網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全5

《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全5》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全5（151頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、LOGO第第 5 講講LOGO2LOGO3v 防火墻定義防火墻定義 防火墻的本義原是指房屋之間修建的可以防止火災(zāi)發(fā)防火墻的本義原是指房屋之間修建的可以防止火災(zāi)發(fā)生時蔓延到別的房屋的墻。多數(shù)防火墻里都有一個重生時蔓延到別的房屋的墻。多數(shù)防火墻里都有一個重要的門，允許人們進入或離開房屋。即：防火墻在提要的門，允許人們進入或離開房屋。即：防火墻在提供增強安全性的同時允許必要的訪問。供增強安全性的同時允許必要的訪問。計算機網(wǎng)絡(luò)安全中的防火墻（計算機網(wǎng)絡(luò)安全中的防火墻（Firewall）指位于不同）指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合合

2、,做為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，根做為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，根據(jù)用戶的有關(guān)安全策略控制進出不同網(wǎng)絡(luò)安全域的訪據(jù)用戶的有關(guān)安全策略控制進出不同網(wǎng)絡(luò)安全域的訪問。問。LOGO網(wǎng)絡(luò)安全 第7講 保密通信（一）v 防火墻定義防火墻定義 William Cheswick和和Steve Beilovin（1994）：防火墻是放置在）：防火墻是放置在兩個網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：兩個網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過只允許本地安全策略授權(quán)的通信信息通過 雙向通信信息必須通過防火墻雙向通信信息必須通過防火墻 防火墻本身

3、不會影響信息的流通防火墻本身不會影響信息的流通 防火墻是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。傳統(tǒng)防火墻概念特指網(wǎng)絡(luò)層實現(xiàn)LOGO5防火墻系統(tǒng)模型防火墻系統(tǒng)模型 DMZ即隔離區(qū)，也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問即隔離區(qū)，也稱非軍事化區(qū)。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)

4、之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如Web服務(wù)器、服務(wù)器、FTP服務(wù)器和論壇等。服務(wù)器和論壇等。LOGO6LOGO7v 防火墻本身必須具有很強的抗攻擊能力，以確保其自身的防火墻本身必須具有很強的抗攻擊能力，以確保其自身的安全性。簡單的防火墻可以只用路由器實現(xiàn)，復(fù)雜的可以安全性。簡單的防火墻可以只用路由器實現(xiàn)，復(fù)雜的可以用主機、專用硬件設(shè)備及軟件甚至一個子網(wǎng)來實現(xiàn)。用主機、專用硬件設(shè)備及軟件甚至一個子網(wǎng)

5、來實現(xiàn)。通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專通常意義上講的硬防火墻為硬件防火墻，它是通過專用硬件和專用軟件的結(jié)合來達到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價格較貴，但效用軟件的結(jié)合來達到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現(xiàn)。果較好，一般小型企業(yè)和個人很難實現(xiàn)。軟件防火墻是通過軟件的方式來達到，價格便宜，但這類防火墻軟件防火墻是通過軟件的方式來達到，價格便宜，但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。防火墻安裝和投入使用后，要想充分發(fā)揮它的安全防護作用，必防火墻安裝和

6、投入使用后，要想充分發(fā)揮它的安全防護作用，必須對它進行跟蹤和動態(tài)維護，并及時對防火墻進行更新。須對它進行跟蹤和動態(tài)維護，并及時對防火墻進行更新。LOGO8v防火墻的目的和功能防火墻的目的和功能 防火墻負責(zé)管理風(fēng)險區(qū)域網(wǎng)絡(luò)和安全區(qū)域網(wǎng)絡(luò)防火墻負責(zé)管理風(fēng)險區(qū)域網(wǎng)絡(luò)和安全區(qū)域網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給風(fēng)險區(qū)域上的其他計算機，每個節(jié)點都暴露給風(fēng)險區(qū)域上的其他計算機，內(nèi)部網(wǎng)絡(luò)極易受到攻擊，內(nèi)部網(wǎng)絡(luò)的安全性要內(nèi)部網(wǎng)絡(luò)極易受到攻擊，內(nèi)部網(wǎng)絡(luò)的安全性要由每臺計算機來決定，并且由每臺計算機來決定，并且整個內(nèi)部網(wǎng)絡(luò)的安整個內(nèi)部網(wǎng)絡(luò)的安全性等

7、于其中防護能力最弱的系統(tǒng)全性等于其中防護能力最弱的系統(tǒng)?？梢园逊?。可以把防火墻想像成門衛(wèi)，所有進入的消息和發(fā)出的消火墻想像成門衛(wèi)，所有進入的消息和發(fā)出的消息都會被仔細檢查以嚴(yán)格遵守選定的安全標(biāo)準(zhǔn)。息都會被仔細檢查以嚴(yán)格遵守選定的安全標(biāo)準(zhǔn)。因此，對于連接到互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)，一定要因此，對于連接到互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)，一定要選用適當(dāng)?shù)姆阑饓?。選用適當(dāng)?shù)姆阑饓?。LOGO9v 應(yīng)用防火墻的目的應(yīng)用防火墻的目的1.所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交流必須經(jīng)過所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交流必須經(jīng)過防火墻。防火墻。2.確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。3.防止入侵者接近防御設(shè)施，限制

8、進入受保護網(wǎng)防止入侵者接近防御設(shè)施，限制進入受保護網(wǎng)絡(luò)，保護內(nèi)部網(wǎng)絡(luò)的安全。絡(luò)，保護內(nèi)部網(wǎng)絡(luò)的安全。4.只有按本地的安全策略被授權(quán)的信息才允許通只有按本地的安全策略被授權(quán)的信息才允許通過。過。5.防火墻本身具有防止被穿透的能力，防火墻本防火墻本身具有防止被穿透的能力，防火墻本身不受各種攻擊的影響。身不受各種攻擊的影響。6.為監(jiān)視網(wǎng)絡(luò)安全提供方便。為監(jiān)視網(wǎng)絡(luò)安全提供方便。LOGO10 防火墻已成為控制網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的防火墻已成為控制網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法，事實上在方法，事實上在Internet上的很多網(wǎng)站都是由上的很多網(wǎng)站都是由某種形式的防火墻加以保護的，某種形式的防火墻加以保護的

9、，任何關(guān)鍵性的任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后服務(wù)器，都建議放在防火墻之后。LOGO11v 防火墻基本功能防火墻基本功能防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，通過防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)要信息流到外部網(wǎng)絡(luò)。從總體上看，防火墻應(yīng)具有以下五大基本功能。具有以下五大基本功能。1.過濾進、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)

