1、第6章 防火墻技術(shù),本章學(xué)習(xí)目標(biāo),本章主要介紹了防火墻的概念、分類、體系結(jié)構(gòu)以及有關(guān)產(chǎn)品。通過本章的學(xué)習(xí)，讀者應(yīng)該掌握以下內(nèi)容： 防火墻及相關(guān)概念 包過濾與代理 防火墻的體系結(jié)構(gòu) 分布式防火墻與嵌入式防火墻 天網(wǎng)個(gè)人防火墻的使用,6.1防火墻概述,防火墻的發(fā)展簡史 第一代防火墻：采用了包過濾技術(shù)。 第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。 第四代防火墻：1992年，開發(fā)出了基于動(dòng)態(tài)包過濾技術(shù)的第四代防火墻。 第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。,6.1.1 防火墻及相關(guān)概念,防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)

2、之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。 防火墻把內(nèi)部網(wǎng)和外部網(wǎng)隔離，通過事先設(shè)定規(guī)則來決定哪些情況下防火墻應(yīng)該隔斷內(nèi)網(wǎng)與外網(wǎng)的通信，哪些情況下允許兩者通信。從而 抵擋來自外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊和入侵，保障內(nèi)網(wǎng)的網(wǎng)絡(luò)安全； 限制內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問。,防火墻從邏輯上看，是分離器、限制器和分析器；而從實(shí)現(xiàn)方式上看，它可分為硬件防火墻和軟件防火墻。 作用是監(jiān)控進(jìn)出網(wǎng)絡(luò)的信息，僅讓安全的、符合規(guī)則的信息進(jìn)入內(nèi)網(wǎng)，為用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。,目的 過濾掉不安全的服務(wù)和非法用戶 防治入侵者接近內(nèi)網(wǎng)的防御設(shè)施 限定內(nèi)網(wǎng)用戶訪問特殊站點(diǎn) 為監(jiān)視Internet安全提供方便

3、廣泛的服務(wù)支持 數(shù)據(jù)的加密支持 實(shí)現(xiàn)內(nèi)外網(wǎng)的通信記錄 限制暴露用戶點(diǎn) 防止電子欺騙,相關(guān)概念 外網(wǎng)：防火墻以外的網(wǎng)絡(luò) 內(nèi)網(wǎng)：防火墻以內(nèi)的網(wǎng)絡(luò) 非軍事化區(qū)：將用于向外網(wǎng)提供服務(wù)的服務(wù)器放置在內(nèi)、外網(wǎng)之間的一個(gè)單獨(dú)網(wǎng)段 包過濾：在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中的每一個(gè)數(shù)據(jù)包，根據(jù)其源地址、目的地址及端口等信息來確定是否允許其通過,代理服務(wù)器：代表內(nèi)部用戶向外網(wǎng)中的服務(wù)器進(jìn)行連接請(qǐng)求的程序 狀態(tài)檢測技術(shù)：抽取相關(guān)數(shù)據(jù)對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行檢測，并作為安全決策的依據(jù) 虛擬專用網(wǎng)（VPN）：在Internet中配置的專用網(wǎng)絡(luò) 數(shù)據(jù)驅(qū)動(dòng)攻擊：攻擊者將具有破壞性

4、的數(shù)據(jù)藏匿在普通數(shù)據(jù)中傳送到Internet主機(jī)上，當(dāng)該數(shù)據(jù)被激活使用時(shí)即發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊,防火墻的基本功能和特性,防火墻的基本功能 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包 管理進(jìn)出網(wǎng)絡(luò)的訪問行為 封堵某些禁止的訪問行為 記錄通過防火墻的信息內(nèi)容和活動(dòng) 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警,防火墻的特性 所有內(nèi)外網(wǎng)的數(shù)據(jù)通信都必須通過防火墻 只有被授權(quán)的合法數(shù)據(jù)可以通過防火墻 防火墻本身具有預(yù)防入侵的功能 使用目前新的安全技術(shù) 人機(jī)界面良好，用戶配置使用方便，易于管理,防火墻的安全策略,防火墻包括一對(duì)矛盾（機(jī)制） 禁止數(shù)據(jù)的流通 允許數(shù)據(jù)的流通 防火墻的安全策略 除非明確允許，否則就禁止特點(diǎn)：安全 不好用 除非明確禁止，否

