用服務器響應）；Random（隨機選取應用服務器響應）；Domain（按照域名最近的原則，指定最近的應用服務器響應）。FireWall-1支持三種不同的NAT模式：靜態(tài)源地址NA475.5.2防火墻的發(fā)展趨勢目前，防火墻技術(shù)隨著新技術(shù)的發(fā)展，綜合使用包過濾技術(shù)、代理服務技術(shù)和其他一些新技術(shù)的防火墻真是今后防火墻發(fā)展的趨勢。目前出現(xiàn)幾個新型的防火墻技術(shù)：1、包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。比如動態(tài)包過濾系統(tǒng)，在CheckPointFirewall一1中的包過濾規(guī)則可由路由器靈活、快速地設(shè)置。一個輸出的UDP數(shù)據(jù)包可以引起對應的允許應答UDP創(chuàng)立一個臨時的包過濾規(guī)則，允許其對應的UDP包進入內(nèi)部網(wǎng)。2、從外部向內(nèi)看起來像是代理服務，而由內(nèi)部向外看像一個包過濾系統(tǒng)的綜合性防火墻結(jié)構(gòu)。這些產(chǎn)品通過對大量內(nèi)部網(wǎng)絡(luò)的外向連接請求采用計賬系統(tǒng)和包的批次修改方式，對防火墻的內(nèi)外提供相關(guān)的偽像。5.5.2防火墻的發(fā)展趨勢483、分布式防火墻技術(shù)。新型的分布式防火墻由中心定義策略，但由各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。實現(xiàn)的三個主要步驟：確定哪些連接可以被允許或那些連接被禁止的策略語言、系統(tǒng)管理工具和IP安全協(xié)議。策略語言有很多種，如KeyNote就是一種通用的策略語言。實現(xiàn)分布式防火墻的關(guān)鍵是標志內(nèi)部的主機，不應該再采用傳統(tǒng)防火墻所用的對物理上的端口進行標志的辦法。以IP地址來標志內(nèi)部主機是一種可供選擇的方法，但安全性不高，所以更傾向于使用IP安全協(xié)議中的密碼憑證來標志各臺主機，這種新技術(shù)為主機提供了可靠的、唯一的標志，并且與網(wǎng)絡(luò)的物理拓撲無關(guān)。分布式防火墻服務器系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護的所有主機，應該注意的是這里所指的防火墻并不是傳統(tǒng)意義上的物理防火墻，而是邏輯上的分布式防火墻。IP安全協(xié)議是一種對TCP/IP協(xié)議族的網(wǎng)絡(luò)層進行加密保護的機制，包括AH和ESP，分別對IP包頭和整個IP包進行認證，可以防止各類主機攻擊。3、分布式防火墻技術(shù)。新型的分布式防火墻由中心定義策略，但由49分布式防火墻的工作方式。首先由制定防火墻接入控制策略的中心通過編譯器將策略語言訴描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件；然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺內(nèi)部主機；內(nèi)部主機將從兩方面來判定是否接受收到的包，一方面是根據(jù)IP安全協(xié)議，另一方面是根據(jù)的策略文件。分布式防火墻同樣具有普通防火墻的功能：應用訪問控制、攻擊的防御、Internet訪問控制、網(wǎng)絡(luò)狀態(tài)監(jiān)控、日志管理另外，需要注意的是目前正在設(shè)計新的IP協(xié)議(也被稱為IPversion6)。IP協(xié)議的變化將對防火墻的建立與運行產(chǎn)生深刻的影響。分布式防火墻的工作方式。首先由制定防火墻接入控制策略的中心通50遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部網(wǎng)絡(luò)資源。在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內(nèi)部服務器的用戶進行身份認證。認證服務集成在安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。

FireWall-1提供三種認證方法：用戶認證（UserAuthentication），針對特定服務提供的基于用戶的透明的身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN；客戶機認證（ClientAuthentication），基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制，客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用服務器；會話認證（SessionAuthentication）：提供基于服務會話的的透明認證，與IP無關(guān)，采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務時必須單獨認證。遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問51總的來說，我們認為防火墻產(chǎn)品正向以下趨勢發(fā)展：(1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向分布式防火墻結(jié)構(gòu)發(fā)展。(2)過濾深度的不斷加強，從目前的地址、服務過濾，發(fā)展到URL頁面過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并具有抗病毒和掃除病毒的功能。(3)由于加密需求越來越強，安全協(xié)議將成為下一代防火墻技術(shù)開發(fā)的重點。(4)對網(wǎng)絡(luò)攻擊的檢測和告警將成為防火墻的重要功能。同時也需要安全管理工具不斷完善，特別是日志分析工具、預警識別、檢測分析等將成為防火墻技術(shù)中必不可少的組成部分。綜上所述，未來防火墻技術(shù)將全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應用程序的安全、用戶的安全、數(shù)據(jù)的安全這五大方面。當前國內(nèi)也已經(jīng)自行開展了一些研究工作，并推出了相應的防火墻產(chǎn)品。當然，我國防火墻技術(shù)還處在一個發(fā)展階段，還有許多問題有待解決，因此密切關(guān)注防火墻技術(shù)的最新發(fā)展，對我國信息產(chǎn)業(yè)健康安全的發(fā)展具有重要的意義?？偟膩碚f，我們認為防火墻產(chǎn)品正向以下趨勢發(fā)展：52典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件53典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件54演講完畢，謝謝觀看！演講完畢，謝謝觀看！555.5.1典型防火墻產(chǎn)品1、國內(nèi)個人防火墻軟件中經(jīng)典之作天網(wǎng)防火墻個人防火墻軟件在防火墻中是最低廉、最簡單易用、最易于安裝的一種面向個人用戶的防御工具。盡管這樣但個人防火墻軟件仍可以有效地防御大多數(shù)黑客的攻擊。下面介紹一下天網(wǎng)個人防火墻軟件，它是國內(nèi)個人防火墻軟件的代表之一。天網(wǎng)個人防火墻是國內(nèi)一款頗為有效的防火墻，它是由天網(wǎng)安全實驗室推出的。適用平臺：Windows98、Windows2000。對于初級用戶幾乎不用做任何專業(yè)設(shè)置，就可以有效的發(fā)揮作用。對于高級用戶，天網(wǎng)允許進行他們自己的設(shè)置。用戶可以對指定的協(xié)議、端口、IP地址進行過濾，完全監(jiān)控所有的網(wǎng)絡(luò)數(shù)據(jù)?？傊炀W(wǎng)防火墻具有訪問控制、身份認證、應用選通、網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）、信息過濾、虛擬專網(wǎng)（VPN）、流量控制、虛擬網(wǎng)橋等功能。天網(wǎng)個人防火墻屬于軟件防火墻系列，因此安裝相當簡單，用戶只需運行安裝文件，按提示操作即可。5.5.1典型防火墻產(chǎn)品56典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件57天網(wǎng)啟動后，縮為一個盾牌形圖標，如圖5.25所示。雙擊該圖標，顯示天網(wǎng)的主界面，如圖5.26所示。圖5.26天網(wǎng)防火墻主界面天網(wǎng)啟動后，縮為一個盾牌形圖標，如圖5.25所示。雙擊該圖標58（1）系統(tǒng)設(shè)置圖5.27系統(tǒng)設(shè)置主界面選中開機后自動啟動防火墻，天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動，否則天網(wǎng)防火墻需要手工啟動。（1）系統(tǒng)設(shè)置59單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。圖5.28天網(wǎng)防火墻提示信息界面如果選擇“確定”按鈕，天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復為初始設(shè)置，用戶對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉，例如：將重新設(shè)置在局域網(wǎng)內(nèi)的地址；用戶設(shè)定的天網(wǎng)防火墻預警的聲音也將被取消。單擊“防火墻自定義規(guī)則重置”按鈕，防火墻將彈出如下窗口。60（2）安全級別設(shè)置天網(wǎng)防火墻安全級別分為高、中、低三級，默認的安全等級為中，其中安全設(shè)置如下：低：所有應用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。計算機將完全信任內(nèi)部網(wǎng)絡(luò)，允許內(nèi)部網(wǎng)絡(luò)的機器訪問提供的各種服務（文件、打印機共享服務）但禁止網(wǎng)絡(luò)網(wǎng)絡(luò)的機器訪問這些服務。