10、。過濾進、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。2.管理進、出內(nèi)部網(wǎng)絡(luò)的訪問行為。管理進、出內(nèi)部網(wǎng)絡(luò)的訪問行為。3.封堵某些禁止的業(yè)務(wù)。封堵某些禁止的業(yè)務(wù)。4.記錄通過防火墻的信息內(nèi)容和活動。記錄通過防火墻的信息內(nèi)容和活動。5.對網(wǎng)絡(luò)攻擊進行檢測和報警。對網(wǎng)絡(luò)攻擊進行檢測和報警。LOGO126.除此以外，有的防火墻還根據(jù)需求包括其他除此以外，有的防火墻還根據(jù)需求包括其他的功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換功能的功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)、雙重、雙重DNS（雙重（雙重DNS，即對外解析成公網(wǎng)地址，即對外解析成公網(wǎng)地址，對內(nèi)解析成內(nèi)網(wǎng)地址。）、虛擬專用網(wǎng)絡(luò)對內(nèi)解析成內(nèi)網(wǎng)地址。）、虛擬專用網(wǎng)絡(luò)(VPN)、掃毒功能、負載均衡和

11、計費等功能。、掃毒功能、負載均衡和計費等功能。為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，廣泛地應(yīng)用網(wǎng)絡(luò)拓撲技術(shù)、計算機中，廣泛地應(yīng)用網(wǎng)絡(luò)拓撲技術(shù)、計算機操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、訪問控制技術(shù)以及安全審計技術(shù)等。訪問控制技術(shù)以及安全審計技術(shù)等。LOGO13v防火墻的局限性防火墻的局限性通常，認(rèn)為防火墻可以保護處于它身后的內(nèi)部網(wǎng)絡(luò)不通常，認(rèn)為防火墻可以保護處于它身后的內(nèi)部網(wǎng)絡(luò)不受外界的侵襲和干擾，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)受外界的侵襲和干擾，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以結(jié)構(gòu)日趨復(fù)雜，

12、傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點。下的不足和弱點。1.防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)防火墻不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以據(jù)，防火墻無法檢查。傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。2.防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題。網(wǎng)絡(luò)攻擊中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部，對于來自企業(yè)內(nèi)部的員中有相當(dāng)一部分攻擊來自網(wǎng)絡(luò)內(nèi)部，對于來自企業(yè)內(nèi)部的員工來說，防火

13、墻形同虛設(shè)。防火墻可以設(shè)計為既防外也防內(nèi)，工來說，防火墻形同虛設(shè)。防火墻可以設(shè)計為既防外也防內(nèi)，但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。但絕大多數(shù)單位因為不方便，不要求防火墻防內(nèi)。LOGO143.由于防火墻性能上的限制，因此它通常不具備實時監(jiān)由于防火墻性能上的限制，因此它通常不具備實時監(jiān)控入侵的能力?？厝肭值哪芰Α?.防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行安全，而不能自作

14、主張。主張。5.防火墻不能防止受病毒感染的文件的傳輸。防火墻本防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防身并不具備查殺病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺所有的病毒。病毒的軟件，也沒有一種軟件可以查殺所有的病毒。6.防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進行攻擊，防火墻不能防止。器的漏洞進行攻擊，防火墻不能防止。LOGO157.防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有

15、些表面看來無害的數(shù)據(jù)防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。（式的攻擊。（數(shù)據(jù)驅(qū)動攻擊數(shù)據(jù)驅(qū)動攻擊是通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生是通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，數(shù)非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，數(shù)據(jù)驅(qū)動攻擊分為緩沖區(qū)溢出攻擊、輸入驗證攻擊、同步漏洞攻擊、據(jù)驅(qū)動攻擊分為緩沖區(qū)溢出攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。信任漏洞攻擊等。）8.防火墻不能防止內(nèi)部的泄密行為。防火

16、墻內(nèi)部的一個合法用戶主防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個合法用戶主動泄密，防火墻是無能為力的。動泄密，防火墻是無能為力的。9.防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻防火墻不能防止本身的安全漏洞的威脅。防火墻保護別人有時卻無法保護自己，目前還沒有廠商絕對保證防火墻不會存在安全漏無法保護自己，目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護。洞。因此對防火墻也必須提供某種安全保護。LOGO16 由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入口處設(shè)置防火墻系統(tǒng)不能有效地保護計算機口處設(shè)置防火墻系統(tǒng)不能有效地保

17、護計算機網(wǎng)絡(luò)的安全。而入侵檢測系統(tǒng)網(wǎng)絡(luò)的安全。而入侵檢測系統(tǒng)(Intrusion Detection System：IDS)可以彌補防火墻的可以彌補防火墻的不足，它為網(wǎng)絡(luò)提供實時的監(jiān)控，并且在發(fā)不足，它為網(wǎng)絡(luò)提供實時的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護手段?，F(xiàn)入侵的初期采取相應(yīng)的防護手段。IDS系統(tǒng)系統(tǒng)作為必要附加手段，已經(jīng)為大多數(shù)組織機構(gòu)作為必要附加手段，已經(jīng)為大多數(shù)組織機構(gòu)的安全構(gòu)架所接受。的安全構(gòu)架所接受。LOGO防火墻的設(shè)計策略防火墻的設(shè)計策略 防火墻一般執(zhí)行以下兩種基本設(shè)計策略中的防火墻一般執(zhí)行以下兩種基本設(shè)計策略中的一種。一種。（1）除非明確不允許，否則允許某種服務(wù)。）除非明

18、確不允許，否則允許某種服務(wù)。（2）除非明確允許，否則將禁止某種服務(wù)。）除非明確允許，否則將禁止某種服務(wù)。LOGO防火墻的安全策略防火墻的安全策略 研制和開發(fā)一個有效的防火墻，首先要設(shè)計和研制和開發(fā)一個有效的防火墻，首先要設(shè)計和制定一個有效的安全策略。安全策略應(yīng)包含以下主制定一個有效的安全策略。安全策略應(yīng)包含以下主要內(nèi)容：要內(nèi)容：（1 1）用戶賬號策略；）用戶賬號策略；（2 2）用戶權(quán)限策略；）用戶權(quán)限策略；（3 3）信任關(guān)系策略；）信任關(guān)系策略；（4 4）包過慮策略；）包過慮策略；（5 5）認(rèn)證策略；）認(rèn)證策略；（6 6）簽名策略；）簽名策略；（7 7）數(shù)據(jù)加密策略；）數(shù)據(jù)加密策略；（8 8）

19、密鑰分配策略；）密鑰分配策略；（9 9）審計策略。）審計策略。LOGO1用戶賬號策略用戶賬號策略2用戶權(quán)限策略用戶權(quán)限策略3信任關(guān)系策略信任關(guān)系策略單向信任關(guān)系單向信任關(guān)系 雙向信任關(guān)系雙向信任關(guān)系 LOGO多重信任關(guān)系多重信任關(guān)系LOGO4包過慮策略包過慮策略這里主要從以下幾個方面來討論包過濾策略：這里主要從以下幾個方面來討論包過濾策略：包過濾控制點；包過濾控制點；包過濾操作過程；包過濾操作過程；包過濾規(guī)則；包過濾規(guī)則；防止兩類不安全設(shè)計的措施；防止兩類不安全設(shè)計的措施；對特定協(xié)議包的過濾。對特定協(xié)議包的過濾。LOGO5認(rèn)證、簽名和數(shù)據(jù)加密策略認(rèn)證、簽名和數(shù)據(jù)加密策略6密鑰分配策略密鑰分配策

