checkpoint防火墻應(yīng)用支持

Fire Wall-1支持預(yù)定的應(yīng)用程序，服務(wù)和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡(luò)的主要服務(wù)(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應(yīng)用程序，又支持基于PRC和UDP一類非連接協(xié)議的應(yīng)用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫訪問這樣的商務(wù)應(yīng)用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應(yīng)用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術(shù)優(yōu)勢，CheckPoint今后對應(yīng)用程序的支持會更多更廣泛。

Fire Wall-1的開放式結(jié)構(gòu)設(shè)計為擴充新的應(yīng)用程序提供了便利。新服務(wù)可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應(yīng)時常變化的網(wǎng)絡(luò)安全要求。

當各種企、事業(yè)網(wǎng)絡(luò)與Internet相聯(lián)之后，其安全性就成為一個至關(guān)重要的問題。防火墻隨之應(yīng)運而生，它是一個加強機構(gòu)網(wǎng)絡(luò)與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場的主導(dǎo)產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點，以供網(wǎng)絡(luò)安全管理人員以及參與防火墻設(shè)計的人員借鑒。

Fire Wall-1采用的是集中控制下的分布式客戶機/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。公司內(nèi)部網(wǎng)絡(luò)可以設(shè)置多個FireWall-1模塊，由一個工作站負責監(jiān)控。對于受安全保護的信息，客戶只有在獲得授權(quán)后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關(guān)或整個企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

Stateful Inspection采用了一個檢測模塊(一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎)。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)(狀態(tài)信息)并動態(tài)地保存起來作為以后制定安全決策的參考。檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充。Fire

Wall-1的"狀態(tài)監(jiān)視技術(shù)"的工作性能超過傳統(tǒng)的防火墻達兩倍以上. Fire

Wall-1在通信網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關(guān)的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當用戶訪問到達網(wǎng)關(guān)的操作系統(tǒng)前，Stateful Inspection

要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警就會拒絕該訪問，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。

遠程網(wǎng)絡(luò)訪問的安全保障系統(tǒng)采用透明客戶加密技術(shù)，通過撥號方式與Internet

網(wǎng)連接。實現(xiàn)世界范圍內(nèi)可靠的加密通信。當前，衡量一個企業(yè)網(wǎng)點的工作性能首先要看它是否能夠為遠程工作站，移動用戶提供安全的訪問服務(wù)。Fire Wall-1嚴格的鑒定過程和加密服務(wù)恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠程網(wǎng)絡(luò)訪問的安全保障

Fire Wall-1的用戶鑒定功能是指通過一個擴充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個獨創(chuàng)功能--客戶鑒定?？蛻翳b定的機制可以用以鑒別任何應(yīng)用(標準的或自定的)的客戶。無論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時，授權(quán)是按機器進行的，因為這種服務(wù)并無登錄的步驟。無論用戶鑒定還是客戶鑒定都不會對服務(wù)器和應(yīng)用程序有任何影響。鑒定采用標準密碼或標準結(jié)卡或軟件之類的密碼機加ID和S/key。

Fire Wall-1的SecuRemote客戶加密軟件保護用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無察覺的。對網(wǎng)絡(luò)進行訪問的移動用戶或遠方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動態(tài)IP地址，對于撥號連接的用戶恰好適用，對于LAN網(wǎng)內(nèi)需要加密保護的通信也是適用的。

防電子欺騙術(shù) Fire Wall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進行非授權(quán)訪問。Fire Wall-1還會對可疑信息進行鑒別，并向網(wǎng)絡(luò)管理員報警。

網(wǎng)絡(luò)地址轉(zhuǎn)換 Fire Wall-1的地址轉(zhuǎn)換是對Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可對Internet進行訪問。

開放式結(jié)構(gòu)設(shè)計 Fire Wall-1的開放式結(jié)構(gòu)設(shè)計使得它與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應(yīng)用程序連接如財務(wù)軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡(luò)安全管理器是一個供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟件使得制定安全政策、管理、審查和報表等工作都很簡單直觀。

直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具，用于定義安全策略、靈活的管理、審計、報告，從而集成整個企業(yè)的安全保障。