5、則就允許特點(diǎn)： 好用不安全,防火墻的優(yōu)缺點(diǎn),防火墻的優(yōu)點(diǎn) 強(qiáng)化安全策略 有效記錄Internet上的活動(dòng) 安全策略的檢查點(diǎn) 防火墻的缺點(diǎn) 防火墻防外不防內(nèi) 不能防范不通過防火墻的連接 不能防范全部的威脅 不能防范病毒,網(wǎng)絡(luò)防火墻和病毒防火墻的區(qū)別,病毒防火墻 病毒實(shí)時(shí)檢測和清除系統(tǒng)，是反病毒軟件的一種工作模式，監(jiān)控所有應(yīng)用程序。 網(wǎng)絡(luò)防火墻 隔離在內(nèi)網(wǎng)絡(luò)與外網(wǎng)之間的一道防御系統(tǒng)，只對(duì)存在網(wǎng)絡(luò)訪問的應(yīng)用程序進(jìn)行監(jiān)控。,防火墻的技術(shù)分類,包過濾防火墻 代理防火墻 兩種防火墻技術(shù)的對(duì)比,包過濾防火墻,又稱篩選路由器，或網(wǎng)絡(luò)層防火墻 工作在網(wǎng)絡(luò)層 信息過濾規(guī)則是以數(shù)據(jù)包頭信息為基礎(chǔ) 在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包

6、實(shí)施有選擇的通過 分析進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息，按照系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的特定信息，確定是否允許數(shù)據(jù)包通過,優(yōu)點(diǎn) 一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) 數(shù)據(jù)包過濾對(duì)用戶透明 過濾路由器速度快、效率高 缺點(diǎn) 沒有用戶的使用記錄，無法從訪問記錄中發(fā)現(xiàn)入侵者的攻擊記錄 不能在用戶級(jí)別上進(jìn)行過濾 不支持應(yīng)用層協(xié)議,包過濾防火墻的發(fā)展 靜態(tài)包過濾 這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。 動(dòng)態(tài)包過濾 這種類型的防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，采用這種技術(shù)的防火墻對(duì)通過其建立的每一

7、個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。,代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的程序，工作在應(yīng)用層 代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用 工作過程,代理服務(wù),代理的工作方式,特點(diǎn) 抵擋來自外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊和入侵，保障內(nèi)網(wǎng)的網(wǎng)絡(luò)安全； 限制內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問。 優(yōu)點(diǎn) 代理易于配置 代理能生成各項(xiàng)記錄 代理能靈活、完全地控制進(jìn)出流量、內(nèi)容 代理能過濾數(shù)據(jù)內(nèi)容 代理能為用戶提供透明的加密機(jī)制,缺點(diǎn) 代理速度較路由器慢 代理對(duì)用戶不透明 不同服務(wù)，可能要求不同的代理服務(wù)器 代理訪問通常要求對(duì)客戶或過程進(jìn)行限制 代理服務(wù)受到協(xié)議弱點(diǎn)的限制 代理不能改進(jìn)

8、底層協(xié)議的安全性,兩種基本的代理服務(wù)器,應(yīng)用級(jí)代理服務(wù)器 電路級(jí)代理服務(wù)器,電路級(jí)代理服務(wù)器 又稱電路層網(wǎng)關(guān)，適用于多個(gè)協(xié)議 用來在兩個(gè)通信的終點(diǎn)之間轉(zhuǎn)換包，但無法解釋應(yīng)用協(xié)議，如套接字服務(wù)器（SOCKETS），套接字是網(wǎng)絡(luò)應(yīng)用層的一種國際標(biāo)準(zhǔn)。 特點(diǎn)：將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。,電路級(jí)網(wǎng)關(guān),數(shù)據(jù)包過濾型防火墻,較高的網(wǎng)絡(luò)性能 成本較低,僅識(shí)別有限的通信信息 無通信狀態(tài)記錄 定義過濾規(guī)則非常復(fù)雜 允許外部機(jī)器直接連接內(nèi)部主機(jī)，安全性能較低 無用戶認(rèn)證機(jī)制,應(yīng)用級(jí)代理服務(wù)器 又稱應(yīng)用層網(wǎng)關(guān)，基于軟件 可在應(yīng)用層提供授權(quán)檢查及代理服務(wù)，不但轉(zhuǎn)發(fā)信息，而且對(duì)應(yīng)用層協(xié)議作出解釋 外網(wǎng)中某