中：所有應用程序初次訪問網(wǎng)絡(luò)時都將被詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務（文件、打印機共享服務），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)路上的機器將無法看到天網(wǎng)防火墻所安裝的主機。高：所有應用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應規(guī)則運作。禁止內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的機器訪問提供的網(wǎng)絡(luò)共享服務（文件、打印機共享服務），內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)上的機器將無法看到本機。除了是由已經(jīng)被認可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。（2）安全級別設(shè)置61（3）斷開/接通網(wǎng)絡(luò)如果按下斷開/接通網(wǎng)絡(luò)按鈕，那么主機就將完全與網(wǎng)絡(luò)斷開了，就好象拔下了網(wǎng)線一樣。（4）程序規(guī)則設(shè)置天網(wǎng)防火墻具有對應用程序數(shù)據(jù)包進行底層分析攔截功能，可以控制應用程序發(fā)送和接收數(shù)據(jù)包的類型、通訊端口，并且決定攔截還是通過。在天網(wǎng)個人版防火墻打開的情況下，啟動的任何應用程序只要有通訊數(shù)據(jù)包發(fā)送和接收存在，都會先被天網(wǎng)個人版防火墻先截獲分析，并彈出窗口，如下圖：（3）斷開/接通網(wǎng)絡(luò)62圖5.29天網(wǎng)防火墻信息攔截界面圖5.29天網(wǎng)防火墻信息攔截界面63如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應用程序的數(shù)據(jù)包，并且彈出警告窗口。如果你如果選中以后都允許選項，該程序?qū)⒆约尤氲綉贸绦蛄斜碇校炀W(wǎng)版防火墻將默認不會再攔截該程序發(fā)送和接受的數(shù)據(jù)包，但你可以通過應用程序設(shè)置來設(shè)置更為復雜的數(shù)據(jù)包過濾方式。應用程序規(guī)則的設(shè)置界面如下圖所示：如果你不選中以后都允許，那么天網(wǎng)防火墻在以后會繼續(xù)截獲該應用64單擊該面板每一個程序的選項按鈕即可設(shè)置應用程序的數(shù)據(jù)通過規(guī)則，如下圖:單擊該面板每一個程序的選項按鈕即可設(shè)置應用程序的數(shù)據(jù)通過規(guī)則65可以設(shè)置該應用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設(shè)置端口過濾，讓應用程序只能通過固定幾個通訊端口或者一個通訊端口范圍接收和傳輸數(shù)據(jù)，完成這些設(shè)置后，可以選擇詢問和禁止操作。對應用程序發(fā)送數(shù)據(jù)包的監(jiān)察可以確認系統(tǒng)有那些程序正在進行通訊。通過這種對數(shù)據(jù)包的監(jiān)察防火墻可以監(jiān)視到攻擊者對木馬的控制通訊，防止木馬程序向外網(wǎng)發(fā)送非法信息?？梢栽O(shè)置該應用程序禁止使用TCP或者UDP協(xié)議傳輸，以及設(shè)置66（5）IP規(guī)則設(shè)置IP規(guī)則設(shè)置是針對整個系統(tǒng)的數(shù)據(jù)包監(jiān)測，IP規(guī)則設(shè)置的界面如下：（5）IP規(guī)則設(shè)置67工具欄上的按鈕主要有導入，增加，修改，刪除按鈕等。由于規(guī)則判斷是由上而下的，可以通過點擊調(diào)"規(guī)則上下移動"按鈕調(diào)整規(guī)則的順序"。另外，只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序），當調(diào)整好順序后，可按保存按鈕保存你的修改。當規(guī)則增加或修改后，為了使新設(shè)定的規(guī)則生效，需要單擊"應用新規(guī)則"按鈕。上圖中IP規(guī)則部分列出了規(guī)則的名稱，該規(guī)則所對應的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標志，如果標記為鉤表示改規(guī)則有效，否則表示無效。當你改變某些設(shè)置后，請按保存按鈕，以便使設(shè)置生效。工具欄上的按鈕主要有導入，增加，修改，刪除按鈕等。由于規(guī)則判68天網(wǎng)防火墻本身已經(jīng)默認設(shè)置好了相當?shù)陌踩墑e，一般用戶，并不需要自行更改。例如：防御ICMP攻擊：即別人無法用PING的方法來確定你的存在。但不影響你去PING別人。防御IGMP攻擊：IGMP是用于傳播的一種協(xié)議。TCP數(shù)據(jù)包監(jiān)視：監(jiān)視你機器上所有的TCP端口服務。