《電子商務(wù)交易過程中的安全與防范》由會員分享，可在線閱讀，更多相關(guān)《電子商務(wù)交易過程中的安全與防范（52頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、電子商務(wù)交易過程中的安全與防范(防 火 墻 技 術(shù) ） 防 火 墻 技 術(shù)v防 火 墻 便 是 網(wǎng) 絡(luò) 安 全 問 題 的 解 決 方 案 之 一 。 和 其 他 網(wǎng) 絡(luò) 安全 技 術(shù) 相 比 ， 防 火 墻 技 術(shù) 相 對 成 熟 。 它 通 過 監(jiān) 測 、 限 制 和更 改 跨 越 防 火 墻 的 數(shù) 據(jù) 流 等 多 種 技 術(shù) ， 盡 可 能 地 對 外 部 網(wǎng)絡(luò) 屏 蔽 有 關(guān) 被 保 護(hù) 網(wǎng) 絡(luò) 的 結(jié) 構(gòu) 信 息 ， 實 現(xiàn) 對 內(nèi) 部 網(wǎng) 絡(luò) 的 安全 保 護(hù) 。v雖 然 防 火 墻 不 能 有 效 地 解 決 所 有 的 網(wǎng) 絡(luò) 安 全 問 題 ， 但 目 前普 遍 的 觀 點

2、 是 不 能 在 沒 有 防 火 墻 保 護(hù) 下 ， 通 過 服 務(wù) 器 或 其他 設(shè) 備 在 網(wǎng) 絡(luò) 上 提 供 網(wǎng) 絡(luò) 服 務(wù) 。 網(wǎng) 絡(luò) 安 全 的 保 障 和 維 護(hù) 離不 開 防 火 墻 。 防 火 墻 概 述v 防 火 墻 的 基 本 概 念 及 特 征v人 們 借 鑒 傳 統(tǒng) “ 防 火 墻 ” 的 概 念 ， 在 內(nèi) 部 網(wǎng) 絡(luò) 和 外 部 網(wǎng) 絡(luò)之 間 構(gòu) 建 起 一 道 安 全 屏 障 ， 這 道 屏 障 的 作 用 是 阻 斷 來 自 外部 的 威 脅 和 入 侵 ， 提 供 負(fù) 責(zé) 本 地 網(wǎng) 絡(luò) 的 安 全 和 審 計 的 關(guān) 卡 。取 傳 統(tǒng) 防 火 墻 的 喻 義

3、 ， 這 種 屏 蔽 系 統(tǒng) 就 叫 做 網(wǎng) 絡(luò) 防 火 墻 或防 火 墻 系 統(tǒng) 。 防 火 墻 的 基 本 概 念 及 特 征v防 火 墻 是 在 兩 個 網(wǎng) 絡(luò) 間 實 現(xiàn) 訪 問 控 制 的 一 個 或 一 組 軟 件 或硬 件 系 統(tǒng) 。 其 最 主 要 功 能 是 屏 蔽 和 允 許 指 定 的 數(shù) 據(jù) 通 信 ，而 該 功 能 的 實 現(xiàn) 又 主 要 是 依 靠 一 套 訪 問 控 制 策 略 ， 由 訪 問控 制 策 略 來 決 定 通 信 的 合 法 性 。 防 火 墻 基 于 一 定 的 軟 硬 件 ，使 互 聯(lián) 網(wǎng) 與 局 域 網(wǎng) 之 間 建 立 起 一 個 安 全 網(wǎng)

4、關(guān) （security gateway） ， 從 而 保 護(hù) 內(nèi) 部 網(wǎng) 絡(luò) 免 受 非 法 用 戶 的 侵 入 。 防 火 墻 的 基 本 概 念 及 特 征v 防 火 墻 一 般 由 網(wǎng) 絡(luò) 政 策 、 驗 證 工 具 、 包 過 濾 和 應(yīng) 用 網(wǎng) 關(guān)4個 部 分 組 成 。v1） 網(wǎng) 絡(luò) 政 策v 網(wǎng) 絡(luò) 政 策 一 般 包 括 服 務(wù) 訪 問 政 策 和 防 火 墻 設(shè) 計 政 策 。v （1） 服 務(wù) 訪 問 政 策 用 以 確 定 受 限 的 網(wǎng) 絡(luò) 許 可 、 明 確 拒 絕 的 服 務(wù) 以 及 如 何 使 用這 些 服 務(wù) 及 例 外 條 件 。 通 過 確 定 服 務(wù) 訪

5、問 政 策 ， 可 以 確 定 如 何 使 用 互 聯(lián) 網(wǎng) 、如 何 控 制 外 部 網(wǎng) 絡(luò) 訪 問 等 全 局 性 問 題 。 需 要 強 調(diào) 的 是 ， 這 種 政 策 是 一 個 部 門有 關(guān) 保 護(hù) 信 息 資 源 政 策 的 延 伸 ， 通 常 應(yīng) 在 部 署 防 火 墻 前 擬 定 。v （2） 防 火 墻 設(shè) 計 政 策 定 義 用 來 實 施 服 務(wù) 訪 問 政 策 的 有 關(guān) 規(guī) 則 ， 描 述 各 種 限 制訪 問 的 具 體 實 現(xiàn) ， 是 服 務(wù) 訪 問 政 策 的 細(xì) 化 和 實 施 方 案 。 例 如 ， 它 可 以 包 含 以下 基 本 設(shè) 計 規(guī) 則 ：v 拒

6、絕 訪 問 除 明 確 許 可 以 外 的 任 何 一 種 服 務(wù) 。v 允 許 訪 問 除 明 確 拒 絕 以 外 的 任 何 一 種 服 務(wù) 。 防 火 墻 的 基 本 概 念 及 特 征v 2） 驗 證 工 具 驗 證 工 具 用 以 保 護(hù) 用 戶 的 口 令 等 信 息 免 受 入 侵 者 監(jiān) 視 和 盜用 。 目 前 常 用 的 有 智 能 卡 、 驗 證 令 牌 、 生 物 特 征 識 別 等 技術(shù) 。 由 于 防 火 墻 可 以 集 中 控 制 網(wǎng) 絡(luò) 訪 問 ， 因 此 是 安 裝 驗 證工 具 的 理 想 場 所 。 雖 然 許 多 驗 證 措 施 也 可 以 應(yīng) 用 到