操作簡便 Fire Wall-1的安裝，配置和管理都很簡單，它的圖形界面使得用戶對各類實體的控制更加方便，能夠在不影響系統(tǒng)運行的前提下，實施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡(luò)安裝了Fire Wall-1后，就可以用一個工作站對多個網(wǎng)關(guān)和服務(wù)器的安全策略進行配置和管理。工作站只需為網(wǎng)絡(luò)定義一個安全策策，安全策略就會自動分布到每個網(wǎng)關(guān)上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會報警-通知系統(tǒng)管理員，并向?qū)Ψ骄W(wǎng)絡(luò)管理系統(tǒng)發(fā)E-mai和SNMP警報，或者激活用戶自己定義的警報(例如，激活系統(tǒng)管理員的傳呼設(shè)備)。利用制定的規(guī)則，針對不同的網(wǎng)絡(luò)流通量模塊，發(fā)不同形式的警報。功能強大的系統(tǒng)瀏覽器在一個窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關(guān)的活動情況。圖標表示各網(wǎng)關(guān)的狀態(tài)，統(tǒng)計計數(shù)器則記錄檢測，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個安全網(wǎng)關(guān)的連接請求，并具備集中跟蹤，審查和用戶報表功能。

FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示，實現(xiàn)與安全網(wǎng)關(guān)的連接。每個通信都有一個記錄，記錄包括時間、日期、協(xié)議及詳細的信息、服務(wù)請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進行實時和歷史審查，并對網(wǎng)上各種可疑行動都能夠跟蹤和監(jiān)視，利用Check Point的編程語言INSPEC，可以擴充管理器的標準登記錄格式，為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應(yīng)用報告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術(shù)。高效安全的處理技術(shù)。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲。這樣成千上萬的登錄記錄便可以處理并存儲起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財務(wù)管理、網(wǎng)絡(luò)監(jiān)視等應(yīng)用的程序的連接非常容易。此外，提供了一個供 選擇的管理模塊對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。

當各種企、事業(yè)網(wǎng)絡(luò)與Internet相聯(lián)之后，其安全性就成為一個至關(guān)重要的問題。防火墻隨之應(yīng)運而生，它是一個加強機構(gòu)網(wǎng)絡(luò)與Internet之間安全訪問的控制系統(tǒng)。本文介紹了防火墻市場的主導(dǎo)產(chǎn)品--Check Point公司的Fire Wall-1的一些功能特點，以供網(wǎng)絡(luò)安全管理人員以及參與防火墻設(shè)計的人員借鑒。

對應(yīng)用程序的廣泛支持

Fire Wall-1支持預(yù)定的應(yīng)用程序，服務(wù)和協(xié)議120多種(比其他同類產(chǎn)品都多)。Fire Wall-1

既支持Internet網(wǎng)絡(luò)的主要服務(wù)(如Web browser, E-mail, FTP,Telnet等)和基于TCP協(xié)議的應(yīng)用程序，又支持基于PRC和UDP一類非連接協(xié)議的應(yīng)用程序。而且，如今惟有FireWall-1支持剛出現(xiàn)的如Oracle SQL Net數(shù) 據(jù)庫訪問這樣的商務(wù)應(yīng)用程序和象Real Audio, VDOLive和InternetPhone這樣的多媒體應(yīng)用程序。在軟件業(yè)，Check Point公司的合作伙伴是最廣泛的。憑借 Fire Wall-1的技術(shù)優(yōu)勢，CheckPoint今后對應(yīng)用程序的支持會更多更廣泛。

Fire Wall-1的開放式結(jié)構(gòu)設(shè)計為擴充新的應(yīng)用程序提供了便利。新服務(wù)可以在彈出式窗口中直接加入，也可以使用INSECT(CheckPoint功能強大的編程 語言)來加入。Fire Wall-1這種擴充功能可以有效地適應(yīng)時常變化的網(wǎng)絡(luò)安全要求。

集中管理下的分布式客戶機/服務(wù)器結(jié)構(gòu)

Fire Wall-1采用的是集中控制下的分布式客戶機/服務(wù)器結(jié)構(gòu)，性能好，配置靈活。公司內(nèi)部網(wǎng)絡(luò)可以設(shè)置多個FireWall-1模塊，由一個工作站負責監(jiān)控。對于受安全保護的信息，客戶只有在獲得授權(quán)后才能訪問它。靈活的配置和可靠的監(jiān)控使得Fire Wall-1成為Internet單網(wǎng)關(guān)或整個企業(yè)網(wǎng)安全保障的首選產(chǎn)品。

網(wǎng)絡(luò)安全的新模式--Stateful Inspection技術(shù)

Stateful Inspection采用了一個檢測模塊(一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎)。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)(狀態(tài)信息)并動態(tài)地保存起來作為以后制定安全決策的參考。檢