20、略7審計策略審計策略審計是用來記錄如下事件：審計是用來記錄如下事件：（1）哪個用戶訪問哪個對象；）哪個用戶訪問哪個對象；（2）用戶的訪問類型；）用戶的訪問類型；（3）訪問過程是否成功。）訪問過程是否成功。LOGO23LOGOv組成組件：硬件防火墻、軟件防火墻、芯片防火墻v實現(xiàn)平臺：windows、linux、unixv保護對象：主機防火墻、網(wǎng)絡(luò)防火墻v網(wǎng)絡(luò)性能：百兆防火墻、千兆防火墻v功能和技術(shù)：主機防火墻、病毒防火墻、智能防火墻v體系結(jié)構(gòu)：包過濾防火墻、應(yīng)用層代理、電路級網(wǎng)關(guān)、地址翻譯防火墻、狀態(tài)防火墻24LOGO25v按組成結(jié)構(gòu)分類：按組成結(jié)構(gòu)分類：目目前普遍應(yīng)用的防火墻前普遍應(yīng)用的防火墻

21、按組成結(jié)構(gòu)可分為以下三種。按組成結(jié)構(gòu)可分為以下三種。軟件防火墻：網(wǎng)絡(luò)版的軟件防火墻運行于特定軟件防火墻：網(wǎng)絡(luò)版的軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝好的計算機的計算機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整操作系統(tǒng)的支持，一般來說這臺計算機就是整個內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其他的軟個內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。才可以使用。LOGO26 硬件防火墻：這里說的硬件防火墻是針對芯片硬件防火墻：這里說的硬件防火墻是針對芯片級防火墻來說的。它們最大的差別

22、在于是否基級防火墻來說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，它們都基于都是這種所謂的硬件防火墻，它們都基于PC架構(gòu)，就是說，它們和普通的家庭用的架構(gòu)，就是說，它們和普通的家庭用的PC沒沒有太大區(qū)別。在這些有太大區(qū)別。在這些PC架構(gòu)計算機上運行一架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有UNIX、Linux和和FreeBSD系統(tǒng)。系統(tǒng)。LOGO27 芯片級防火墻：基于專門的硬件平臺，核芯片級防火墻：基于專門的硬件平臺，核心部分就是心部分就是ASIC芯

23、片，所有的功能都集芯片，所有的功能都集成做在芯片上。專有的成做在芯片上。專有的ASIC芯片促使它芯片促使它們比其他種類的防火墻速度更快，處理能們比其他種類的防火墻速度更快，處理能力更強，性能更高。力更強，性能更高。LOGO28v三種類型防火墻比較三種類型防火墻比較 由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是運行于由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是運行于一定的操作系統(tǒng)之上，就決定了它的功能是可一定的操作系統(tǒng)之上，就決定了它的功能是可以隨著客戶的實際需要而做相應(yīng)調(diào)整的，這一以隨著客戶的實際需要而做相應(yīng)調(diào)整的，這一點比較靈活。從性能上來說，多添加一個擴展點比較靈活。從性能上來說，多添加一個擴展功能就會對防火

24、墻處理數(shù)據(jù)的性能產(chǎn)生影響，功能就會對防火墻處理數(shù)據(jù)的性能產(chǎn)生影響，添加的擴展功能越多，防火墻的性能就下降的添加的擴展功能越多，防火墻的性能就下降的越快。越快。LOGO29 軟件防火墻和硬件防火墻的安全性很大程度軟件防火墻和硬件防火墻的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無論是上決定于操作系統(tǒng)自身的安全性。無論是UNIX、Linux還是還是FreeBSD系統(tǒng)，都或多或系統(tǒng)，都或多或少存在漏洞，一旦被人取得了控制權(quán)，將可少存在漏洞，一旦被人取得了控制權(quán)，將可以隨意修改防火墻上的策略和訪問權(quán)限，進以隨意修改防火墻上的策略和訪問權(quán)限，進入內(nèi)網(wǎng)進行任意破壞，將危及整個內(nèi)網(wǎng)的安入內(nèi)網(wǎng)進行任意破壞，

25、將危及整個內(nèi)網(wǎng)的安全。芯片級防火墻不存在這個問題，自身有全。芯片級防火墻不存在這個問題，自身有很好的安全保護，所以較其他類型的防火墻很好的安全保護，所以較其他類型的防火墻安全性高一些。安全性高一些。LOGO30 芯片級防火墻專有的芯片級防火墻專有的ASIC芯片，促使它們比其芯片，促使它們比其他種類的防火墻速度更快，處理能力更強。專用他種類的防火墻速度更快，處理能力更強。專用硬件和軟件的結(jié)合提供了線速處理、深層次信息硬件和軟件的結(jié)合提供了線速處理、深層次信息包檢查、堅固的加密、復(fù)雜內(nèi)容和行為掃描功能包檢查、堅固的加密、復(fù)雜內(nèi)容和行為掃描功能的優(yōu)化等，不會在網(wǎng)絡(luò)流量的處理上出現(xiàn)瓶頸。的優(yōu)化等，不會

26、在網(wǎng)絡(luò)流量的處理上出現(xiàn)瓶頸。采用采用PC架構(gòu)的硬件防火墻技術(shù)在百兆防火墻上架構(gòu)的硬件防火墻技術(shù)在百兆防火墻上取得了很大的成功，但由于取得了很大的成功，但由于CPU處理能力和處理能力和PCI總線速度的制約，在實際應(yīng)用中，尤其在小包情總線速度的制約，在實際應(yīng)用中，尤其在小包情況下，這種結(jié)構(gòu)的千兆防火墻遠遠達不到千兆的況下，這種結(jié)構(gòu)的千兆防火墻遠遠達不到千兆的轉(zhuǎn)發(fā)速度，難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。轉(zhuǎn)發(fā)速度，難以滿足千兆骨干網(wǎng)絡(luò)的應(yīng)用要求。目前使用芯片級防火墻技術(shù)成為實現(xiàn)千兆防火墻目前使用芯片級防火墻技術(shù)成為實現(xiàn)千兆防火墻的主要選擇。的主要選擇。LOGO31v按采用技術(shù)分類：按采用技術(shù)分類：常見防