9、臺(tái)主機(jī)試圖以某種服務(wù)訪問內(nèi)網(wǎng)，它必須首先通過防火墻上的身份認(rèn)證，由防火墻運(yùn)行一個(gè)專門為該服務(wù)設(shè)計(jì)的程序，將內(nèi)外網(wǎng)主機(jī)連接起來 優(yōu)點(diǎn)：安全 缺點(diǎn)：速度相對(duì)比較慢 需要為每一個(gè)應(yīng)用寫專門的程序,應(yīng)用級(jí)網(wǎng)關(guān)型防火墻,應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)

10、算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊,應(yīng)用級(jí)網(wǎng)關(guān),應(yīng)用代理型防火墻,代理服務(wù)型防火墻,代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。 它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 鏈接，由兩個(gè)終止代理服務(wù)器上的 鏈接來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)

11、的作用,代理服務(wù)型防火墻,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。 應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時(shí)也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信,代理服務(wù)器的發(fā)展,第一代：代理防火墻 也叫應(yīng)用層網(wǎng)關(guān)防火墻 它的核心技術(shù)就是代理服務(wù)器技術(shù) 這種防火墻通過一種代理技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。,第二代：自適應(yīng)代理防火墻

12、 可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn) 在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上 組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過濾器,復(fù)合型防火墻,由于對(duì)更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案: 屏蔽主機(jī)防火墻體系結(jié)構(gòu) 屏蔽子網(wǎng)防火墻體系結(jié)構(gòu),防火墻的位置,6.2防火墻的常見體系結(jié)構(gòu),雙重宿主主機(jī)結(jié)構(gòu) 屏蔽主機(jī)結(jié)構(gòu) 屏蔽子網(wǎng)結(jié)構(gòu),雙重宿主主機(jī)結(jié)構(gòu),雙宿主機(jī)：又稱堡壘主機(jī)或雙穴主機(jī)，是一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，可用來在內(nèi)網(wǎng)和外網(wǎng)之間進(jìn)行尋徑。 實(shí)現(xiàn)雙重宿主主機(jī)

13、的防火墻體系結(jié)構(gòu)禁止這種尋徑功能。此時(shí)，雙宿主主機(jī)一方面隔離內(nèi)外網(wǎng)之間的直接通信，同時(shí)可以分別作為內(nèi)網(wǎng)和外網(wǎng)的一個(gè)組成部分，分別向它們提供網(wǎng)絡(luò)應(yīng)用。 優(yōu)點(diǎn)：可以維護(hù)系統(tǒng)日志 缺點(diǎn)：容易受侵襲，盡量減少服務(wù)，關(guān)閉路由,雙宿主機(jī)防火墻示意圖,優(yōu)點(diǎn)：可以維護(hù)系統(tǒng)日志 缺點(diǎn)：雙重宿主主機(jī)被侵入，并使其具有路由功能，則內(nèi)網(wǎng)對(duì)外開放。 措施：雙重宿主主機(jī)盡量簡單，保留最少服務(wù)，關(guān)閉路由功能。隨時(shí)準(zhǔn)備修復(fù)。,屏蔽主機(jī)結(jié)構(gòu),屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中，其安全主要由數(shù)據(jù)包過濾來保障。 堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。即使

14、這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。,屏蔽路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行： 允許其它的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)）。 不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。 屏蔽主機(jī)結(jié)構(gòu)的缺點(diǎn):如果被侵入堡壘主 機(jī)，則整個(gè)網(wǎng)絡(luò)開放。,屏蔽主機(jī)網(wǎng)關(guān)示意圖,屏蔽的主機(jī)防火墻(單地址堡壘主機(jī)),屏蔽的主機(jī)防火墻(雙地址堡壘主機(jī)),屏蔽子網(wǎng)結(jié)構(gòu),又稱子網(wǎng)過濾結(jié)構(gòu)，是在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層，即添加周邊網(wǎng)絡(luò)，更進(jìn)一步的把內(nèi)網(wǎng)與外網(wǎng)隔離開。 屏蔽子網(wǎng)