7、每 個 主機(jī) ， 但 把 各 項 驗 證 措 施 集 中 于 防 火 墻 中 實 現(xiàn) 更 切 合 實 際 ，更 便 于 管 理 。 防 火 墻 的 基 本 概 念 及 特 征v 3） 包 過 濾 包 過 濾 的 原 理 在 于 監(jiān) 視 并 過 濾 流 入 流 出 的IP包 ， 拒 絕 發(fā)送 可 疑 的 包 。 過 濾 的 依 據(jù) 主 要 包 括IP源 地 址 、IP目 的 地址 、 封 裝 協(xié) 議 、TCP/UDP源 端 口 、ICMP包 類 型 等 。 其 功能 主 要 包 括 從 屬 服 務(wù) （ 以 某 一 特 定 服 務(wù) 為 基 礎(chǔ) 的 信 息 流 ）過 濾 和 獨 立 于 服 務(wù) 的

8、過 濾 。 對 基 于 特 定 端 口 的 遠(yuǎn) 程 連 接 進(jìn)行 過 濾 是 從 屬 服 務(wù) 過 濾 的 典 型 例 子 ， 而 獨 立 于 服 務(wù) 的 過 濾可 以 有 效 阻 止 地 址 欺 騙 攻 擊 、 源 路 由 攻 擊 、 殘 片 攻 擊 等 。 防 火 墻 的 基 本 概 念 及 特 征v 4） 應(yīng) 用 網(wǎng) 關(guān)v為 了 克 服 包 過 濾 的 某 些 弱 點 ， 防 火 墻 需 使 用 應(yīng) 用 軟 件 來 轉(zhuǎn)發(fā) 和 過 濾Telnet和Ftp等 服 務(wù) 的 連 接 ， 這 種 應(yīng) 用 成 為 代理 服 務(wù) ， 相 應(yīng) 的 系 統(tǒng) 即 應(yīng) 用 網(wǎng) 關(guān) 。 具 有 應(yīng) 用 網(wǎng) 關(guān) 特

9、 征 的 防火 墻 具 有 更 高 的 安 全 性 和 靈 活 性 。 防 火 墻 的 基 本 概 念 及 特 征v2 典 型 的 防 火 墻 的 基 本 特 征v（1） 內(nèi) 部 網(wǎng) 絡(luò) 和 外 部 網(wǎng) 絡(luò) 之 間 的 所 有 網(wǎng) 絡(luò) 數(shù) 據(jù) 流 都 必 須經(jīng) 過 防 火 墻 。 這 是 防 火 墻 所 處 網(wǎng) 絡(luò) 位 置 的 特 性 ， 同 時 也 是一 個 前 提 。 因 為 只 有 當(dāng) 防 火 墻 是 內(nèi) 、 外 部 網(wǎng) 絡(luò) 之 間 通 信 的唯 一 通 道 時 ， 才 可 以 全 面 、 有 效 地 保 護(hù) 內(nèi) 部 網(wǎng) 絡(luò) 不 受 侵 害 。 防 火 墻 的 基 本 概 念 及 特 征

10、v（2） 只 有 符 合 安 全 策 略 的 數(shù) 據(jù) 流 才 能 通 過 防 火 墻 。 防 火墻 最 基 本 的 功 能 是 確 保 網(wǎng) 絡(luò) 流 量 的 合 法 性 ， 并 在 此 前 提 下將 網(wǎng) 絡(luò) 的 流 量 快 速 地 從 一 條 鏈 路 轉(zhuǎn) 發(fā) 到 其 他 的 鏈 路 上 去 。v （3） 防 火 墻 自 身 應(yīng) 具 有 非 常 強 的 抗 攻 擊 免 疫 力 。 這 是 防火 墻 之 所 以 能 擔(dān) 當(dāng) 內(nèi) 部 網(wǎng) 絡(luò) 安 全 防 護(hù) 重 任 的 先 決 條 件 。 防 火 墻 的 發(fā) 展 史v防 火 墻 的 發(fā) 展 經(jīng) 歷 了5個 時 期 ：v（1） 第 一 代 防 火 墻 。

11、 第 一 代 防 火 墻 幾 乎 與 路 由 器 同 時 出現(xiàn) ， 它 采 用 了 包 過 濾(packet filter)技 術(shù) ， 是 依 附 于路 由 器 的 包 過 濾 功 能 而 實 現(xiàn) 的 防 火 墻 。v（2） 第 二 代 、 第 三 代 防 火 墻 。1989年 ， 貝 爾 實 驗 室 的Dave Presotto和Howard Trickey推 出 了 第 二 代 防 火墻 ， 即 電 路 層 防 火 墻 。 同 時 ， 推 出 了 第 三 代 防 火 墻 ， 即 應(yīng)用 層 防 火 墻(或 者 叫 做 代 理 防 火 墻)。 防 火 墻 的 發(fā) 展 史v （3） 第 四 代

12、防 火 墻 。1992年 ，USC信 息 科 學(xué) 院 的Bob Braden開 發(fā)出 了 基 于 動 態(tài) 包 過 濾(dynamic packet filter)技 術(shù) 的 防 火 墻 ，這 種 技 術(shù) 后 來 演 變 為 目 前 所 說 的 狀 態(tài) 檢 測(stateful inspection)技 術(shù) 。 這 就 是 第 四 代 防 火 墻 的 雛 形 。 第 四 代 防 火 墻 技 術(shù) 成 熟 的 標(biāo) 志 是1994年 以 色 列 的CheckPoint公 司 推 出 的 商 業(yè) 化 產(chǎn) 品 。v （4） 第 五 代 防 火 墻 。1998年 ，NAI公 司 正 式 推 出 了 一 種

13、自 適 應(yīng) 代 理(adaptive proxy)技 術(shù) ， 并 在 其 產(chǎn) 品Gauntlet Firewall for NT中 得 以 實 現(xiàn) ， 給 代 理 類 型 的 防 火 墻 賦 予 了 全 新 的 意 義 ， 可 以 稱 之 為第 五 代 防 火 墻 。 防 火 墻 的 作 用v一 般 來 講 ， 防 火 墻 具 有 如 下 作 用 。v1 網(wǎng) 絡(luò) 安 全 的 屏 障v防 火 墻 （ 作 為 阻 塞 點 、 控 制 點 ） 能 極 大 地 提 高 一 個 內(nèi) 部 網(wǎng)絡(luò) 的 安 全 性 ， 并 通 過 過 濾 不 安 全 的 服 務(wù) 來 降 低 風(fēng) 險 。 例 如 ，防 火 墻 可