27、火墻按采用常見防火墻按采用的技術(shù)分類主要有包過濾防火墻、代的技術(shù)分類主要有包過濾防火墻、代理防火墻和狀態(tài)監(jiān)測防火墻，每種防理防火墻和狀態(tài)監(jiān)測防火墻，每種防火墻都有各自的優(yōu)缺點?；饓Χ加懈髯缘膬?yōu)缺點。LOGO32v 包過濾防火墻包過濾防火墻 包過濾（包過濾（Packet Filtering）是第一代防火墻技）是第一代防火墻技術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它術(shù)。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，它工作在工作在OSI模型的網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是模型的網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以以“包包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一

28、定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的一些特定信息，如數(shù)據(jù)的IP源地址、源地址、IP目標(biāo)地目標(biāo)地址、封裝協(xié)議址、封裝協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP源端口和目標(biāo)端口等。源端口和目標(biāo)端口等。LOGO33 包過濾操作通常在選擇路由的同時對數(shù)據(jù)包進包過濾操作通常在選擇路由的同時對數(shù)據(jù)包進行過濾行過濾(通常是對從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進通常是對從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進行過濾行過濾)。包過濾這個操作可以在路由器上進行，。包過濾這個操作可以在路由器上進行，也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。傳統(tǒng)的包過濾只是與規(guī)則表

29、進行匹配。防火墻傳統(tǒng)的包過濾只是與規(guī)則表進行匹配。防火墻的的IP包過濾，主要是根據(jù)一個有固定排序的規(guī)包過濾，主要是根據(jù)一個有固定排序的規(guī)則鏈過濾，其中的每個規(guī)則包含著則鏈過濾，其中的每個規(guī)則包含著IP地址、端地址、端口、傳輸方向、分包、協(xié)議等多項內(nèi)容。同時，口、傳輸方向、分包、協(xié)議等多項內(nèi)容。同時，一般防火墻的包過濾的過濾規(guī)則是在啟動時配一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)過濾規(guī)則。存在的，稱為靜態(tài)過濾規(guī)則。LOGO34 有些防火墻采用了基于連接狀態(tài)的檢查，將屬有些防火墻采用了基于連接狀態(tài)的檢查

30、，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進行待，通過規(guī)則表與連接狀態(tài)表的共同配合進行檢查，稱為動態(tài)過濾規(guī)則。檢查，稱為動態(tài)過濾規(guī)則。包過濾類型的防火墻要遵循的一條基本原則是包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則最小特權(quán)原則”，即明確允許管理員指定希，即明確允許管理員指定希望通過的數(shù)據(jù)包，而禁止其他的數(shù)據(jù)包。望通過的數(shù)據(jù)包，而禁止其他的數(shù)據(jù)包。LOGO包過濾模型包過濾模型 LOGO包過濾一般要檢查下面幾項：包過濾一般要檢查下面幾項：（1 1）IPIP源地址；源地址；（2 2）IPIP目的地址；目的地

31、址；（3 3）協(xié)議類型（）協(xié)議類型（TCPTCP包、包、UDPUDP包和包和ICMPICMP包）；包）；（4 4）TCPTCP或或UDPUDP的源端口；的源端口；（5 5）TCPTCP或或UDPUDP的目的端口；的目的端口；（6 6）ICMPICMP消息類型；消息類型；（7 7）TCPTCP報頭中的報頭中的ACKACK位。位。另外，另外，TCPTCP的序列號、確認(rèn)號，的序列號、確認(rèn)號，IPIP校驗以及分段校驗以及分段偏移也往往是要檢查的選項。偏移也往往是要檢查的選項。LOGO 在決定包過濾防火墻是否返回在決定包過濾防火墻是否返回ICMP錯誤代碼錯誤代碼時，應(yīng)考慮以下幾點。時，應(yīng)考慮以下幾點。防

32、火墻應(yīng)該發(fā)送什么消息。防火墻應(yīng)該發(fā)送什么消息。是否負擔(dān)得起生成和返回錯誤代碼的高額費用。是否負擔(dān)得起生成和返回錯誤代碼的高額費用。返回錯誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送返回錯誤代碼能使得侵襲者得到很多有關(guān)你發(fā)送的數(shù)據(jù)包過濾信息。的數(shù)據(jù)包過濾信息。什么錯誤代碼對你的網(wǎng)站有意義。什么錯誤代碼對你的網(wǎng)站有意義。LOGOv 一個可靠的分組過濾防火墻依賴于規(guī)則集v 第一條規(guī)則：主機10.1.1.1任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機10.1.1.1的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則：任何主機的20端口訪問主機10

33、.1.1.1小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.1*TCP2允許*10.1.1.120*TCP3禁止*10.1.1.120102323任意拒絕B入202.108.5.6116.111.4.0TCP231023是任意C出116.111.4.0任意TCP102323任意允許D入任意116.111.4.0TCP231023是允許E出116.111.4.1任意TCP102325任意允許F入任意116.111.4.1TCP251023是允許G入任意116.111.4.1TCP102325任意允許H出116.111.4

34、.1任意TCP251023任意允許I出116.111.4.0任意TCP102380任意允許41LOGOv 規(guī)則A、B用來阻止你的內(nèi)部主機以Telnet服務(wù)形式聯(lián)接到站202.108.5.6，規(guī)則C、D允許你的內(nèi)部主機以Telnet方式訪問Internet上的任何主機。這似乎和我們的政策發(fā)生了矛盾，但事實上并部矛盾。在前面提到過規(guī)則的次序是十分重要的，而且防火墻實施規(guī)則的特點是當(dāng)防火墻找到匹配的規(guī)則后就不再向下應(yīng)用其他的規(guī)則，所以當(dāng)內(nèi)部網(wǎng)主機訪問站點202.108.5.6，并試圖通過Telnet建立聯(lián)接時，這個聯(lián)接請求會被規(guī)則A阻塞，因為規(guī)則A正好與之相匹配。至于規(guī)則B，實際上并非毫無用處，規(guī)則

35、B用來限制站點202.108.5.6 Telnet服務(wù)的返回包。事實上，內(nèi)部主機試圖建立Telnet聯(lián)接時就會被阻塞，一般不會存在返回包，但高明的用戶也可能想出辦法使聯(lián)接成功，那時B規(guī)則也會有用，總之，有些冗余對安全是有好處的。當(dāng)用戶以Telnet方式訪問除202.105.5.6之外的其他站點時，規(guī)則A、B不匹配，所以應(yīng)用C、D規(guī)則，內(nèi)部主機被允許建立聯(lián)接，返回包也被允許入站。v 規(guī)則E、F用于允許出站的SMTP服務(wù)，規(guī)則G、H用于允許入站的SMTP服務(wù)，SMTP服務(wù)的端口是25。v I和J規(guī)則用于允許出站的WWW服務(wù)，K、L規(guī)則用于允許網(wǎng)絡(luò)95.120.7.0的主機訪問你的網(wǎng)絡(luò)WWW服務(wù)器。

