防火墻理論與實例講解第一頁，共六十五頁，編輯于2023年，星期五防火墻的工作原理

根據(jù)防范的方式和側(cè)重點的不同,防火墻可分為三大類:

1.數(shù)據(jù)包過濾

數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡層對數(shù)據(jù)包進行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯,被稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。網(wǎng)絡安全培訓中心第二頁，共六十五頁，編輯于2023年，星期五內(nèi)部網(wǎng)絡外部網(wǎng)絡應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層數(shù)據(jù)包過濾防火墻實現(xiàn)原理圖網(wǎng)絡安全培訓中心第三頁，共六十五頁，編輯于2023年，星期五藍盾防火墻過濾規(guī)則網(wǎng)絡安全培訓中心第四頁，共六十五頁，編輯于2023年，星期五2.應用級網(wǎng)關(guān)

應用級網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計,形成報告。實際中的應用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。內(nèi)部網(wǎng)絡外部網(wǎng)絡應用層表示層會話層轉(zhuǎn)輸層網(wǎng)絡層鏈路層物理層應用網(wǎng)防火墻實現(xiàn)原理圖第五頁，共六十五頁，編輯于2023年，星期五3.代理服務

代理服務(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸于應用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù),其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現(xiàn),外部計算機的網(wǎng)絡鏈路只能到達代理服務器,從而起到了隔離防火墻內(nèi)外網(wǎng)絡安全培訓中心第六頁，共六十五頁，編輯于2023年，星期五計算機系統(tǒng)的作用。此外,代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記,形成報告,同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報,并保留攻擊痕跡。防火墻代理客戶代理訪問控制服務器代理客戶服務器請求轉(zhuǎn)發(fā)應答請求轉(zhuǎn)發(fā)應答代理服務防火墻應用數(shù)據(jù)控制及傳輸過程圖網(wǎng)絡安全培訓中心第七頁，共六十五頁，編輯于2023年，星期五一、一般防火墻的極限性

我國幾大知名網(wǎng)站先后被黑客攻破，充分暴露了一般防火墻存在的極限性--就是“治標不治本”，對新型攻擊和變種攻擊無法防御，黑客只要改變攻擊方式或擁有了新的工具，就有一批網(wǎng)站要遭其黑手。藍盾安全小組第八頁，共六十五頁，編輯于2023年，星期五二、新一代防御技術(shù)--藍盾智能防御

藍盾防火墻突破了傳統(tǒng)的被動防御觀念，從底層做起，自行研制開發(fā)出了一套全新的智能防御核心，它不僅能攔截目前的4000多種黑客攻擊，對各種新型攻擊和“變種攻擊”也能自動制定防御策略進行有效防御，徹底解決了一般防火墻對新型攻擊無法防御的問題。同時藍盾防火墻還具備有反端口掃描功能和168位的高加密技術(shù)（美國嚴禁出口）。藍盾安全小組第九頁，共六十五頁，編輯于2023年，星期五藍盾智能技術(shù)主要有以下幾點▉智能防御核心▉自動反掃描▉自動告警藍盾安全小組第十頁，共六十五頁，編輯于2023年，星期五

1、智能防御核心（圖7）

藍盾防火墻系統(tǒng)有一個獨特的智能防御核心，能自動統(tǒng)計、分析通過防火墻的各種連接數(shù)據(jù)，探測出攻擊者，立即斷開與該主機的任何連接，保護內(nèi)網(wǎng)所有服務器和主機的安全。智能分析安全探測器防御策略制定網(wǎng)絡核心藍盾安全小組第十一頁，共六十五頁，編輯于2023年，星期五2、自動反掃描技術(shù)

掃描是“黑客攻擊”的前奏，攻擊前，“黑客”一般會先掃描一下目標主機打開的服務端口，然后再進行針對性攻擊。藍盾防火墻在內(nèi)核設計中引入自動反掃描機制，當“黑客”用掃描器掃描防火墻或防火墻保護的服務器時，將掃不出任何服務端口，使“黑客”無從下手。藍盾安全小組第十二頁，共六十五頁，編輯于2023年，星期五（圖8）藍盾安全小組第十三頁，共六十五頁，編輯于2023年，星期五3、自動告警

當你的服務器遭到掃描、攻擊時，防火墻系統(tǒng)會自動向你提示告警。電子郵件、手機、Bp機

藍盾安全小組第十四頁，共六十五頁，編輯于2023年，星期五七、藍盾系統(tǒng)構(gòu)架●軟硬一體化設計●自行開發(fā)的操作平臺●美觀、易用的WEB管理界面藍盾安全小組第十五頁，共六十五頁，編輯于2023年，星期五1、軟硬一體化設計