14、 以 禁 止 不 安 全 的NFS協(xié) 議 進(jìn) 出 受 保 護(hù) 網(wǎng) 絡(luò) ， 這 樣外 部 的 攻 擊 者 就 不 可 能 利 用 這 些 脆 弱 的 協(xié) 議 來 攻 擊 內(nèi) 部 網(wǎng)絡(luò) 。 防 火 墻 同 時 可 以 保 護(hù) 網(wǎng) 絡(luò) 免 受 基 于 路 由 的 攻 擊 ， 例 如 ，IP選 項 中 的 源 路 由 攻 擊 和ICMP重 定 向 中 的 重 定 向 路 徑 。防 火 墻 還 可 以 拒 絕 攻 擊 的 報 文 并 通 知 防 火 墻 管 理 員 。 防 火 墻 的 作 用v2 強 化 網(wǎng) 絡(luò) 安 全 策 略v通 過 以 防 火 墻 為 中 心 的 安 全 方 案 配 置 ， 能 將

15、所 有安 全 軟 件 （ 如 口 令 、 加 密 、 身 份 認(rèn) 證 、 審 計 等 ）配 置 在 防 火 墻 上 。 與 將 網(wǎng) 絡(luò) 安 全 問 題 分 散 到 各 個主 機(jī) 上 相 比 ， 防 火 墻 的 集 中 安 全 管 理 更 經(jīng) 濟(jì) 。 例如 ， 在 網(wǎng) 絡(luò) 訪 問 時 ， 一 次 一 密 口 令 系 統(tǒng) 和 其 他 的身 份 認(rèn) 證 系 統(tǒng) 完 全 可 以 不 必 分 散 到 各 個 主 機(jī) 上 ，而 是 集 中 在 防 火 墻 上 。 防 火 墻 的 作 用v3 對 網(wǎng) 絡(luò) 存 取 和 訪 問 進(jìn) 行 監(jiān) 控 審 計v如 果 所 有 的 訪 問 都 經(jīng) 過 防 火 墻 ， 防

16、火 墻 就 能 記 錄 下 這 些 訪問 并 生 成 日 志 記 錄 ， 同 時 也 能 提 供 網(wǎng) 絡(luò) 使 用 情 況 的 統(tǒng) 計 數(shù)據(jù) 。 當(dāng) 發(fā) 生 可 疑 動 作 時 ， 防 火 墻 能 進(jìn) 行 適 當(dāng) 的 報 警 ， 并 提供 網(wǎng) 絡(luò) 是 否 受 到 監(jiān) 測 和 攻 擊 的 詳 細(xì) 信 息 。 另 外 ， 收 集 到 的網(wǎng) 絡(luò) 使 用 和 誤 用 情 況 也 是 非 常 重 要 的 。 這 些 情 況 可 以 清 楚地 反 映 防 火 墻 是 否 能 夠 抵 擋 攻 擊 者 的 探 測 和 攻 擊 、 防 火 墻的 控 制 是 否 充 足 。 而 網(wǎng) 絡(luò) 使 用 的 統(tǒng) 計 對 網(wǎng)

17、絡(luò) 需 求 分 析 和 威脅 分 析 等 有 很 大 的 作 用 。 防 火 墻 的 作 用v4 防 止 內(nèi) 部 信 息 的 外 泄v通 過 利 用 防 火 墻 對 內(nèi) 部 網(wǎng) 絡(luò) 的 劃 分 ， 可 實 現(xiàn) 內(nèi) 部網(wǎng) 絡(luò) 重 點 網(wǎng) 段 的 隔 離 ， 從 而 限 制 了 局 部 重 點 或 敏感 網(wǎng) 絡(luò) 安 全 問 題 對 全 局 網(wǎng) 絡(luò) 造 成 的 影 響 。 隱 私 是內(nèi) 部 網(wǎng) 絡(luò) 非 常 關(guān) 心 的 問 題 ， 一 個 內(nèi) 部 網(wǎng) 絡(luò) 中 不 引人 注 意 的 細(xì) 節(jié) 可 能 包 含 了 有 關(guān) 安 全 的 線 索 而 引 起外 部 攻 擊 者 的 興 趣 ， 甚 至 暴 露 內(nèi)

18、部 網(wǎng) 絡(luò) 的 某 些 安全 漏 洞 。 防 火 墻 的 作 用v 目 前 的 防 火 墻 往 往 還 能 夠 提 供 以 下 特 殊 功 能 ：v （1）IP轉(zhuǎn) 換 。IP轉(zhuǎn) 換 的 主 要 功 能 有 兩 個 ， 一 是 隱 藏 網(wǎng) 絡(luò) 設(shè) 備 的 真 實IP， 從而 使 入 侵 者 無 法 直 接 攻 擊 內(nèi) 部 網(wǎng) 絡(luò) ， 二 是 可 以 使 用rfc1918的 保 留IP， 這 對IP地 址 匱 乏 的 網(wǎng) 絡(luò) 是 很 實 用 的 。v （2） 防 火 墻 還 支 持 具 有Internet服 務(wù) 特 性 的 企 業(yè) 內(nèi) 部 網(wǎng) 絡(luò) 技 術(shù) 體 系VPN（ 虛 擬 專 用 網(wǎng) ） 和

19、 在 公 共 網(wǎng) 絡(luò) 中 建 立 的 專 用 加 密 虛 擬 通 道 ， 以 確 保 通 信 安 全 。v （3） 殺 毒 。 一 般 都 通 過 插 件 或 聯(lián) 動 實 現(xiàn) 。v （4） 與IDS聯(lián) 動 。 目 前 實 現(xiàn) 這 一 功 能 的 產(chǎn) 品 也 有 逐 漸 增 多 的 趨 勢 。v （5）GUI界 面 管 理 。 傳 統(tǒng) 以 及 一 些UNIX/Linux下 的 防 火 墻 一 般 都 是 通 過 命令 行 方 式 鍵 入 命 令 來 控 制 訪 問 策 略 的 ， 商 用 的 防 火 墻 一 般 都 提 供 了Web和GUI的 界 面 ， 以 便 于 管 理 員 進(jìn) 行 配 置