36、v 規(guī)則M是默認(rèn)項，它實現(xiàn)的準(zhǔn)則是“沒有明確允許就表示禁止”。42LOGO43 包過濾防火墻的優(yōu)點包過濾防火墻的優(yōu)點 一個包過濾防火墻能協(xié)助保護整個網(wǎng)絡(luò)一個包過濾防火墻能協(xié)助保護整個網(wǎng)絡(luò)。一個單個。一個單個的、恰當(dāng)放置的包過濾防火墻有助于保護整個網(wǎng)絡(luò)，的、恰當(dāng)放置的包過濾防火墻有助于保護整個網(wǎng)絡(luò)，這是數(shù)據(jù)包過濾的主要優(yōu)點。這是數(shù)據(jù)包過濾的主要優(yōu)點。數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾不要求任何自數(shù)據(jù)包過濾對用戶透明。數(shù)據(jù)包過濾不要求任何自定義軟件或者客戶機配置，也不要求用戶任何特殊定義軟件或者客戶機配置，也不要求用戶任何特殊的訓(xùn)練或者操作。當(dāng)數(shù)據(jù)包過濾防火墻決定讓數(shù)據(jù)的訓(xùn)練或者操作。當(dāng)數(shù)據(jù)包過濾防

37、火墻決定讓數(shù)據(jù)包通過時，它與普通路由器沒什么區(qū)別。較強的包通過時，它與普通路由器沒什么區(qū)別。較強的“透明度透明度”是包過濾的一大優(yōu)勢。是包過濾的一大優(yōu)勢。LOGO44 速度快、效率高。包過濾防火墻只檢查報頭速度快、效率高。包過濾防火墻只檢查報頭相應(yīng)的字段，一般不查看數(shù)據(jù)報的內(nèi)容，而相應(yīng)的字段，一般不查看數(shù)據(jù)報的內(nèi)容，而且某些核心部分是由專用硬件實現(xiàn)的，故其且某些核心部分是由專用硬件實現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高。轉(zhuǎn)發(fā)速度快、效率較高。價格較低。相對于其他類型的防火墻，包過價格較低。相對于其他類型的防火墻，包過濾防火墻的價格較低。濾防火墻的價格較低。LOGO45 包過濾防火墻的缺點包過濾防火墻

38、的缺點 不能徹底防止地址欺騙。大多數(shù)包過濾防火墻都是基不能徹底防止地址欺騙。大多數(shù)包過濾防火墻都是基于源于源IP地址、目的地址、目的IP地址而進行過濾的。而地址而進行過濾的。而IP地址的地址的偽造是很容易、很普遍的。包過濾防火墻在這點上大偽造是很容易、很普遍的。包過濾防火墻在這點上大都無能為力。即使按都無能為力。即使按MAC地址進行綁定，也是不可信地址進行綁定，也是不可信的。對于一些安全性要求較高的網(wǎng)絡(luò)，包過濾防火墻的。對于一些安全性要求較高的網(wǎng)絡(luò)，包過濾防火墻是不能勝任的。是不能勝任的。一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾。如RPC、X-Window等。等。LOG

39、O46 無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完無法執(zhí)行某些安全策略。包過濾防火墻上的信息不能完全滿足用戶對安全策略的需求。例如，對于數(shù)據(jù)包的來全滿足用戶對安全策略的需求。例如，對于數(shù)據(jù)包的來源，包過濾防火墻只能限制主機而不能限制用戶；對于源，包過濾防火墻只能限制主機而不能限制用戶；對于數(shù)據(jù)包的去向，包過濾防火墻不能通過端口號對高級協(xié)數(shù)據(jù)包的去向，包過濾防火墻不能通過端口號對高級協(xié)議強行限制。議強行限制。數(shù)據(jù)包過濾工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難數(shù)據(jù)包過濾工具存在很多局限性。如數(shù)據(jù)包過濾規(guī)則難以配置、過濾規(guī)則冗長而復(fù)雜不易理解和管理、規(guī)則的以配置、過濾規(guī)則冗長而復(fù)雜不易理解和管理

40、、規(guī)則的正確性測試?yán)щy、隨過濾數(shù)目的增加防火墻性能下降、正確性測試?yán)щy、隨過濾數(shù)目的增加防火墻性能下降、沒有用戶的使用記錄以及無黑客的攻擊記錄。沒有用戶的使用記錄以及無黑客的攻擊記錄。LOGO47v包過濾防火墻技術(shù)雖然能確保一定的安包過濾防火墻技術(shù)雖然能確保一定的安全保護，且也有許多優(yōu)點，但是包過濾全保護，且也有許多優(yōu)點，但是包過濾防火墻技術(shù)，本身存在較多缺陷，不能防火墻技術(shù)，本身存在較多缺陷，不能提供較高的安全性。在實際應(yīng)用中，現(xiàn)提供較高的安全性。在實際應(yīng)用中，現(xiàn)在很少把包過濾技術(shù)當(dāng)作單獨的安全解在很少把包過濾技術(shù)當(dāng)作單獨的安全解決方案，而是把它與其他防火墻技術(shù)揉決方案，而是把它與其他防火墻

41、技術(shù)揉合在一起使用。合在一起使用。LOGO48v代理防火墻：代理防火墻：代理防火墻是一種較新型的防代理防火墻是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)防火墻和電路火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)防火墻和電路層網(wǎng)關(guān)防火墻。層網(wǎng)關(guān)防火墻。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。代理防火墻記錄所有應(yīng)用程序的訪問情況，記代理防火墻記錄所有應(yīng)用程序的訪問情況，記錄和控制所有進出流量的能力是代理防火墻的錄和控制所有進出流量的能力是代理防火墻的主要優(yōu)點之一。代理防火墻一般是運行代理服主要優(yōu)點之一

42、。代理防火墻一般是運行代理服務(wù)器的主機。務(wù)器的主機。LOGO49 代理服務(wù)器指代表客戶處理與服務(wù)器連接的請代理服務(wù)器指代表客戶處理與服務(wù)器連接的請求的程序。當(dāng)代理服務(wù)器接收到用戶對某站點求的程序。當(dāng)代理服務(wù)器接收到用戶對某站點的訪問請求后會檢查該請求是否符合規(guī)則，如的訪問請求后會檢查該請求是否符合規(guī)則，如果規(guī)則允許用戶訪問該站點的話，代理服務(wù)器果規(guī)則允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣去那個站點取回所需信息再會像一個客戶一樣去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個高速轉(zhuǎn)發(fā)給客戶。代理服務(wù)器通常都擁有一個高速緩存，這個緩存存儲著用戶經(jīng)常訪問的站點內(nèi)緩存，這個緩存