充分發(fā)揮硬件的性能，運行效率高；系統(tǒng)更加可靠，安裝方便。

藍盾安全小組第十六頁，共六十五頁，編輯于2023年，星期五2、自行開發(fā)的操作平臺

現(xiàn)在商業(yè)操作平臺如Win98、NT、UNIX、LINUX存在著不少漏洞，不斷被黑客在互聯(lián)網(wǎng)上公開、傳播，作為攻擊的目標。藍盾從底層做起，自行開發(fā)出一套防火墻專用平臺，對于與流量關(guān)系密切的模塊進行優(yōu)化處理，做到了：

●高安全性●高穩(wěn)定性●高效率

藍盾安全小組第十七頁，共六十五頁，編輯于2023年，星期五3、美觀、易用的WEB界面基于WWW管理界面的系統(tǒng)設置，管理員可以通過由HTML、組成的圖形界面對系統(tǒng)進行管理。把復雜繁多的系統(tǒng)功能設置變?yōu)橹庇^易用的WWW界面，提高了系統(tǒng)的可用性。藍盾安全小組第十八頁，共六十五頁，編輯于2023年，星期五三、藍盾防火墻系統(tǒng)功能特點

(一)、技術(shù)先進

●智能防御

●端口反掃描

●高保密度VPN(168bit)●防外又防內(nèi)的解決方案藍盾安全小組第十九頁，共六十五頁，編輯于2023年，星期五（二）、實用性強●分組代理計費功能

●URL過濾功能

●地址轉(zhuǎn)換功能(NAT)●MAC綁定功能●物理斷開功能

藍盾安全小組第二十頁，共六十五頁，編輯于2023年，星期五（一）、技術(shù)先進

●智能防御●端口反掃描●高保密度VPN(168bit)

虛擬專網(wǎng)技術(shù)是指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機構(gòu)就可以互相傳遞信息。這樣使用VPN可以節(jié)約成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處。藍盾的加密技術(shù)高達168bit(3DES)，該加密技術(shù)美國禁止出口。藍盾安全小組第二十一頁，共六十五頁，編輯于2023年，星期五藍盾安全小組第二十二頁，共六十五頁，編輯于2023年，星期五某集團公司VPN整體解決方案圖

第二十三頁，共六十五頁，編輯于2023年，星期五防外又防內(nèi)的解決方案藍盾安全小組第二十四頁，共六十五頁，編輯于2023年，星期五（二）、實用性強1分組代理計費功能

網(wǎng)管員可以根據(jù)企業(yè)內(nèi)部網(wǎng)的實際情況，將用戶劃分成不同的組，如“財務組”、“市場組”，再給組中的每一個用戶一個獨立的帳號（用戶/密碼）。防火墻對每一帳號的上網(wǎng)情況都做了詳細記錄，并根據(jù)設定的單價表進行記費。

藍盾安全小組第二十五頁，共六十五頁，編輯于2023年，星期五藍盾安全小組第二十六頁，共六十五頁，編輯于2023年，星期五2、URL過濾功能

對一些黃色站點、反動站點，通過URL過濾功能，可進行訪問限制，不給內(nèi)網(wǎng)人員瀏覽那些網(wǎng)站或特定頁面。（如WWW.SEX.COM）還可指定到具體某種類型文件。

藍盾安全小組第二十七頁，共六十五頁，編輯于2023年，星期五3、地址轉(zhuǎn)換功能

NAT功能不僅可以隱藏內(nèi)部網(wǎng)絡地址信息，使外界無法直接訪問內(nèi)部網(wǎng)絡設備，同時，它還幫助網(wǎng)絡可以超越地址的限制，合理地安排網(wǎng)絡中的公有Internet地址和私有IP地址的使用。

主要包括：

A:地址（端口）映射。。。。出去B:重定向。。。。。。。。。進來

藍盾安全小組第二十八頁，共六十五頁，編輯于2023年，星期五藍盾安全小組第二十九頁，共六十五頁，編輯于2023年，星期五藍盾安全小組第三十頁，共六十五頁，編輯于2023年，星期五

4、MAC綁定功能MAC綁定技術(shù)是將IP地址和網(wǎng)卡的硬件地址綁定起來，目的是為了防止IP欺騙、地址偽裝，主要用于綁定一些重要的系統(tǒng)管理員IP和特權(quán)IP。

比如：IPMACAC:10:5A:63:7C:3F

藍盾安全小組第三十一頁，共六十五頁，編輯于2023年，星期五5、物理斷開功能

本系統(tǒng)的三個網(wǎng)絡硬件接口中，都內(nèi)置一個物理開關(guān)模塊，通過設置，可斷開任一網(wǎng)絡接口的聯(lián)接，即時中止該網(wǎng)絡接口的任何通信，這樣，在某些特殊環(huán)境下，可進一步提高系統(tǒng)的安全性。藍盾安全小組第三十二頁，共六十五頁，編輯于2023年，星期五四、藍盾防火墻典型方案：方案一：