20、工 作 。v （6） 自 我 保 護(hù) 、 流 控 和 計 費 等 其 他 功 能 。 防 火 墻 的 優(yōu) 缺 點v1 防 火 墻 的 優(yōu) 點v1） 提 供 掃 描 、 過 濾 功 能v 網(wǎng) 絡(luò) 間 流 入 流 出 的 所 有 數(shù) 據(jù) 均 要 經(jīng) 過 防 火 墻 。 防 火 墻 對 所 有 流 經(jīng) 的 數(shù)據(jù) 進(jìn) 行 掃 描 ， 能 夠 過 濾 掉 一 些 攻 擊 ， 以 免 其 在 目 標(biāo) 計 算 機(jī) 上 執(zhí) 行 。v2） 屏 蔽 端 口v 防 火 墻 不 僅 可 以 關(guān) 閉 不 使 用 的 端 口 ， 而 且 還 能 禁 止 特 定 端 口 的 流 出 通信 ， 封 鎖 特 洛 伊 木 馬 。

21、v3） 強 化 網(wǎng) 絡(luò) 安 全 策 略v 防 火 墻 通 過 完 善 的 安 全 策 略 ， 使 符 合 規(guī) 定 的 請 求 通 過 ， 阻 止 非 法 請 求 ；同 時 可 以 阻 止 外 部 網(wǎng) 絡(luò) 擅 自 連 接 到 內(nèi) 部 網(wǎng) 絡(luò) ， 以 達(dá) 到 保 護(hù) 內(nèi) 網(wǎng) 的 目 的 。例 如 ， 在 企 業(yè) 中 防 火 墻 可 以 控 制 內(nèi) 部 員 工 的 上 網(wǎng) 行 為 ， 防 止 公 司 機(jī) 密信 息 泄 露 。 防 火 墻 的 優(yōu) 缺 點v4） 有 效 記 錄 網(wǎng) 絡(luò) 連 接 行 為v防 火 墻 可 以 完 整 地 記 錄 內(nèi) 外 網(wǎng) 互 連 的 各 種 請 求 甚 至 通 信 信息

22、。 管 理 員 可 以 通 過 這 些 記 錄 來 判 斷 非 法 請 求 的 來 源 ， 內(nèi)網(wǎng) 是 否 有 病 毒 和 木 馬 存 在 ， 是 否 有 人 在 外 網(wǎng) 進(jìn) 行 攻 擊 等 。v5） 屏 蔽 用 戶v防 火 墻 能 夠 隔 離 網(wǎng) 絡(luò) 中 的 網(wǎng) 段 ， 防 止 一 個 網(wǎng) 段 出 問 題 后 影響 另 一 個 網(wǎng) 段 。 防 火 墻 還 可 以 確 保 從 外 網(wǎng) 無 法 直 接 查 看 到內(nèi) 網(wǎng) 的 主 機(jī) 信 息 ， 有 效 地 保 護(hù) 內(nèi) 網(wǎng) 的 安 全 。 防 火 墻 的 優(yōu) 缺 點v2 防 火 墻 的 缺 點v1） 不 能 防 范 惡 意 知 情 者v 防 火 墻

23、可 以 禁 止 系 統(tǒng) 用 戶 通 過 網(wǎng) 絡(luò) 連 接 發(fā) 送 專 有 信 息 ， 但 用 戶 可 以 將數(shù) 據(jù) 復(fù) 制 到 其 他 介 質(zhì) 中 帶 出 去 。 內(nèi) 部 用 戶 可 以 破 壞 防 火 墻 體 系 ， 巧 妙地 修 改 程 序 從 而 繞 開 防 火 墻 。 因 此 ， 對 于 來 自 知 情 者 的 威 脅 只 能 加 強內(nèi) 部 管 理 ， 對 用 戶 進(jìn) 行 安 全 教 育 。v2） 不 能 防 范 繞 開 防 火 墻 的 攻 擊v 防 火 墻 能 夠 有 效 地 防 止 通 過 它 進(jìn) 行 傳 輸 的 信 息 ， 然 而 不 能 防 止 不 通 過它 進(jìn) 行 傳 輸 的

24、信 息 。 如 果 站 點 允 許 對 防 火 墻 后 面 的 內(nèi) 部 系 統(tǒng) 進(jìn) 行 連 接 ，那 么 防 火 墻 就 沒 有 辦 法 阻 止 入 侵 者 的 入 侵 行 為 。 防 火 墻 的 優(yōu) 缺 點v3） 不 能 自 動 防 御 新 威 脅v防 火 墻 被 用 來 防 范 已 知 的 威 脅 ， 如 果 是 一 個 很 好 的 防 火 墻設(shè) 計 方 案 ， 可 以 防 范 新 的 威 脅 。 但 是 沒 有 一 個 防 火 墻 能 自動 防 范 所 有 新 威 脅 。v4） 防 火 墻 不 能 有 效 防 范 病 毒v病 毒 一 旦 感 染 內(nèi) 部 受 信 任 的 主 機(jī) ， 防 火

25、 墻 很 難 對 其 行 為 作出 識 別 和 過 濾 ， 從 而 不 能 有 效 防 范 病 毒 。 防 火 墻 的 分 類v防 火 墻 技 術(shù) 發(fā) 展 至 今 ， 已 經(jīng) 出 現(xiàn) 了 許 多 成 熟 的 產(chǎn) 品 。 根 據(jù)它 們 所 使 用 的 技 術(shù) ， 結(jié) 合OSI層 次 模 型 ， 可 將 防 火 墻 分 為以 下 幾 種 類 型 。v1 電 路 層 網(wǎng) 關(guān) 防 火 墻v電 路 層 網(wǎng) 關(guān) （circuit gateway） 防 火 墻 在 網(wǎng) 絡(luò) 的 傳 輸層 上 實 施 訪 問 策 略 。 它 通 過 在 內(nèi) 、 外 網(wǎng) 絡(luò) 主 機(jī) 之 間 建 立 一個 虛 擬 電 路 進(jìn) 行

26、通 信 ， 相 當(dāng) 于 在 防 火 墻 上 直 接 開 了 一 個 孔進(jìn) 行 傳 輸 ， 而 應(yīng) 用 層 防 火 墻 能 嚴(yán) 密 控 制 應(yīng) 用 層 的 信 息 。 防 火 墻 的 分 類v2 包 過 濾 型 防 火 墻v包 過 濾 型 （packet filter） 防 火 墻 是 一 種 報 文 過 濾 防火 墻 ， 這 個 層 次 的 防 火 墻 通 常 工 作 在 網(wǎng) 絡(luò) 層 及 以 下 。 它 基于 單 個 包 實 施 網(wǎng) 絡(luò) 控 制 ， 可 控 的 內(nèi) 容 主 要 包 括 報 文 的 源 地址 、 目 的 地 址 、 源 端 口 號 及 目 的 端 口 號 、 包 出 入 接 口