15、結(jié)構(gòu)的組成部分: 周邊網(wǎng)絡(luò) 堡壘主機(jī) 內(nèi)部路由器 外部路由器,屏蔽子網(wǎng)防火墻示意圖,屏蔽的子網(wǎng)防火墻系統(tǒng),6.3 內(nèi)部防火墻,邊界防火墻：VPN的應(yīng)用使物理邊界模糊。并且不能保證內(nèi)部用戶之間的安全訪問。 而80%的攻擊來自內(nèi)部。 內(nèi)部防火墻：將內(nèi)部網(wǎng)絡(luò)的一部分與其余部分隔離，在內(nèi)網(wǎng)的兩個(gè)部分之間再建立防火墻。,傳統(tǒng)邊界防火墻的缺點(diǎn),網(wǎng)絡(luò)應(yīng)用收到結(jié)構(gòu)性限制 內(nèi)部安全隱患依然存在 效率較低，故障率較高,分布式防火墻,類似于個(gè)人防火墻主機(jī)駐留式的安全系統(tǒng)，用于保護(hù)內(nèi)部網(wǎng)絡(luò)，把外部、內(nèi)部網(wǎng)絡(luò)均視為不友好網(wǎng)絡(luò)。 增強(qiáng)系統(tǒng)安全，可以擴(kuò)展，應(yīng)用廣泛，支持VPN,嵌入式防火墻：將防火墻技術(shù)集成在硬件上，作成P

16、CI卡或PCMCIA卡形式。適用于安全要求較高的場合。 個(gè)人防火墻：天網(wǎng)、NORTON 、PC-CILLIN、金山、瑞星。,防火墻的系統(tǒng)環(huán)境,防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自于對(duì)專用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對(duì)安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進(jìn)行： 取消危險(xiǎn)的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個(gè)分組的接口；采用隨機(jī)連接序號(hào)；駐留分組過濾模塊；取消動(dòng)態(tài)路由功能；采用多個(gè)安全內(nèi)核，等等,防火墻的抗攻擊能力,作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。 網(wǎng)絡(luò)攻擊手段一般包括

17、IP地址假冒攻擊、病毒攻擊、口令字探詢攻擊、網(wǎng)絡(luò)安全性分析攻擊、郵件詐騙攻擊等,防火墻的局限性,盡管利用防火墻可以保護(hù)安全網(wǎng)免受外部黑客的攻擊，但其目的只是能夠提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)絕對(duì)安全。 事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅,黑客利用QQProxy繞過防火墻,防火墻不能防范什么,防火墻不能防范不經(jīng)過防火墻的攻擊 防火墻不能真正保護(hù)你防止的另一種危險(xiǎn)是你網(wǎng)絡(luò)內(nèi)部的叛變者或白癡。盡管一個(gè)工業(yè)間諜

18、可以通過防火墻傳送信息，但他更有可能利用電話、傳真機(jī)或軟盤來傳送信息。軟盤遠(yuǎn)比防火墻更有可能成為泄露你機(jī)構(gòu)秘密的媒介！防火墻同樣不能保護(hù)你避免愚蠢行為的發(fā)生,6.4防火墻產(chǎn)品介紹,CISCO SYMANTEC CHECK POINT Juniper MS-ISA 2004,返回本節(jié),聯(lián)想 網(wǎng)御 天融信 清華紫光 東軟 Neteye 天網(wǎng),防火墻產(chǎn)品提供商：,一 、Cisco PIX防火墻 實(shí)時(shí)嵌入式操作系統(tǒng) 基于自適應(yīng)安全算法（ASA），可以確保最高的安全性 用于驗(yàn)證和授權(quán)的“直通代理”技術(shù) 最多支持250 000個(gè)同時(shí)連接 URL過濾。,6.4.1典型防火墻產(chǎn)品介紹,HP Open View集成 通過電子郵件和尋呼機(jī)提供報(bào)警和告警通知 通過專用鏈路加密卡提供VPN支持 通過美國安全事務(wù)處（NSA）的認(rèn)證；通過中國公安部安全檢測中心的認(rèn)證。,一 、 Cisco PIX防火墻(續(xù)),二、Microsoft ISA 防火墻,Microsoft 著名路由級(jí)網(wǎng)絡(luò)防火墻 2004 年7 月13日發(fā)布了ISA Server 2004 （ Int