這是一種對付木馬程序的主要方法。用戶可以通過點擊增加按鈕或選擇一條規(guī)則后按修改按鈕，激活編輯窗口，以便用戶進一步設(shè)置適合自己的規(guī)則。輸入規(guī)則的"名稱"和"說明"，以便于查找和閱讀。天網(wǎng)防火墻本身已經(jīng)默認設(shè)置好了相當?shù)陌踩墑e，一般用戶，并不69典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件70選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。對方的ip地址，用于確定選擇數(shù)據(jù)包從那里來或是去哪里。任何地址是指可以接收從任何地方發(fā)來的數(shù)據(jù)包；局域網(wǎng)網(wǎng)絡(luò)地址是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng)；指定地址是用戶輸入的地址，指定的網(wǎng)絡(luò)區(qū)域是你可以自己輸入一個網(wǎng)絡(luò)和掩碼。還要錄入該規(guī)則所對應的協(xié)議，在這里請注意，如果錄入了IP協(xié)議的規(guī)則，一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：“對方地址：任何地址；動作：繼續(xù)下一規(guī)則”。選擇該規(guī)則是對進入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效。對方的ip地71TCP協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指定一個端口，那么可以在起始端口處鍵入該端口，結(jié)束處，鍵入0。如果不想指定任何端口，只要在起始端口都鍵入0。ICMP規(guī)則要填入類型和代碼。如果輸入255，表示任何類型和代碼都符合本規(guī)則。當一個數(shù)據(jù)包滿足上面的條件時，你就可以對該包采取操作了："通行"指讓該數(shù)據(jù)包可以正常通過；"攔截"指讓該數(shù)據(jù)包無法通過；"繼續(xù)下一規(guī)則"指不對該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條規(guī)則來確定對該包的處理操作。在執(zhí)行這些規(guī)則的同時，還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容，并可以設(shè)置"天網(wǎng)防火墻"托盤圖標是否閃爍來"警告"，或發(fā)出聲音來進行提示。TCP協(xié)議要填入本機的端口范圍和對方的端口范圍，如果只是指72建立規(guī)則的原則：防火墻的規(guī)則檢查順序與列表順序是一致的。如果只想對內(nèi)部網(wǎng)絡(luò)開放某些端口或協(xié)議（但對外部網(wǎng)絡(luò)關(guān)閉）時，可對內(nèi)部網(wǎng)絡(luò)的規(guī)則采用允許"局域網(wǎng)網(wǎng)絡(luò)地址"的某端口、協(xié)議的數(shù)據(jù)包"通行"的規(guī)則，然后用"任何地址"的某端口、協(xié)議的規(guī)則"攔截"，就可實現(xiàn)你的目的。如果錄入了IP協(xié)議的規(guī)則，一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是：對方地址為任何地址，動作是“繼續(xù)下一規(guī)則"，否則會其他協(xié)議的規(guī)則會執(zhí)行不到。不要濫用"記錄"功能，一個定義不好的規(guī)則加上記錄功能，會產(chǎn)生大量沒有任何意義的日志，并浪費大量的系統(tǒng)資源。（6）日志查看天網(wǎng)防火墻將會把所有不合規(guī)則的數(shù)據(jù)包攔截并且記錄下來，如果你選擇了監(jiān)視TCP和UDP數(shù)據(jù)包，那你發(fā)送和接受的每個數(shù)據(jù)包也將被記錄下來。每條記錄從左到右分別是發(fā)送/接受時間、發(fā)送IP地址、數(shù)據(jù)包類型、本機通訊端口，對方通訊端口，標志位建立規(guī)則的原則：73典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件74但不是所有的被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)據(jù)包可能由于你設(shè)置的安全級別過高而不符合安全規(guī)則，也會被天網(wǎng)防火墻攔截下來并且報警，如你設(shè)置了禁止別人Ping你的主機，如果有人向你的主機發(fā)送Ping命令，天網(wǎng)防火墻也會把這些發(fā)來的ICMP數(shù)據(jù)攔截下來記錄在日志上并且報警。安全日志可以導出和被刪除，其上面左右兩個按鈕分別為存為文件和清空日志的按鈕。另外，天網(wǎng)網(wǎng)站可以為天網(wǎng)防火墻注冊用戶提供在線的系統(tǒng)檢測服務。如下圖。