內(nèi)網(wǎng)-255（掩碼為）通過藍盾防火墻透明代理上互聯(lián)網(wǎng)。防火墻地址（內(nèi)網(wǎng)別名，DMZ區(qū)（掩碼為），

第三十三頁，共六十五頁，編輯于2023年，星期五外網(wǎng)（WWW）別名(DNS)別名(EMAIL)（掩碼均為48）），DMZ區(qū)（掩碼均為）），WWW與FTP服務器IP地址為，EMAIL服務器IP地址為，DNS服務器IP地址為0。外部路由器IP地址為（掩碼為48）。第三十四頁，共六十五頁，編輯于2023年，星期五互聯(lián)網(wǎng)外部路由器藍盾防火墻內(nèi)網(wǎng)主機群wwwFTPDNSEMALL0

DNS10.10.10.X第三十五頁，共六十五頁，編輯于2023年，星期五在內(nèi)網(wǎng)所有要上互聯(lián)網(wǎng)的主機的網(wǎng)關(guān)設置為藍盾防火墻內(nèi)網(wǎng)地址。在內(nèi)網(wǎng)DNS的輔助DNS服務器設置為。藍盾防火墻中的設置：

系統(tǒng)設置中設置域名服務器為ISP提供的DNS服務器IP地址。

安全規(guī)則中NAT規(guī)則設置：（外網(wǎng)部分訪問DMZ區(qū)）第三十六頁，共六十五頁，編輯于2023年，星期五

重定向綁定網(wǎng)絡設備三目標地址端口80重定向到端口80協(xié)議TCP

重定向綁定網(wǎng)絡設備三目標地址端口21重定向到端口21協(xié)議TCP

映射綁定網(wǎng)絡設備三來源主機映射到主機協(xié)議TCP/UDP

重定向綁定網(wǎng)絡設備三目標地址端口53重定向到端口53協(xié)議TCP/UDP第三十七頁，共六十五頁，編輯于2023年，星期五

重定向綁定網(wǎng)絡設備三目標地址端口25重定向到0端口25協(xié)議TCP；重定向綁定網(wǎng)絡設備三目標地址端口110重定向到0端口110協(xié)議TCP；（內(nèi)網(wǎng)部分訪問DMZ區(qū)）

重定向綁定網(wǎng)絡設備一目標地址端口80重定向到端口80協(xié)議TCP；重定向綁定網(wǎng)絡設備一目標地址端口21重定向到端口21協(xié)議TCP；第三十八頁，共六十五頁，編輯于2023年，星期五

映射綁定網(wǎng)絡設備一來源主機映射到主機協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備一目標地址端口53重定向到端口53協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備一目標地址端口25重定向到0端口25協(xié)議TCP重定向綁定網(wǎng)絡設備一目標地址端口110重定向到0端口110協(xié)議TCP（內(nèi)網(wǎng)部分訪問外網(wǎng)）第三十九頁，共六十五頁，編輯于2023年，星期五

重定向綁定網(wǎng)絡設備一目標地址端口80重定向到端口80協(xié)議TCP映射綁定網(wǎng)絡設備三來源網(wǎng)絡子網(wǎng)掩碼映射到主機協(xié)議TCP/UDP端口映射5000-65000

第四十頁，共六十五頁，編輯于2023年，星期五方案二：

內(nèi)網(wǎng)-255（掩碼為）通過了內(nèi)網(wǎng)中的代理服務器代理上網(wǎng)（內(nèi)網(wǎng)DNS為)，最后通過藍盾防火墻出互聯(lián)網(wǎng)。防火墻地址（內(nèi)網(wǎng)別名，DMZ區(qū)（掩碼為），外網(wǎng)（WWW）別名(DNS)別名(EMAIL)(代理上網(wǎng)）

第四十一頁，共六十五頁，編輯于2023年，星期五互聯(lián)網(wǎng)外部路由器藍盾防火墻

DNSwwwFTPDNSEMALL0代理服務器內(nèi)部主機群第四十二頁，共六十五頁，編輯于2023年，星期五

在代理服務器上的網(wǎng)關(guān)設置為藍盾防火墻內(nèi)網(wǎng)地址，內(nèi)網(wǎng)中上互聯(lián)網(wǎng)的主機的設置具體與代理服務器相應。在內(nèi)網(wǎng)DNS的輔助DNS服務器設置為。