27、、 協(xié)議 類 型 、 數(shù) 據(jù) 包 中 的 各 種 標(biāo) 志 位 以 及 第 二 層 數(shù) 據(jù) 鏈 路 層 可控 的MAC地 址 等 。 防 火 墻 的 分 類v3 基 于 狀 態(tài) 的 包 過 濾 防 火 墻v這 種 防 火 墻 在 傳 統(tǒng) 的 包 過 濾 防 火 墻 的 基 礎(chǔ) 上 增 加了 對OSI參 考 模 型 第 四 層 的 支 持 ， 同 時 ， 防 火 墻會 在 自 身cache或 內(nèi) 存 中 維 護(hù) 一 個 動 態(tài) 的 狀 態(tài) 表 ，數(shù) 據(jù) 包 到 達(dá) 時 ， 對 該 數(shù) 據(jù) 包 的 處 理 方 式 將 綜 合 訪問 規(guī) 則 和 數(shù) 據(jù) 包 所 處 的 狀 態(tài) 。 防 火 墻 的 分

28、類 防 火 墻 的 分 類v5 混 合 型 防 火 墻v混 合 型 防 火 墻 （hybrid firewall） ， 就 是 把 過 濾 和 代理 服 務(wù) 等 功 能 結(jié) 合 起 來 ， 形 成 新 的 防 火 墻 ， 所 用 主 機(jī) 稱 為堡 壘 主 機(jī) ， 負(fù) 責(zé) 代 理 服 務(wù) 。v6 基 于 狀 態(tài) 檢 測 的 防 火 墻v目 前 ， 基 于 狀 態(tài) 檢 測 的 防 火 墻 是 屬 于 比 較 新 的 產(chǎn) 品 ， 是 由CheckPoint公 司 最 先 推 出 的 ， 其 設(shè) 計 思 想 源 于 基 于 狀 態(tài)的 包 過 濾 防 火 墻 ， 只 是 在 此 基 礎(chǔ) 上 增 加 了

29、對 應(yīng) 用 層 數(shù) 據(jù) 包的 審 核 。 防 火 墻 的 分 類v7 自 適 應(yīng) 代 理 技 術(shù)v自 適 應(yīng) 代 理 技 術(shù) 是 一 種 最 新 的 防 火 墻 技 術(shù) ， 在 一定 程 度 上 反 映 了 防 火 墻 目 前 的 發(fā) 展 動 態(tài) 。 該 技 術(shù)可 以 根 據(jù) 用 戶 定 義 的 安 全 策 略 ， 動 態(tài) 適 應(yīng) 傳 送 中的 分 組 流 量 。 如 果 安 全 要 求 較 高 ， 則 安 全 檢 查 應(yīng)在 應(yīng) 用 層 完 成 ， 以 保 證 代 理 防 火 墻 的 最 大 安 全 性 ；一 旦 代 理 明 確 了 會 話 的 所 有 細(xì) 節(jié) ， 其 后 的 數(shù) 據(jù) 包就 可

30、 以 直 接 通 過 網(wǎng) 絡(luò) 層 傳 送 。 防 火 墻 技 術(shù) 分 類 包 過 濾 技 術(shù)v1 包 過 濾 原 理v包 過 濾 技 術(shù) 的 基 本 工 作 原 理 是 允 許 或 不 允 許 某 些 包 在 網(wǎng) 絡(luò)上 傳 輸 。 其 遵 循 的 基 本 原 則 是 “ 最 小 特 權(quán) 原 則 ” ， 即 一 切未 被 允 許 的 就 是 被 禁 止 的 ， 一 切 未 被 禁 止 的 就 是 被 允 許 的 。 包 過 濾 技 術(shù)v2 包 過 濾 的 工 作 方 式v 幾 乎 所 有 的 包 過 濾 設(shè) 備 （ 過 濾 路 由 器 或 包 過 濾 網(wǎng) 關(guān) ） 都 按 照 如 下 方 式 工

31、作 ：v （1） 包 過 濾 標(biāo) 準(zhǔn) 必 須 由 包 過 濾 設(shè) 備 端 口 存 儲 起 來 ， 這 些 包 過 濾 標(biāo) 準(zhǔn) 叫 包 過 濾規(guī) 則 。v （2） 當(dāng) 包 到 達(dá) 端 口 時 ， 對 包 的 報 頭 進(jìn) 行 語 法 分 析 ， 大 多 數(shù) 包 過 濾 設(shè) 備 只 檢 查IP、TCP或UDP報 頭 中 的 字 段 ， 不 檢 查 包 體 的 內(nèi) 容 。v （3） 包 過 濾 器 規(guī) 則 以 特 殊 的 方 式 存 儲 。 應(yīng) 用 于 包 的 規(guī) 則 的 順 序 與 包 過 濾 器 規(guī)則 存 儲 的 順 序 相 同 。v （4） 如 果 一 條 規(guī) 則 阻 止 包 傳 輸 或 接 收

32、 ， 此 包 便 不 被 允 許 通 過 。v （5） 如 果 一 條 規(guī) 則 允 許 包 傳 輸 或 接 收 ， 該 包 可 以 繼 續(xù) 處 理 。v （6） 如 果 一 個 包 不 滿 足 任 何 一 條 規(guī) 則 ， 該 包 被 阻 塞 。 包 過 濾 技 術(shù)3 包 過 濾 的 分 類v 目 前 ， 常 用 的 數(shù) 據(jù) 包 過 濾 技 術(shù) 有 兩 種 ： 靜 態(tài) 包 過 濾 和 動 態(tài) 包 過 濾 。v1） 靜 態(tài) 包 過 濾v 一 般 防 火 墻 的 包 過 濾 規(guī) 則 是 在 啟 動 時 配 置 好 的 ， 只 有 系 統(tǒng) 管 理 員 可 以 修 改 ，是 靜 態(tài) 存 在 的 ， 稱

33、為 靜 態(tài) 規(guī) 則 。 利 用 靜 態(tài) 包 過 濾 規(guī) 則 建 立 的 防 火 墻 稱 為 靜 態(tài)包 過 濾 防 火 墻 。 這 種 類 型 的 防 火 墻 根 據(jù) 定 義 好 的 過 濾 規(guī) 則 審 查 每 個 數(shù) 據(jù) 包 ，并 與 規(guī) 則 表 進(jìn) 行 比 較 ， 以 便 確 定 其 是 否 與 某 一 條 過 濾 規(guī) 則 匹 配 。v2） 動 態(tài) 包 過 濾v 采 用 這 種 技 術(shù) 的 防 火 墻 對 通 過 其 建 立 的 每 個 連 接 都 進(jìn) 行 跟 蹤 ， 并 根 據(jù) 需 要 可動 態(tài) 地 在 過 濾 規(guī) 則 中 增 加 和 更 新 條 目 ， 即 采 用 了 基 于 連 接 狀