43、存儲著用戶經(jīng)常訪問的站點內(nèi)容，在下一個用戶要訪問同一站點時，服務(wù)器容，在下一個用戶要訪問同一站點時，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時間也節(jié)約了網(wǎng)絡(luò)資源。容發(fā)出即可，既節(jié)約了時間也節(jié)約了網(wǎng)絡(luò)資源。LOGO50 代理服務(wù)器通常運行在兩個網(wǎng)絡(luò)之間，它對于代理服務(wù)器通常運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺服務(wù)器，而對于外界的服務(wù)客戶來說像是一臺服務(wù)器，而對于外界的服務(wù)器來說，它又是一臺客戶機。器來說，它又是一臺客戶機。工作原理如圖所示。工作原理如圖所示。LOGO51真實服務(wù)器外部響應(yīng)轉(zhuǎn)發(fā)請求應(yīng)用層代理服務(wù)代理服務(wù)器請求轉(zhuǎn)

44、發(fā)響應(yīng)I真實的客戶端應(yīng)用協(xié)議分析代理客戶InternetIntranet代理的工作方式代理的工作方式LOGO52v應(yīng)用層網(wǎng)關(guān)型防火墻應(yīng)用層網(wǎng)關(guān)型防火墻(應(yīng)用級代理應(yīng)用級代理)應(yīng)用層網(wǎng)關(guān)防火墻也就是傳統(tǒng)的代理型防火墻。應(yīng)用層網(wǎng)關(guān)防火墻也就是傳統(tǒng)的代理型防火墻。應(yīng)用層網(wǎng)關(guān)型防火墻工作在應(yīng)用層網(wǎng)關(guān)型防火墻工作在OSI模型的應(yīng)用層，模型的應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。它的核心技術(shù)就是代且針對特定的應(yīng)用層協(xié)議。它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用的服務(wù)器或工作站系統(tǒng)上。它適用于特定的互用的服務(wù)器或工作站系統(tǒng)上。它適用于特定的互聯(lián)網(wǎng)服務(wù)

45、，如超文本傳輸聯(lián)網(wǎng)服務(wù)，如超文本傳輸(HTTP)和遠程文件傳和遠程文件傳輸輸(FTP)等。應(yīng)用級網(wǎng)關(guān)比單一的包過濾更為可等。應(yīng)用級網(wǎng)關(guān)比單一的包過濾更為可靠，而且會詳細地記錄所有的訪問狀態(tài)信息。靠，而且會詳細地記錄所有的訪問狀態(tài)信息。LOGO1 1應(yīng)用級代理應(yīng)用級代理 應(yīng)用級代理有兩種情況，一種是內(nèi)部網(wǎng)通過代應(yīng)用級代理有兩種情況，一種是內(nèi)部網(wǎng)通過代理訪問外部網(wǎng)。另一種情況是，外部網(wǎng)通過代理訪理訪問外部網(wǎng)。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)。問內(nèi)部網(wǎng)。代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略，它會對應(yīng)用程序的數(shù)據(jù)進行校更嚴(yán)格的安全策略，

46、它會對應(yīng)用程序的數(shù)據(jù)進行校驗以確保數(shù)據(jù)格式可以接受。驗以確保數(shù)據(jù)格式可以接受。LOGOTelnet代理服務(wù)代理服務(wù)LOGO Internet客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機客戶通過代理服務(wù)器訪問內(nèi)部網(wǎng)主機LOGO56 但是應(yīng)用級網(wǎng)關(guān)也存在一些不足之處，首先它會但是應(yīng)用級網(wǎng)關(guān)也存在一些不足之處，首先它會使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對每一個特定的互聯(lián)網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對每一個特定的互聯(lián)網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊被服

47、務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件，并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件的客戶端軟件，并且不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。都可以使用代理服務(wù)器。LOGO57 應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實施一個較包過濾更為嚴(yán)格的安全策略，為每一個期望的應(yīng)用服更為嚴(yán)格的安全策略，為每一個期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼務(wù)在其網(wǎng)關(guān)上安裝專用的代碼(一個代理服務(wù)一個代理服務(wù))，同時，代理代碼也可以配置成支持一個應(yīng)用服同時，代理代碼也可以配置成支持一個應(yīng)用服務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是務(wù)的某些特定的特性。對應(yīng)用服務(wù)的訪問都是通過訪問相應(yīng)的代理

48、服務(wù)實現(xiàn)的，而不允許用通過訪問相應(yīng)的代理服務(wù)實現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。戶直接登錄到應(yīng)用層網(wǎng)關(guān)。應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買網(wǎng)關(guān)硬件平應(yīng)用層網(wǎng)關(guān)安全性的提高是以購買網(wǎng)關(guān)硬件平臺的費用為代價的。臺的費用為代價的。LOGO58 應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令應(yīng)用層網(wǎng)關(guān)的好處在于代理服務(wù)限制了命令集合和內(nèi)部主機支持的服務(wù)。它授予網(wǎng)絡(luò)管集合和內(nèi)部主機支持的服務(wù)。它授予網(wǎng)絡(luò)管理員對每一個服務(wù)的完全控制權(quán)。另外，應(yīng)理員對每一個服務(wù)的完全控制權(quán)。另外，應(yīng)用層網(wǎng)關(guān)安全性較好，支持強用戶認(rèn)證、提用層網(wǎng)關(guān)安全性較好，支持強用戶認(rèn)證、提供詳細的日志信息以及較包過濾更易于配置供詳細的日志信息以

49、及較包過濾更易于配置和測試的過濾規(guī)則。和測試的過濾規(guī)則。應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要在訪應(yīng)用層網(wǎng)關(guān)的最大的局限性在于它需要在訪問代理服務(wù)的系統(tǒng)上安裝特殊的軟件，此外問代理服務(wù)的系統(tǒng)上安裝特殊的軟件，此外速度相對比較慢。速度相對比較慢。LOGO59v電路層網(wǎng)關(guān)防火墻：另一種類型的代電路層網(wǎng)關(guān)防火墻：另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)或理技術(shù)稱為電路層網(wǎng)關(guān)或TCP通道。通道。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包。的終點之間轉(zhuǎn)換包。LOGO60 電路層網(wǎng)關(guān)工作在會話層。在兩主機首次建立電

50、路層網(wǎng)關(guān)工作在會話層。在兩主機首次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求，并轉(zhuǎn)發(fā)請求，與被保護的主機連接收外來請求，并轉(zhuǎn)發(fā)請求，與被保護的主機連接時則擔(dān)當(dāng)客戶機角色，起代理服務(wù)的作用。它監(jiān)時則擔(dān)當(dāng)客戶機角色，起代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息是否合乎邏輯，視兩主機建立連接時的握手信息是否合乎邏輯，信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進行過信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進行過濾。電路層網(wǎng)關(guān)中特殊的客戶程序只在初次連接濾。電路層網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后透明。只有懂得如何時進行安全協(xié)商控制