具體包括的項目和功能如下。但不是所有的被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)75典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件76信息泄露檢測：檢測系統(tǒng)是否存在信息泄漏的危險性。如果你的電腦系統(tǒng)存在安全漏洞，檢測系統(tǒng)會顯示出你的計算機名，甚至會檢測出你的共享文件目錄和打印機的名稱，并把共享目錄里的具體內(nèi)容列出來。系統(tǒng)安全性檢測：如果系統(tǒng)存在漏洞，很可能會成為網(wǎng)絡(luò)上的攻擊對象。該項檢測的目的就是驗證系統(tǒng)是否存在這樣的漏洞。同時還提供了電腦網(wǎng)絡(luò)安全軟件，可以幫助用戶填補這些漏洞。信息泄露檢測：檢測系統(tǒng)是否存在信息泄漏的危險性。如果你的電腦77網(wǎng)絡(luò)端口掃描：掃描你的系統(tǒng)是否存在開放的易于被攻擊的網(wǎng)絡(luò)端口。DdosSlave掃描，在黑客攻擊的事件中，許多接入互聯(lián)網(wǎng)的計算機被黑客利用來作為攻擊其他網(wǎng)站或計算機的跳板（又被稱為“肉雞”）。因為這些主機被黑客植入DDOS攻擊的代理程序，所以黑客控制這些代理程序來對外攻擊。DDOSSlave掃描是檢查您的系統(tǒng)里是否存在這種代理程序。

檢測和掃描服務是通過天網(wǎng)網(wǎng)站對主機進行掃描實現(xiàn)的，完成后將給出一個完整的報告和適當?shù)慕ㄗh。網(wǎng)絡(luò)端口掃描：掃描你的系統(tǒng)是否存在開放的易于被攻擊的網(wǎng)絡(luò)端口78圖5.37天網(wǎng)網(wǎng)站安全漏洞報告界面圖5.37天網(wǎng)網(wǎng)站安全漏洞報告界面792、操作系統(tǒng)集成的防火墻--啟用winxp中自帶的防火墻操作系統(tǒng)WINDOWSXP本身就具有Internet連接防火墻（ICF），即充當網(wǎng)絡(luò)與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)。Internet連接防火墻（ICF）是用來限制哪些信息可以小型辦公網(wǎng)絡(luò)或個人主機進入Internet（外部網(wǎng)絡(luò)）以及從Internet進入小型辦公網(wǎng)絡(luò)或個人主機的一種工具軟件。如果網(wǎng)絡(luò)使用Internet連接共享（ICS）來為多臺計算機提供Internet訪問能力，在共享的Internet連接中啟用ICF。當然ICS和ICF也可以單獨啟用。2、操作系統(tǒng)集成的防火墻--啟用winxp中自帶的防火墻80工作原理：ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標地址。ICF保留了所有源自ICF計算機的通訊表。在單獨的主機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時，才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計算機。源自外部源ICF計算機的通訊（如Internet）將被防火墻阻止，除非在“服務”選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。ICF和個人主機或小型辦公室通訊不應該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻。如果在ICS客戶計算機的網(wǎng)絡(luò)適配器上啟用防火墻，則將干擾該主機和網(wǎng)絡(luò)上的所有其他主機之間的某些通訊。ICF也具有日志功能能夠記錄被許可的和被拒絕的通信。工作原理：81（1）配置防火墻1.啟用或禁用Internet連接防火墻。圖5.38網(wǎng)絡(luò)鄰居屬性窗口（1）配置防火墻82方法：打開“網(wǎng)絡(luò)連接”，單擊要保護的撥號、LAN或高速Internet連接，然后在“本地連接屬性”→“高級”→“設(shè)置”下，選擇下面的一項：

圖5.39防火墻設(shè)置窗口方法：打開“網(wǎng)絡(luò)連接”，單擊要保護的撥號、LAN或高速I83若要啟用Internet連接防火墻，選中“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)”復選框。若要禁用Internet連接防火墻，請清除此復選框。2）安全日志的設(shè)置