34、 態(tài) 的 檢 查 和 動 態(tài)設(shè) 置 包 過 濾 規(guī) 則 的 方 法 ， 將 屬 于 同 一 連 接 的 所 有 包 作 為 一 個 整 體 的 數(shù) 據(jù) 流 對待 ， 通 過 規(guī) 則 表 和 連 接 狀 態(tài) 表 的 共 同 配 合 進(jìn) 行 檢 查 。 應(yīng) 用 代 理 技 術(shù) 應(yīng) 用 代 理 型 防 火 墻 工 作 在OSI參 考 模 型 的 最高 層 ， 即 應(yīng) 用 層 。 其 特 點 是 完 全 “ 阻 隔 ” 了 網(wǎng) 絡(luò)通 信 流 ， 通 過 對 每 種 應(yīng) 用 服 務(wù) 編 制 專 門 的 代 理 程序 ， 實 現(xiàn) 監(jiān) 視 和 控 制 應(yīng) 用 層 通 信 流 的 作 用 。 應(yīng) 用 代 理

35、技 術(shù)1 代 理 與 代 理 服 務(wù)v所 謂 代 理 ， 就 是 一 個 提 供 替 代 連 接 并 且 充 當(dāng) 服 務(wù) 的 網(wǎng) 關(guān) 。代 理 也 稱 為 應(yīng) 用 級 網(wǎng) 關(guān) 。v代 理 服 務(wù) （proxy service） 是 針 對 數(shù) 據(jù) 包 過 濾 和 應(yīng) 用網(wǎng) 關(guān) 技 術(shù) 存 在 的 缺 點 而 引 入 的 防 火 墻 技 術(shù) ， 其 特 點 是 將 所有 跨 越 防 火 墻 的 網(wǎng) 絡(luò) 通 信 鏈 路 分 為 兩 段 。 防 火 墻 內(nèi) 部 計 算機(jī) 系 統(tǒng) 間 應(yīng) 用 層 的 “ 鏈 接 ” ， 由 兩 個 終 止 代 理 服 務(wù) 器 上 的“ 鏈 接 ” 來 實 現(xiàn) ， 外

36、部 計 算 機(jī) 的 網(wǎng) 絡(luò) 鏈 路 只 能 到 達(dá) 代 理 服務(wù) 器 ， 從 而 起 到 了 隔 離 防 火 墻 內(nèi) 外 計 算 機(jī) 系 統(tǒng) 的 作 用 。 應(yīng) 用 代 理 技 術(shù)v2 代 理 服 務(wù) 的 工 作 方 式 狀 態(tài) 檢 測 技 術(shù) 狀 態(tài) 檢 測 技 術(shù) 是 近 幾 年 才 應(yīng) 用 的 防 火 墻 新 技 術(shù) 。傳 統(tǒng) 的 包 過 濾 防 火 墻 只 是 通 過 檢 測 數(shù) 據(jù) 包 報 頭 的 相 關(guān) 信 息來 決 定 允 許 數(shù) 據(jù) 流 的 通 過 還 是 拒 絕 ， 而 狀 態(tài) 檢 測 技 術(shù) 采 用的 是 一 種 基 于 連 接 的 狀 態(tài) 檢 測 機(jī) 制 ， 將 屬 于

37、同 一 連 接 的 所有 包 作 為 一 個 整 體 的 數(shù) 據(jù) 流 看 待 ， 構(gòu) 成 連 接 狀 態(tài) 表 ， 通 過規(guī) 則 表 與 狀 態(tài) 表 的 共 同 配 合 對 表 中 的 各 個 連 接 狀 態(tài) 因 素 加以 識 別 。 狀 態(tài) 檢 測 技 術(shù)v狀 態(tài) 檢 測 防 火 墻 基 本 保 持 了 簡 單 包 過 濾 防 火 墻 的 優(yōu) 點 ， 性能 比 較 好 ， 同 時 對 應(yīng) 用 是 透 明 的 ， 安 全 性 有 了 大 幅 提 升 ；在 此 基 礎(chǔ) 上 ， 摒 棄 了 簡 單 包 過 濾 防 火 墻 僅 僅 考 察 進(jìn) 出 網(wǎng) 絡(luò)的 數(shù) 據(jù) 包 ， 不 關(guān) 心 數(shù) 據(jù) 包 狀

38、態(tài) 的 缺 點 ， 在 防 火 墻 的 核 心 部分 建 立 狀 態(tài) 鏈 接 表 ， 并 將 進(jìn) 出 網(wǎng) 絡(luò) 的 數(shù) 據(jù) 當(dāng) 成 一 個 個 事 件來 處 理 。 防 火 墻 的 體 系 結(jié) 構(gòu)v目 前 ， 常 用 的 防 火 墻 結(jié) 構(gòu) 主 要 有 雙 重 宿 主 主 機(jī) 結(jié) 構(gòu) 、 屏 蔽主 機(jī) 結(jié) 構(gòu) 、 屏 蔽 子 網(wǎng) 結(jié) 構(gòu) 以 及 組 合 結(jié) 構(gòu) 。 這 些 結(jié) 構(gòu) 的 防 火墻 所 提 供 的 基 本 服 務(wù) 有 終 端 訪 問 、 文 件 傳 輸 、 電 子 郵 件 、新 聞 、Web服 務(wù) 以 及 域 名 服 務(wù) 。 雙 重 宿 主 主 機(jī) 結(jié) 構(gòu) 雙 重 宿 主 主 機(jī) 結(jié)