51、，其后透明。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一邊的服務(wù)器。邊的服務(wù)器。LOGO61 電路層網(wǎng)關(guān)防火墻的特點是將所有跨越防火墻電路層網(wǎng)關(guān)防火墻的特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的系統(tǒng)間應(yīng)用層的“鏈接鏈接”，由兩個終止代理服，由兩個終止代理服務(wù)器上的務(wù)器上的“鏈接鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)火墻內(nèi)外計算機系統(tǒng)的作

52、用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。員發(fā)出警報，并保留攻擊痕跡。LOGO62 電路層網(wǎng)關(guān)常用于向外連接，這時網(wǎng)絡(luò)管理員電路層網(wǎng)關(guān)常用于向外連接，這時網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的。電路層網(wǎng)關(guān)防火墻可對其內(nèi)部用戶是信任的。電路層網(wǎng)關(guān)防火墻可以被設(shè)置成混合網(wǎng)關(guān)，對內(nèi)連接支持應(yīng)用層或以被設(shè)置成混合網(wǎng)關(guān)，對內(nèi)連接支持應(yīng)用層或代理服務(wù)，而對外連接支持電路層功能。這樣代理服務(wù)，而對外連接支持電路層功能。這樣使得防火墻系統(tǒng)對于要訪問使得防火

53、墻系統(tǒng)對于要訪問Internet服務(wù)的內(nèi)服務(wù)的內(nèi)部用戶來說使用起來很方便，由于連接似乎是部用戶來說使用起來很方便，由于連接似乎是起源于防火墻，因而可以隱藏受保護網(wǎng)絡(luò)的有起源于防火墻，因而可以隱藏受保護網(wǎng)絡(luò)的有關(guān)信息，又能提供保護內(nèi)部網(wǎng)絡(luò)免于外部攻擊關(guān)信息，又能提供保護內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。的防火墻功能。LOGO電路級網(wǎng)關(guān)電路級網(wǎng)關(guān) LOGO Socks服務(wù)器服務(wù)器 Socks是一種非常強大的電路級網(wǎng)關(guān)防火墻，它只是一種非常強大的電路級網(wǎng)關(guān)防火墻，它只中繼基于中繼基于TCP的數(shù)據(jù)包的數(shù)據(jù)包LOGO65v 代理技術(shù)的優(yōu)點：代理技術(shù)的優(yōu)點：1.代理易于配置。因為代理是一個軟件，所以它較代

54、理易于配置。因為代理是一個軟件，所以它較包過濾更易配置，配置界面十分友好。如果代理包過濾更易配置，配置界面十分友好。如果代理實現(xiàn)得好，可以對配置協(xié)議要求較低，從而避免實現(xiàn)得好，可以對配置協(xié)議要求較低，從而避免了配置錯誤。了配置錯誤。2.代理能生成各項記錄。因為代理工作在應(yīng)用層，代理能生成各項記錄。因為代理工作在應(yīng)用層，它檢查各項數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理它檢查各項數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理生成各項日志、記錄。這些日志、記錄對于流量生成各項日志、記錄。這些日志、記錄對于流量分析和安全檢驗是十分重要和寶貴的。當(dāng)然，也分析和安全檢驗是十分重要和寶貴的。當(dāng)然，也可以用于記費等應(yīng)用。可以用于

55、記費等應(yīng)用。LOGO663.代理能靈活、完全地控制進出流量和內(nèi)容。代理能靈活、完全地控制進出流量和內(nèi)容。通過采取一定的措施，按照一定的規(guī)則，可通過采取一定的措施，按照一定的規(guī)則，可以借助代理實現(xiàn)一整套的安全策略，比如可以借助代理實現(xiàn)一整套的安全策略，比如可說控制說控制“誰誰”、“什么什么”、“時間時間”、“地地點點”。4.代理能過濾數(shù)據(jù)內(nèi)容?？梢园岩恍┻^濾規(guī)則代理能過濾數(shù)據(jù)內(nèi)容?？梢园岩恍┻^濾規(guī)則應(yīng)用于代理，讓它在高層實現(xiàn)過濾功能，例應(yīng)用于代理，讓它在高層實現(xiàn)過濾功能，例如文本過濾、圖像過濾如文本過濾、圖像過濾(目前還未實現(xiàn)，但這目前還未實現(xiàn)，但這是一個熱點研究領(lǐng)域是一個熱點研究領(lǐng)域)，預(yù)防病

56、毒或掃描病毒，預(yù)防病毒或掃描病毒等。等。LOGO675.代理能為用戶提供透明的加密機制。用戶通過代理進代理能為用戶提供透明的加密機制。用戶通過代理進出數(shù)據(jù)，可以讓代理完成加解密的功能，從而方便用出數(shù)據(jù)，可以讓代理完成加解密的功能，從而方便用戶，確保數(shù)據(jù)的機密性。這點在虛擬專用網(wǎng)中特別重戶，確保數(shù)據(jù)的機密性。這點在虛擬專用網(wǎng)中特別重要。代理可以廣泛地用于企業(yè)外部網(wǎng)中，提供較高安要。代理可以廣泛地用于企業(yè)外部網(wǎng)中，提供較高安全性的數(shù)據(jù)通信。全性的數(shù)據(jù)通信。6.代理可以方便地與其他安全手段集成。目前的安全問代理可以方便地與其他安全手段集成。目前的安全問題解決方案很多，如認(rèn)證、授權(quán)、賬號、數(shù)據(jù)加密和題

57、解決方案很多，如認(rèn)證、授權(quán)、賬號、數(shù)據(jù)加密和安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大安全協(xié)議等。如果把代理與這些手段聯(lián)合使用，將大大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。LOGO68代理技術(shù)的缺點代理技術(shù)的缺點1.代理速度較包過濾慢。包過濾只是簡單查看代理速度較包過濾慢。包過濾只是簡單查看TCP/IP報報頭，檢查特定的幾個域，不作詳細分析和記錄。而代頭，檢查特定的幾個域，不作詳細分析和記錄。而代理工作于應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容，按特定的應(yīng)理工作于應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容，按特定的應(yīng)用協(xié)議用協(xié)議(如如HTTP)進行審查、掃描數(shù)據(jù)包

58、內(nèi)容，并進行進行審查、掃描數(shù)據(jù)包內(nèi)容，并進行代理代理(轉(zhuǎn)發(fā)請求或響應(yīng)轉(zhuǎn)發(fā)請求或響應(yīng))，故其速度較慢。，故其速度較慢。2.代理對用戶不透明。許多代理要求客戶端作相應(yīng)改動代理對用戶不透明。許多代理要求客戶端作相應(yīng)改動或安裝定制客戶端軟件，這給用戶增加了不透明度。或安裝定制客戶端軟件，這給用戶增加了不透明度。為龐大的互異網(wǎng)絡(luò)的每一臺內(nèi)部主機安裝和配置特定為龐大的互異網(wǎng)絡(luò)的每一臺內(nèi)部主機安裝和配置特定的應(yīng)用程序既耗費時間，又容易出錯，原因是硬件平的應(yīng)用程序既耗費時間，又容易出錯，原因是硬件平臺和操作系統(tǒng)都存在差異。臺和操作系統(tǒng)都存在差異。LOGO693.對于每項服務(wù)代理可能要求不同的服務(wù)器?？赡苄枰獮?/p>