藍盾防火墻中的設置：

系統(tǒng)設置中設置域名服務器為ISP提供的DNS服務器IP地址。

第四十三頁，共六十五頁，編輯于2023年，星期五

重定向綁定網(wǎng)絡設備三目標地址端口80重定向到端口80協(xié)議TCP重定向綁定網(wǎng)絡設備三目標地址端口21重定向到端口21協(xié)議TCP映射綁定網(wǎng)絡設備三來源主機映射到主機協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備三目標地址端安全規(guī)則中NAT規(guī)則設置：（外網(wǎng)部分訪問DMZ區(qū)）第四十四頁，共六十五頁，編輯于2023年，星期五口53重定向到端口53協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備三目標地址端口25重定向到0端口25協(xié)議TCP重定向綁定網(wǎng)絡設備三目標地址端口110重定向到0端口110協(xié)議TCP

（內(nèi)網(wǎng)部分訪問DMZ區(qū)）重定向綁定網(wǎng)絡設備一目標地址端口80重定向到端口80協(xié)議TCP重定向綁定網(wǎng)絡設備一目標地址端口21重定向到端口21協(xié)議TCP第四十五頁，共六十五頁，編輯于2023年，星期五

映射綁定網(wǎng)絡設備一來源主機映射到主機協(xié)議

TCP/UDP

重定向綁定網(wǎng)絡設備一目標地址端口53重定向到端口53協(xié)議TCP/UDP

重定向綁定網(wǎng)絡設備一目標地址端口25重定向到0端口25協(xié)議TCP

重定向綁定網(wǎng)絡設備一目標地址端口110重定向到0端口110協(xié)議TCP

（使內(nèi)網(wǎng)中的代理服務器提供出口部分）映射綁定網(wǎng)絡設備三來源主機映射到主機協(xié)議TCP/UDP

第四十六頁，共六十五頁，編輯于2023年，星期五方案三：

內(nèi)網(wǎng)-255（掩碼為）HTTP使用藍盾防火墻透明代理上網(wǎng)，其它協(xié)議通過了內(nèi)網(wǎng)中的代理服務器代理上網(wǎng)（內(nèi)網(wǎng)DNS為)，最后通過藍盾防火墻出互聯(lián)網(wǎng)。防火墻地址（內(nèi)網(wǎng)別名，DMZ區(qū)

（掩碼為），外網(wǎng)（WWW）別名(DNS)別名(EMAIL)

第四十七頁，共六十五頁，編輯于2023年，星期五(代理上網(wǎng)）（掩碼均為48）），DMZ區(qū)（掩碼均為）），WWW與FTP服務器IP地址為，EMAIL服務器IP地址為，DNS服務器IP地址為0。外部路由器IP地址為（掩碼為48）。第四十八頁，共六十五頁，編輯于2023年，星期五互聯(lián)網(wǎng)外部路由器藍盾防火墻

DNSwwwFTPDNSEMALL0代理服務器內(nèi)部主機群10.10.10.X第四十九頁，共六十五頁，編輯于2023年，星期五在代理服務器上的網(wǎng)關(guān)設置為藍盾防火墻內(nèi)網(wǎng)地址，內(nèi)網(wǎng)中上互聯(lián)網(wǎng)的主機的設置具體與代理服務器相應。在內(nèi)網(wǎng)DNS的輔助DNS服務器設置為。

藍盾防火墻中的設置：

系統(tǒng)設置中設置域名服務器為ISP提供的DNS服務器IP地址。

第五十頁，共六十五頁，編輯于2023年，星期五安全規(guī)則中NAT規(guī)則設置：

（外網(wǎng)部分訪問DMZ區(qū)）

重定向綁定網(wǎng)絡設備三目標地址端口80重定向到端口80協(xié)議TCP

重定向綁定網(wǎng)絡設備三目標地址端口21重定向到端口21協(xié)議TCP

映射綁定網(wǎng)絡設備三來源主機映射到主機協(xié)議TCP/UDP第五十一頁，共六十五頁，編輯于2023年，星期五

重定向綁定網(wǎng)絡設備三目標地址端口53重定向到端口53協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備三目標地址端口25重定向到0端口25協(xié)議TCP重定向綁定網(wǎng)絡設備三目標地址端口110重定向到0端口110協(xié)議TCP

（內(nèi)網(wǎng)部分訪問DMZ區(qū)）

重定向綁定網(wǎng)絡設備一目標地址端口80重定向到端口80協(xié)議TCP重定向綁定網(wǎng)絡設備一目標地址第五十二頁，共六十五頁，編輯于2023年，星期五端口21重定向到端口21協(xié)議TCP

映射綁定網(wǎng)絡設備一來源主機映射到主機協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備一目標地址端口53重定向到端口53協(xié)議TCP/UDP重定向綁定網(wǎng)絡設備一目標地址端口25重定向到0端口25協(xié)議TCP重定向綁定網(wǎng)絡設備一目標地址端口110重定向到0端口110協(xié)議TCP

（使內(nèi)網(wǎng)中的代理服務器提供出口部分）

第五十三頁，