防火墻技術

從實現(xiàn)原理上分，防火墻的技術包括四大類:網絡級防火墻(也叫包過濾型防火墻)、應用級網關、電路級網關和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。

一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個"傳統(tǒng)"的網絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉發(fā)，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通 過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

應用級網關能夠檢查進出的數(shù)據(jù)包，通過網關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠對數(shù)據(jù)包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中，應用網關一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻。 應用級網關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級網關缺乏"透明度"。在實際使用中，用戶在受信任的網絡上通過防火墻訪問Internet時，經常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。

電路級網關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內部網 絡的結構和運行狀態(tài)便"暴露"在外來用戶面前，這就引入了代理服務的概念，即防火墻內外計算機系統(tǒng)應用層的"鏈接"由兩個終止于代理服務的"鏈接"來實現(xiàn)，這就成功地實現(xiàn)了防火墻內外計算機系統(tǒng)的隔離。同時，代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。

該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否能符合企業(yè)網絡的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網 關的是，它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火墻技術時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產品聲稱其具有這個功能。 二是防火墻技術的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。并且，防火墻采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。

總之，防火墻是企業(yè)網安全問題的流行方案，即把公共數(shù)據(jù)和服務置于防火墻外，使其對防火墻內部資源的訪問受到限制。作為一種網絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統(tǒng)的情況下達到一定的安全要求。

防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網關(Security Gateway)，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。

防火墻有網絡防火墻和計算機防火墻的提法。網絡防火墻是指在外部網絡和內部網絡之間設置網絡防火墻。這種防火墻又稱篩選路由器。網絡防火墻檢測進入信息的協(xié)議、目的地址、端口(網絡層)及被傳輸?shù)男畔⑿问?應用層)等，濾除不符合規(guī)定的外來信息。防火墻示意圖見圖8.14，網絡防火墻也對用戶網絡向外部網絡發(fā)出的信息進行檢測。

計算機防火墻是指在外部網絡和用戶計算機之間設置防火墻。計算機防火墻也可以是用戶計算機的一部分。計算機防火墻檢測接口規(guī)程、傳輸協(xié)議、目的地址及/或被傳輸?shù)男畔⒔Y構等，將不符合規(guī)定的進入信息剔除。計算機防火墻對用戶計算機輸出的信息進行檢查，并加上相應協(xié)議層的標志，用以將信息傳送到接收用戶計算機(或網絡)中去。

使用防火墻的好處有:保護脆弱的服務，控制對系統(tǒng)的訪問，集中地安全管理，增強保密性，記錄和統(tǒng)計網絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)情況。防火墻的設計通常有兩種基本設計策略:第一，允許任何服務除非被明確禁止;第二，禁止任何服務除非被明確允許。一般采用第二種策略。

從技術角度來看，目前有兩類防火墻，即標準防火墻和雙穴網關。標準防火墻使用專門的軟件，并要求比較高的管理水平，而且在信息傳輸上有一定的延遲。雙穴網關是標準防火墻的擴充，也稱應用層網關，它是一個單獨的系統(tǒng)，但能夠同時完成標準防火墻的所有功能。它的優(yōu)點是能夠運行比較復雜的應用，同時防止在互聯(lián)網和內部系統(tǒng)之間建立任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網絡到達內部網絡。

隨著防火墻技術的進步，在雙穴網關的基礎上又演化出兩種防火墻配置，一種是隱蔽主機網關，一種是隱蔽智能網關。目前，技術比較復雜而且安全級別較高的防火墻是隱蔽智能網關，它將網關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯(lián)網服務進行幾乎透明的訪問，同時也阻止了外部未授權訪問者對專用網絡的非法訪問。

防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網絡中，所謂"防火墻"，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你"同意"的人和數(shù)據(jù)進入你的網絡，同時將你"不同意"的人和數(shù)據(jù)拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火墻(FireWall)成為新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網絡上被非法輸出。作為Internet網的安全性保護軟件，F(xiàn)ireWall已經得到廣泛的應用。通常企業(yè)為了維護內部的信息系統(tǒng)安全，在企業(yè)網和Internet間設立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯。

防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內 部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統(tǒng)計對網絡需求分析和威脅分析等而言也是非常重要的。

通過利用防火墻對內部網絡的劃分，可實現(xiàn)內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系VPN(虛擬專用網)。

網絡上的數(shù)據(jù)都是以包為單位進行傳輸?shù)?，每一個數(shù)據(jù)包中都會包含一些特定的信息，如數(shù)據(jù)的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的網絡，并與預先設定的訪問控制規(guī)則進行比較，進而確定是否需對數(shù)據(jù)包進行處理和操作。數(shù)據(jù)包過濾可以防止外部不合法用戶對內部網絡的訪問，但由于不能檢測數(shù)據(jù)包的具體內容，所以不能識別具有非法內容的數(shù)據(jù)包，無法實施對應用層協(xié)議的安全處理。

網絡IP地址轉換是一種將私有IP地址轉化為公網IP地址的技術，它被廣泛應用于各種類型的網絡和互聯(lián)網的接人中。網絡IP地址轉換一方面可隱藏內部網絡的真實IP地址，使內部網絡免受黑客的直接攻擊，另一方面由于內部網絡使用了私有IP地址，從而有效解決了公網IP 地址不足的問題。