測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充。Fire

Wall-1的"狀態(tài)監(jiān)視技術(shù)"的工作性能超過傳統(tǒng)的防火墻達兩倍以上. Fire

Wall-1在通信網(wǎng)絡(luò)層截取數(shù)據(jù)包，然后在所有的通信層上抽取有關(guān)的狀態(tài)信息，據(jù)此判析該通信是否符合安全政策。與其它安全方案不同，當用戶訪問到達網(wǎng)關(guān)的操作系統(tǒng)前，Stateful Inspection

要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、鑒定或給廬通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警就會拒絕該訪問，并作記錄，向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。

遠程網(wǎng)絡(luò)訪問的安全保障(Fire Wall-1 SecuRemote)

遠程網(wǎng)絡(luò)訪問的安全保障系統(tǒng)采用透明客戶加密技術(shù)，通過撥號方式與Internet

網(wǎng)連接。實現(xiàn)世界范圍內(nèi)可靠的加密通信。當前，衡量一個企業(yè)網(wǎng)點的工作性能首先要看它是否能夠為遠程工作站，移動用戶提供安全的訪問服務(wù)。Fire Wall-1嚴格的鑒定過程和加密服務(wù)恰好滿足這一要求。Fire

Wall-1面向用戶的圖形界面可以很容易修改安全策略，它的log Viewer 可以監(jiān)視網(wǎng)上的通信情況

Fire Wall-1 的遠程網(wǎng)絡(luò)訪問的安全保障

鑒定

Fire Wall-1的用戶鑒定功能是指通過一個擴充的登錄過程鑒定Telnet、FTP 和HTTP的用戶身份。此外，F(xiàn)ireWall-1還有一個獨創(chuàng)功能--客戶鑒定?？蛻翳b定的機制可以用以鑒別任何應(yīng)用(標準的或自定的)的客戶。無論它是基于TCP、UDP還是RPC協(xié)議。采用客戶鑒定時，授權(quán)是按機器進行的，因為這種服務(wù)并無登錄的步驟。無論用戶鑒定還是客戶鑒定都不會對服務(wù)器和應(yīng)用程序有任何影響。鑒定采用標準密碼或標準結(jié)卡或軟件之類的密碼機加ID和S/key。

SecuRemote遠程加密功能

Fire Wall-1的SecuRemote客戶加密軟件保護用戶與防火墻的通信。用戶的數(shù)據(jù)從Windows

95發(fā)出就是經(jīng)過SecuRemote加密的，這一過程用戶是毫無察覺的。對網(wǎng)絡(luò)進行訪問的移動用戶或遠方訪問用戶，為了安全起見，采用SecuRemote 將是思想的選擇，而且SecuRemote支持動態(tài)IP地址，對于撥號連接的用戶恰好適用，對于LAN網(wǎng)內(nèi)需要加密保護的通信也是適用的。

虛擬專用網(wǎng)絡(luò)

Fire Wall-1的加密模塊可以在Internet網(wǎng)上建立完全保密的信道。在公共線路上傳輸保密數(shù)據(jù)，F(xiàn)ire

Wall-1可以確保與遠程工作站通信的安全性和靈活性，而費用要比租用專用線路少得多?？蛇x擇的加密方式:FireWall-1可采用DES或FWZ1兩種加密算法，網(wǎng)絡(luò)與工作站之間既能傳輸明碼數(shù)據(jù)又能傳輸加密數(shù)據(jù)。DES和FWZ1可同時配置，用戶依據(jù)效率、安全性和傳輸速度選擇最佳方式。

集成的、易操作的密鑰管理程序

Fire Wall-1可自動產(chǎn)生和維護各類密鑰。應(yīng)用Diffire-Hellman模式，每一個加密通信將產(chǎn)生一對高度保密的公共和專有密鑰。利用SRA技術(shù)，可以實現(xiàn)通信的確認授權(quán)。為了便于安裝、管理和控制，F(xiàn)ire

Wall-1保留了路由選擇的優(yōu)先權(quán)和策略，這也提高了工作效率。

附加安全措施

防電子欺騙術(shù) Fire Wall-1的防電子欺騙術(shù)功能是保證數(shù)據(jù)包的IP地址與網(wǎng)關(guān)接口相符，防止通過修改IP地址的方法進行非授權(quán)訪問。Fire Wall-1還會對可疑信息進行鑒別，并向網(wǎng)絡(luò)管理員報警。

網(wǎng)絡(luò)地址轉(zhuǎn)換 Fire Wall-1的地址轉(zhuǎn)換是對Internet隱藏內(nèi)部地址，防止內(nèi)療地址公開。這一功能克服了IP尋址方式的諸多控制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可對Internet進行訪問。