59、對于每項服務(wù)代理可能要求不同的服務(wù)器。可能需要為每項協(xié)議設(shè)置一個不同的代理服務(wù)器，因為代理服務(wù)器每項協(xié)議設(shè)置一個不同的代理服務(wù)器，因為代理服務(wù)器不得不理解協(xié)議以便判斷什么是允許的和不允許的，并不得不理解協(xié)議以便判斷什么是允許的和不允許的，并且還裝扮一個對真實服務(wù)器來說是客戶、對代理客戶來且還裝扮一個對真實服務(wù)器來說是客戶、對代理客戶來說是服務(wù)器的角色。挑選、安裝和配置所有這些不同的說是服務(wù)器的角色。挑選、安裝和配置所有這些不同的服務(wù)器也可能是一項較大的工作。服務(wù)器也可能是一項較大的工作。4.除了一些為代理而設(shè)的服務(wù)外，代理服務(wù)器要求對客戶、除了一些為代理而設(shè)的服務(wù)外，代理服務(wù)器要求對客戶、過程

60、之一或兩者進行限制，每一種限制都有不足之處，過程之一或兩者進行限制，每一種限制都有不足之處，由于這些限制，代理應(yīng)用就不能像非代理應(yīng)用運行得那由于這些限制，代理應(yīng)用就不能像非代理應(yīng)用運行得那樣好，往往可能曲解協(xié)議說明，并且缺少靈活性。樣好，往往可能曲解協(xié)議說明，并且缺少靈活性。LOGO705.代理服務(wù)不能保證免受所有協(xié)議弱點的限制。作為一個代理服務(wù)不能保證免受所有協(xié)議弱點的限制。作為一個安全問題的解決方法，代理取決于對協(xié)議中哪些是安全安全問題的解決方法，代理取決于對協(xié)議中哪些是安全操作的判斷能力。每個應(yīng)用層協(xié)議，都或多或少存在一操作的判斷能力。每個應(yīng)用層協(xié)議，都或多或少存在一些安全問題，對于一個

61、代理服務(wù)器來說，要徹底避免這些安全問題，對于一個代理服務(wù)器來說，要徹底避免這些安全隱患幾乎是不可能的，除非關(guān)掉這些服務(wù)。些安全隱患幾乎是不可能的，除非關(guān)掉這些服務(wù)。6.代理不能改進底層協(xié)議的安全性。因為代理工作于代理不能改進底層協(xié)議的安全性。因為代理工作于TCP/IP之上，屬于應(yīng)用層，所以它就不能改善底層通信之上，屬于應(yīng)用層，所以它就不能改善底層通信協(xié)議的能力。如協(xié)議的能力。如IP欺騙、欺騙、SYN泛濫、泛濫、ICMP欺騙和一些拒欺騙和一些拒絕服務(wù)的攻擊。而這些方面，對于一個網(wǎng)絡(luò)的健壯性是絕服務(wù)的攻擊。而這些方面，對于一個網(wǎng)絡(luò)的健壯性是相當(dāng)重要的。相當(dāng)重要的。LOGO71v狀態(tài)監(jiān)測防火墻狀態(tài)監(jiān)

62、測防火墻 狀態(tài)狀態(tài)監(jiān)測（Stateful Inspection）防火墻安全特防火墻安全特性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安性非常好，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。來作為以后指定安全決策的參考。LOGO72LOGO狀態(tài)包檢查的邏輯流程狀態(tài)包檢查的

63、邏輯流程LOGO74 監(jiān)測型防火墻技術(shù)實際已經(jīng)超越了最初的防火墻監(jiān)測型防火墻技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產(chǎn)品一般還帶法侵入。同時，這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用服有分布式探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中，不僅能夠檢測來自務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中，不僅能

64、夠檢測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計，在針對網(wǎng)有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻部。因此，監(jiān)測型防火墻不但超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前幾代產(chǎn)品。的定義，而且在安全性上也超越了前幾代產(chǎn)品。LOGO75LOGO76LOGO77LOGOZFW（Zone-Based Policy Firewall）v ZFW（Zone-Based Policy Firewall

65、），是一種基于區(qū)域的防火墻，基于區(qū)域的防火墻配置的防火墻策略都是在數(shù)據(jù)從一個區(qū)域發(fā)到另外一個區(qū)域時才生 效，在同一個區(qū)域內(nèi)的數(shù)據(jù)是不會應(yīng)用任何策略的，所以我們就可以將需要使用策略的接口劃入不同的區(qū)域，這樣就可以應(yīng)用我們想要的策略。但是，有時某些接口之間可能不需要彼此使用策略，那么這樣的接口只要劃入同一個區(qū)域，它們之間就可以任意互訪了。78LOGOv Zone是應(yīng)用防火墻策略的最小單位，一個zone中可以包含一個接口，也可以包含多個接口。區(qū)域之間的所有數(shù)據(jù)默認(rèn)是全部被丟棄的，所以必須配置相應(yīng)的策略來允許某些數(shù)據(jù)的通過。同區(qū)域的接口是不需要配置策略的，因為他們默認(rèn)就是可以自由訪問的，我們只需要在區(qū)

66、域與區(qū)域之間配置策略，而配置這樣的區(qū)域與區(qū)域之間的策略，必須定義從哪個區(qū)域到哪個區(qū)域，即必須配置方向，配置一個包含源區(qū)域和目的區(qū)域的一組策略，這樣的一個區(qū)域組，被稱為Zone-Pairs。一個Zone-Pairs，就表示了從一個區(qū)域到另一個區(qū)域的策略，而配置一個區(qū)域到另一個區(qū)域的策略，就必須配置一個Zone-Pairs，并加入策略。當(dāng)配置了一個區(qū)域到另一個區(qū)域的策略后，如果策略動作是inspect，則并不需要再為返回的數(shù)據(jù)配置策略，因為返回的數(shù)據(jù)是默認(rèn)被允許的，如果策略動作時pass或drop則不會有返回流量或被直接被掉棄。如果有兩個zone，并且希望在兩個方向上都應(yīng)用策略，就是每個方向一個zone-pairs。79LOGOv Zone特性一：一個zone是一系列接口的集合 v Zone特性二：如果兩個接口不屬于zone，他們之間的流量不受任何影響。v Zone特性三：如果一個接口屬于zone，而另一個接口不屬于zone，他們之間 是不能通訊的.v Zone特性四：若兩個接口屬于不同的zone，可以通過配置policy來允許流量，默認(rèn)所有流量都丟棄。v Zone特性五：在相同的secu