39、 構(gòu)v雙 重 宿 主 主 機(jī) 可 以 用 于 把 一 個 內(nèi) 部 網(wǎng) 絡(luò) 從 一 個 不 可 信 的 外部 網(wǎng) 絡(luò) 分 離 出 來 。 它 不 能 轉(zhuǎn) 發(fā) 任 何TCP/IP流 量 ， 因 此 ，可 以 徹 底 隔 離 內(nèi) 部 和 外 部 不 可 信 網(wǎng) 絡(luò) 間 的 任 何IP流 量 。 防火 墻 運 行 代 理 軟 件 控 制 數(shù) 據(jù) 包 從 一 個 網(wǎng) 絡(luò) 流 向 另 一 個 網(wǎng) 絡(luò) ，這 樣 內(nèi) 部 網(wǎng) 絡(luò) 中 的 計 算 機(jī) 就 可 以 訪 問 外 部 網(wǎng) 絡(luò) 。 雙 重 宿 主 主 機(jī) 結(jié) 構(gòu)v在 雙 重 宿 主 主 機(jī) 結(jié) 構(gòu) 中 ， 與 外 部 網(wǎng) 絡(luò) 直 接 相 連 的 主 機(jī)

40、 需 要承 擔(dān) 堡 壘 主 機(jī) 的 角 色 。 它 作 為 一 種 被 強 化 的 可 防 御 進(jìn) 攻 的計 算 機(jī) ， 提 供 進(jìn) 入 內(nèi) 部 網(wǎng) 絡(luò) 的 一 個 檢 查 點 ， 以 達(dá) 到 對 整 個網(wǎng) 絡(luò) 的 安 全 問 題 集 中 解 決 的 目 的 。v雙 重 宿 主 主 機(jī) 是 防 火 墻 體 系 的 基 本 形 態(tài) 。 建 立 雙 重 宿 主 主機(jī) 的 關(guān) 鍵 是 要 禁 止 路 由 ， 網(wǎng) 絡(luò) 之 間 通 信 的 主 要 途 徑 是 通 過應(yīng) 用 層 的 代 理 軟 件 。 如 果 路 由 被 意 外 允 許 ， 那 么 雙 重 宿 主主 機(jī) 防 火 墻 的 功 能 就 會 被

41、 旁 路 ， 內(nèi) 部 受 保 護(hù) 網(wǎng) 絡(luò) 就 會 完 全暴 露 在 危 險 中 。 屏 蔽 主 機(jī) 結(jié) 構(gòu)1.屏 蔽 路 由 器 屏 蔽 主 機(jī) 結(jié) 構(gòu)v 屏 蔽 主 機(jī) 結(jié) 構(gòu) 的 防 火 墻 比 雙 重 宿 主 主 機(jī) 防 火 墻 更 安 全 。 屏 蔽 主機(jī) 防 火 墻 體 系 結(jié) 構(gòu) 是 在 防 火 墻 的 外 面 增 加 了 屏 蔽 路 由 器 。v 蔽 路 由 器 是 屏 蔽 主 機(jī) 結(jié) 構(gòu) 防 火 墻 的 有 機(jī) 組 成 部 分 ， 是 保 護(hù) 堡 壘主 機(jī) 或 服 務(wù) 主 機(jī) 以 及 內(nèi) 部 網(wǎng) 絡(luò) 的 第 一 道 防 線 。v 屏 蔽 路 由 器 一 般 遵 循 如 下 規(guī)

42、則 進(jìn) 行 數(shù) 據(jù) 過 濾 ：v 任 何 外 部 網(wǎng) 絡(luò) 的 主 機(jī) 只 能 與 堡 壘 主 機(jī) 建 立 連 接 。v 只 有 提 供 特 定 類 型 服 務(wù) 的 外 部 主 機(jī) 被 允 許 連 接 服 務(wù) 主 機(jī) 。v 僅 允 許 堡 壘 主 機(jī) 或 服 務(wù) 主 機(jī) 與 外 部 網(wǎng) 絡(luò) 進(jìn) 行 符 合 站 點 安 全 規(guī)則 的 連 接 。 屏 蔽 主 機(jī) 結(jié) 構(gòu)2 服 務(wù) 主 機(jī)v受 屏 蔽 路 由 器 直 接 保 護(hù) 的 可 以 是 傳 統(tǒng) 意 義 上 的 堡 壘 主 機(jī) ，也 可 以 是 功 能 豐 富 的 服 務(wù) 主 機(jī) 。 之 所 以 稱 為 服 務(wù) 主 機(jī) ， 是由 于 它 往 往

43、 需 要 向 內(nèi) 部 和 外 部 客 戶 提 供Internet服 務(wù) ，并 擔(dān) 任 多 重 角 色 。 例 如 ， 它 可 能 是 郵 件 服 務(wù) 器 、Usenet新 聞 服 務(wù) 器 和 本 站 點 的DNS服 務(wù) 器 ， 它 還 可 能 是 文 件 服 務(wù)器 、 打 印 服 務(wù) 器 等 ， 甚 至 它 可 能 是 本 站 點 的 唯 一 一 臺 計 算機(jī) 。 屏 蔽 子 網(wǎng) 結(jié) 構(gòu) 屏 蔽 子 網(wǎng) 結(jié) 構(gòu)v屏 蔽 子 網(wǎng) 防 火 墻 體 系 結(jié) 構(gòu) 添 加 額 外 的 安 全 層 到 主 機(jī) 屏 蔽 體系 結(jié) 構(gòu) ， 即 通 過 添 加 周 邊 網(wǎng) 絡(luò) 更 進(jìn) 一 步 地 把 內(nèi) 部 網(wǎng)

44、 絡(luò) 與 外網(wǎng) 隔 離 。 v屏 蔽 子 網(wǎng) 體 系 結(jié) 構(gòu) 的 最 簡 單 的 形 式 為 使 用 兩 個 屏 蔽 路 由 器 ，這 兩 個 路 由 器 分 別 位 于 堡 壘 主 機(jī) 的 兩 端 ， 一 端 連 接 內(nèi) 網(wǎng) ，一 端 連 接 外 網(wǎng) 。 為 了 入 侵 這 種 類 型 的 體 系 結(jié) 構(gòu) ， 入 侵 者 必須 穿 透 兩 個 屏 蔽 路 由 器 。 即 使 入 侵 者 控 制 了 堡 壘 主 機(jī) ， 他仍 然 需 要 通 過 內(nèi) 網(wǎng) 端 的 屏 蔽 路 由 器 才 能 到 達(dá) 內(nèi) 網(wǎng) 。 組 合 結(jié) 構(gòu)v 在 構(gòu) 造 防 火 墻 體 系 時 ， 一 般 很 少 使 用 單