開放式結(jié)構(gòu)設(shè)計 Fire Wall-1的開放式結(jié)構(gòu)設(shè)計使得它與相關(guān)應(yīng)用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應(yīng)用程序連接如財務(wù)軟件包、病毒掃描、登錄分析等。

路由器安全管理程序(選擇) Fire Wall-1的網(wǎng)絡(luò)安全管理器是一個供選擇的模塊，它為Bay和Cisco的路由器提供集中管理和訪問列表控制。Fire Wall-1的圖形界面和功能強大的工具軟件使得制定安全政策、管理、審查和報表等工作都很簡單直觀。

直觀簡便 Fire Wall-1提供了功能強大的圖形界面工具，用于定義安全策略、靈活的管理、審計、報告，從而集成整個企業(yè)的安全保障。

操作簡便 Fire Wall-1的安裝，配置和管理都很簡單，它的圖形界面使得用戶對各類實體的控制更加方便，能夠在不影響系統(tǒng)運行的前提下，實施新的安全政策或修改現(xiàn)行政策。一旦安全策略制訂完畢，F(xiàn)ire Wall-1將自動檢查它的一致性，保證供給規(guī)定不相矛盾，減少潛在的操作員失誤。

集中控制企業(yè)網(wǎng)絡(luò)安裝了Fire Wall-1后，就可以用一個工作站對多個網(wǎng)關(guān)和服務(wù)器的安全策略進行配置和管理。工作站只需為網(wǎng)絡(luò)定義一個安全策策，安全策略就會自動分布到每個網(wǎng)關(guān)上，而不需逐一配置。管理模塊和防火墻模塊的通信為了安全起見，增加了鑒定和數(shù)字簽字的措施。

實時報警

網(wǎng)上一旦有可疑情況，F(xiàn)ire Wall-1就會報警-通知系統(tǒng)管理員，并向?qū)Ψ骄W(wǎng)絡(luò)管理系統(tǒng)發(fā)E-mai和SNMP警報，或者激活用戶自己定義的警報(例如，激活系統(tǒng)管理員的傳呼設(shè)備)。利用制定的規(guī)則，針對不同的網(wǎng)絡(luò)流通量模塊，發(fā)不同形式的警報。功能強大的系統(tǒng)瀏覽器在一個窗口中顯示分布于企業(yè)網(wǎng)各處安全網(wǎng)關(guān)的活動情況。圖標表示各網(wǎng)關(guān)的狀態(tài)，統(tǒng)計計數(shù)器則記錄檢測，拒絕，登錄的數(shù)據(jù)包的數(shù)目。Log Viewer圖形化顯示各個安全網(wǎng)關(guān)的連接請求，并具備集中跟蹤，審查和用戶報表功能。

FireWall-1的一大特點是具有圖形化登錄瀏覽引擎。它能夠跟蹤整理每個通信請示，實現(xiàn)與安全網(wǎng)關(guān)的連接。每個通信都有一個記錄，記錄包括時間、日期、協(xié)議及詳細的信息、服務(wù)請求、動作(接受、拒絕、丟棄加密等)、源、目的地址、用戶、數(shù)據(jù)包長度，如果需要的話，密鑰和用戶姓名也包含在內(nèi)。憑借圖形化瀏覽器和許多分析工具可以進行實時和歷史審查，并對網(wǎng)上各種可疑行動都能夠跟蹤和監(jiān)視，利用Check Point的編程語言INSPEC，可以擴充管理器的標準登記錄格式，為滿足特殊需要也可以定義新的格式。詳細報表與Log Viewer相匹配的是一個綜合查詢報表引擎。只要在登錄瀏覽引擎中選擇數(shù)字段名，用戶報表就很容易產(chǎn)生。

此外，登錄文件的數(shù)據(jù)也可以輸出到第三廠家的應(yīng)用報告中去，例如Special Sheet或Trouble Tickting

Systems高效安全的處理技術(shù)。高效安全的處理技術(shù)。為了提高敏感信息的安全性，登錄信息需經(jīng)過鑒定、加密和數(shù)字簽字，并壓縮存儲。這樣成千上萬的登錄記錄便可以處理并存儲起來。既不影響系統(tǒng)性能，又不需太多硬盤空間。

集成管理

Fire Wall-1支持SNMPV2協(xié)議，它的開放式接口與安全保障、財務(wù)管理、網(wǎng)絡(luò)監(jiān)視等應(yīng)用的程序的連接非常容易。此外，提供了一個供 選擇的管理模塊對Bay 和Cisco路由器的路由器訪問列表實施集成管理和控制。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。

在具體應(yīng)用防火墻技術(shù)時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會大大提高經(jīng)濟預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。