若要啟用Internet連接防火墻，選中“通過限制或阻止來自84當選擇“登錄放棄的數(shù)據(jù)包”復選框時，每次通信嘗試通過防火墻卻被檢測和拒絕的信息都被ICF收集。例如，如果Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請求，如Ping和Tracert命令發(fā)出的請求，防火墻將接收到來自外部網(wǎng)絡(luò)的回顯請求，但防火墻會根據(jù)用戶設(shè)置的規(guī)則放棄回顯的數(shù)據(jù)并記錄日志。Ping和Tracert都采用的是網(wǎng)際消息協(xié)議（ICMP）。通過ICMP協(xié)議，可以使采用IP通訊的主機和路由器報告通信錯誤并交換受限控制和狀態(tài)信息。在下列情況中通常自動發(fā)送ICM消息：IP數(shù)據(jù)報無法訪問目標、IP路由器（網(wǎng)關(guān)）無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報、IP路由器將發(fā)送主機重定向為使用更好的到達目標的路由。啟用或禁用Internet控制消息協(xié)議：打開“網(wǎng)絡(luò)連接”。單擊已啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→→“ICMP設(shè)置”選項卡上，選中希望響應的請求信息類型旁邊的復選框。當選擇“登錄放棄的數(shù)據(jù)包”復選框時，每次通信嘗試通過防火墻卻85圖5.41ICMP設(shè)置窗口圖5.41ICMP設(shè)置窗口86當你選擇“登錄成功的外傳連接”復選框時，將收集每個成功通過防火墻的連接信息。例如，當網(wǎng)絡(luò)上的任何人使用InternetExplorer成功實現(xiàn)與某個網(wǎng)站的連接時，將記入日志。生成的安全日志使用的是W3C擴展日志文件格式。啟用或禁用安全日志記錄選項：打開“網(wǎng)絡(luò)連接”，單擊要在其上啟用Internet連接防火墻（ICF）的連接，然后在“網(wǎng)絡(luò)任務”→“更改該連接的設(shè)置”→“高級”→“設(shè)置”→“安全日志記錄”→“記錄選項”下，選擇下面的一項或兩項：當你選擇“登錄成功的外傳連接”復選框時，將收集每個成功通過防87圖5.42安全日志設(shè)置窗口圖5.42安全日志設(shè)置窗口88若要啟用對不成功的入站連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)包”復選框，否則禁用。更改安全日志文件的路徑和文件名的方法：打開“網(wǎng)絡(luò)連接”，選擇要在其上啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→“安全記錄設(shè)置”→“日志文件選項”中，瀏覽要放置日志文件的位置。

圖5.43修改安全日志窗口若要啟用對不成功的入站連接嘗試的記錄，請選中“記錄丟棄的數(shù)據(jù)89

更改安全日志文件大小需要用戶打開已啟用Internet連接防火墻的連接，然后在“本地連接屬性”→“高級”→“設(shè)置”→“高級”→“安全記錄設(shè)置”→“日志文件選項”“大小限制”中，使用箭頭按鈕調(diào)整大小限制。更改安全日志文件大小需要用戶打開已啟用Internet連接90典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件911）屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)為了防止黑客的侵入，應采用動態(tài)地址映射隔離內(nèi)部網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)。對PIXFirewall做如下配置:nat100

global(outside)1220.294.204.179–91

global(outside)1781）屏蔽內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)92典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件93典型防火墻產(chǎn)品與防火墻技術(shù)發(fā)展課件94

4）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址由于采用盜用他人的IP地址和MAC地址的方法，可以達到隱藏非法訪問的目的。使用PIXFirewall的ARP命令可以將內(nèi)部主機的IP和它的MAC地址綁定，來防止篡改和盜用IP地址現(xiàn)象。例如，我們要將主機的IP地址00與它的MAC地址00a8.3e41.2bc7綁定，可進行如下配置：arpinside0000a8.3e41.2bc7alias結(jié)合以上四種配置，CiscoPIXFirewall可以實現(xiàn)對IP包過濾，屏蔽內(nèi)部網(wǎng)絡(luò)和對網(wǎng)絡(luò)資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實現(xiàn)了一個完整的防火墻系統(tǒng)。4）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址954、國外著名防火墻產(chǎn)品--CheckPoint公司的FireWall-1網(wǎng)絡(luò)安全防火墻據(jù)IDC的最近統(tǒng)計，CheckPoint公司的FireWall-1防火墻在市場占有率上已超過32%。