45、一 的 技 術(shù) ， 通 常 都 是 使 用 多 種 解 決 方案 的 組 合 。 這 種 組 合 主 要 取 決 于 網(wǎng) 管 中 心 向 用 戶 提 供 什 么 服 務(wù) 以 及 網(wǎng) 管 中 心能 接 受 什 么 等 級 的 風(fēng) 險 。 還 要 看 投 資 經(jīng) 費 、 技 術(shù) 人 員 的 水 平 和 時 間 等 。 一 般包 括 下 面 幾 種 形 式 ：v （1） 使 用 多 個 堡 壘 主 機(jī) 。v （2） 合 并 內(nèi) 部 路 由 器 和 外 部 路 由 器 。v （3） 合 并 堡 壘 主 機(jī) 和 外 部 路 由 器 。v （4） 合 并 堡 壘 主 機(jī) 和 內(nèi) 部 路 由 器 。v （5

46、） 使 用 多 個 內(nèi) 部 路 由 器 。v （6） 使 用 多 個 外 部 路 由 器 。v （7） 使 用 多 個 周 邊 網(wǎng) 絡(luò) 。v （8） 使 用 雙 重 宿 主 主 機(jī) 與 屏 蔽 子 網(wǎng) 。 防 火 墻 部 署 的 基 本 原 則1 部 署 位 置v 首 先 ， 應(yīng) 該 安 裝 防 火 墻 的 位 置 是 單 位 內(nèi) 部 網(wǎng) 絡(luò) 與 外 部 網(wǎng) 絡(luò) 的 接口 處 ， 以 阻 擋 來 自 外 部 網(wǎng) 絡(luò) 的 入 侵 ； 其 次 ， 如 果 單 位 內(nèi) 部 網(wǎng) 絡(luò)規(guī) 模 較 大 ， 并 且 設(shè) 置 有 虛 擬 局 域 網(wǎng) （VLAN） ， 則 應(yīng) 該 在 各 個VLAN之 間 設(shè) 置

47、 防 火 墻 ； 第 三 ， 通 過 公 網(wǎng) 連 接 的 總 部 與 各 分 支 機(jī)構(gòu) 之 間 也 應(yīng) 該 設(shè) 置 防 火 墻 ， 如 果 有 條 件 ， 還 應(yīng) 該 同 時 在 總 部 與各 分 支 機(jī) 構(gòu) 之 間 分 別 組 建 虛 擬 專 用 網(wǎng) （VPN） 。v 安 裝 防 火 墻 的 基 本 原 則 是 ： 只 要 有 惡 意 侵 入 的 可 能 ， 無 論 是 內(nèi)部 網(wǎng) 絡(luò) 還 是 內(nèi) 部 網(wǎng) 絡(luò) 與 外 部 公 網(wǎng) 的 連 接 處 ， 都 應(yīng) 該 安 裝 防 火 墻 。 防 火 墻 部 署 的 基 本 原 則2.防 火 墻 產(chǎn) 品 的 選 擇選 擇 防 火 墻 產(chǎn) 品 應(yīng) 當(dāng) 綜

48、 合 考 慮 以 下 因 素 ：（1） 基 本 原 則 。 選 擇 防 火 墻 產(chǎn) 品 的 基 本 原 則 如 下 ：v 能 夠 承 擔(dān) 網(wǎng) 絡(luò) 整 體 保 護(hù) 者 責(zé) 任 。v 能 彌 補 操 作 系 統(tǒng) 等 基 礎(chǔ) 設(shè) 施 的 不 足 。v 為 使 用 者 提 供 不 同 平 臺 的 選 擇 。v 能 向 使 用 者 提 供 完 善 的 售 后 服 務(wù) 。v 總 成 本 不 應(yīng) 超 出 可 能 損 失 的 成 本 。v 易 擴(kuò) 充 。 防 火 墻 部 署 的 基 本 原 則（2） 防 火 墻 自 身 的 安 全 性 。 作 為 信 息 系 統(tǒng) 安 全 產(chǎn) 品 ， 防 火墻 本 身 也 應(yīng)

49、該 保 證 安 全 ， 不 給 外 部 侵 入 者 可 乘 之 機(jī) 。 通 常 ， 防 火 墻 的 安 全 性 問 題 來 自 兩 個 方 面 ： 第 一 ， 防 火墻 本 身 的 設(shè) 計 是 否 合 理 。 這 類 問 題 一 般 用 戶 根 本 無 從 入 手 ，只 有 通 過 權(quán) 威 認(rèn) 證 機(jī) 構(gòu) 的 全 面 測 試 才 能 確 定 。 第 二 ， 使 用是 否 恰 當(dāng) 。 防 火 墻 的 許 多 配 置 需 要 系 統(tǒng) 管 理 員 手 工 修 改 ，如 果 系 統(tǒng) 管 理 員 對 防 火 墻 不 夠 熟 悉 ， 就 有 可 能 在 配 置 過 程中 留 下 大 量 的 安 全 漏 洞

50、 。 防 火 墻 部 署 的 基 本 原 則（3） 考 慮 用 戶 的 需 求 。 企 業(yè) 安 全 政 策 中 往 往 有 些 需 求 不 是每 一 個 防 火 墻 都 會 提 供 的 ， 常 見 的 需 求 如 下 ：vIP地 址 轉(zhuǎn) 換v 雙 重DNSv 虛 擬 企 業(yè) 網(wǎng) 絡(luò)v 病 毒 掃 描 功 能v 特 殊 控 制 需 求 防 火 墻 部 署 的 基 本 原 則防 火 墻 在 選 購 和 使 用 時 經(jīng) 常 會 有 一 些 誤 區(qū) ：v（1） 最 全 的 就 是 最 好 的 ， 最 貴 的 就 是 最 好 的 。v（2） 一 次 配 置 ， 永 遠(yuǎn) 運 行 。v（3） 審 計 可 有

51、 可 無 。v（4） 廠 家 的 配 置 無 需 改 動 。本 章 小 結(jié)v本 章 首 先 介 紹 了 防 火 墻 技 術(shù) 的 基 本 概 念 、 作 用 、 優(yōu) 缺 點 及分 類 ； 詳 細(xì) 討 論 了 傳 統(tǒng) 防 火 墻 技 術(shù) 及 特 征 ； 然 后 總 結(jié) 比 較了 常 見 的 防 火 墻 體 系 結(jié) 構(gòu) ， 并 給 出 了 防 火 墻 部 署 過 程 中 應(yīng)遵 循 的 一 些 原 則 ； 最 后 通 過 對 防 火 墻 產(chǎn) 品Kerio WinRoute Firewall的 安 裝 、 配 置 方 法 的 介 紹 ， 使 讀 者對 防 火 墻 技 術(shù) 有 一 個 更 為 直 觀 的 認(rèn) 識 。