CheckPointFireWall-1產(chǎn)品包括以下模塊：狀態(tài)檢測模塊（InspectionModule）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；防火墻模塊（FireWallModule）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內(nèi)容安全和多防火墻同步功能；4、國外著名防火墻產(chǎn)品--CheckPoint公司的Fire96管理模塊（ManagementModule）：對一個或多個安全策略執(zhí)行點（安裝了FireWall-1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；連接控制（ConnectControl）：為提供相同服務的多個應用服務器提供負載平衡功能；路由器安全管理模塊（RouterSecurityManagement）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；

FireWall-1采用CheckPoint公司的狀態(tài)檢測（StatefulInspection）專利技術(shù)，以不同的服務區(qū)分應用類型。FireWall-1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預定義好的規(guī)則，實現(xiàn)安全策略管理。管理模塊（ManagementModule）：對一個或多個97圖5.44FireWall-1網(wǎng)絡(luò)結(jié)構(gòu)示意圖圖5.44FireWall-1網(wǎng)絡(luò)結(jié)構(gòu)示意圖98狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall-1可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應用程序透明，不需要針對每個服務設(shè)置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。通過策略編輯器制定的規(guī)則存為一個用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。CheckPoint采用了OPSEC了。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。OPSEC把FireWall-1嵌入到已有的網(wǎng)絡(luò)平臺（如Unix、NT服務器、路由器、交換機以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall-1中，提供開放的、可擴展的安全框架。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包99FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)則）。管理員通過管理主機管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。他們之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。FireWall-1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安100遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問內(nèi)部網(wǎng)絡(luò)資源。在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內(nèi)部服務器的用戶進行身份認證。認證服務集成在安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。

FireWall-1提供三種認證方法：用戶認證（UserAuthentication），針對特定服務提供的基于用戶的透明的身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN；客戶機認證（ClientAuthentication），基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制，客戶機認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用服務器；會話認證（SessionAuthentication）：提供基于服務會話的的透明認證，與IP無關(guān)，采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務時必須單獨認證。遠程用戶和撥號用戶可以經(jīng)過FireWall-1的認證后，訪問101FireWall-1支持三種不同的NAT模式：靜態(tài)源地址NAT、目的地址NAT：動態(tài)地址NAT。FireWall-1的連接控制模塊提供了負載平衡功能，在提供相同服務的多個應用服務器之間實現(xiàn)負載分擔，目前FireWall-1支