虛擬專用網絡將分布在不同地域上的局域網或計算機通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個整體，不僅省去了建設專用通信線路的費用，還有效地保證了網絡通信的安全。

進出網絡的數(shù)據(jù)都必須經過防火墻，防火墻通過日志對其進行記錄，能提供網絡使用的詳細統(tǒng)計信息。當發(fā)生可疑事件時，防火墻更能根據(jù)機制進行報警和通知，提供網絡是否受到威脅的信息。

防火墻的英文名為"FireWall"，它是目前一種最重要的網絡防護設備。從專業(yè)角度講，防火墻是位于兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。防火墻的本義是指古代構筑和使用木制結構房屋的時候，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱之為"防火墻"。其實與防火墻一起起作用的就是"門"。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢?當火災發(fā)生時，這些人又如何逃離現(xiàn)場呢?這個門就相當于我們這里所講的防火墻的"安全策略"，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的"單向導通性"。

我們通常所說的網絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)。防火可以使企業(yè)內部局域網(LAN)網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。

典型的防火墻具有以下基本特性。

內部網絡和外部網絡之間的所有網絡數(shù)據(jù)流都必須經過防火墻。這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網部網絡不受侵害。根據(jù)美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網絡系統(tǒng)的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯(lián)網之間連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內部網絡的服務和訪問的審計和控制。

典型的防火墻體系網絡結構一端連接企事業(yè)單位內部的局域網，而另一端則連接著互聯(lián)網。所有的內、外部網絡之間的通信都要經過防火墻，只有符合安全策略的數(shù)據(jù)流才能通過防火墻。

防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺"雙穴主機"，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的(網絡接口>=2)轉發(fā)設備，它跨接于多個分離的物理網段之間，并在報文轉發(fā)過程之中完成對報文的審查工作。

防火墻自身應具有非常強的抗攻擊免疫力:這是防火墻之所以能擔當企業(yè)內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。目前國內的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產品中，國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯(lián)想、方正等，它們都提供不同級別的防火墻產品。

防火墻的硬件體系結構曾經歷過通用CPU架構、ASIC架構和網絡處理器架構，他們各自的特點分別如下:通用CPU架構:通用CPU架構最常見的是基于Intel X86架構的防火墻，在百兆防火墻中Intel X86架構的硬件以其高靈活性和擴展性一直受到防火墻廠商的青睞;由于采用了PCI總線接口，Intel X86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。國內安全設備主要采用的就是基于X86的通用CPU架構。ASIC架構:ASIC(Application Specific Integrated Circuit，專用集成電路)技術是國外高端網絡設備幾年前廣泛采用的技術。由于采用了硬件轉發(fā)模式、多總線技術、數(shù)據(jù)層面與控制層面分離等技術， ASIC架構防火墻解決了帶寬容量和性能不足的問題，穩(wěn)定性也得到了很好的保證。

ASIC技術的性能優(yōu)勢主要體現(xiàn)在網絡層轉發(fā)上，而對于需要強大計算能力的應用層數(shù)據(jù)的處理則不占優(yōu)勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。由于該技術有較高的技術和資金門檻，主要是國內外知名廠商在采用，國外主要代表廠商是Netscreen，國內主要代表廠商為天融信。網絡處理器架構:由于網絡處理器所使用的微碼編寫有一定技術難度，難以實現(xiàn)產品的最優(yōu)性能，因此網絡處理器架構的防火墻產品難以占有大量的市場份額。隨著網絡處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網絡處理器業(yè)務，該技術在網絡安全產品中的應用已經走到了盡頭。

防火墻主要技術

先進的防火墻產品將網關與安全系統(tǒng)合二為一，具有以下技術與功能。

雙端口或三端口的結構

新一代防火墻產品具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接于內部網與外部網之間，另一個網卡可專用于對服務器的安全保護。

透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。

靈活的代理系統(tǒng)

代理系統(tǒng)是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制，一種用于代理從內部網絡到外部網絡的連接，另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換(NAT)技術來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。

多級的過濾技術

為保證系統(tǒng)的安全性和防護水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監(jiān)測Internet提供的所用通用服務;在電路網關一級，實現(xiàn)內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

網絡地址轉換技術(NAT)

新一代防火墻利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己定制的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

同時使用NAT的網絡，與外部網絡的連接只能由內部網絡發(fā)起，極大地提高了內部網絡的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

Internet網關技術

由于是直接串連在網絡之中，新一代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器(包括FTP、 Finger、mail、Ident、News、WWW等)來實現(xiàn)網關功能。為確保服務器的安全性，對所有的文件和命令均要利用"改變根系統(tǒng)調用(chroot)"作物理上的隔離。

在域名服務方面，新一代防火墻采用兩種獨立的域名服務器，一種是內部DNS服務器，主要處理內部網絡的DNS信息，另一種是外部DNS服務器，專門用于處理機構內部向Internet提供的部份DNS信息。

在匿名FTP方面，服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中，只支持靜態(tài)的網頁，而不允許圖形或CGI代碼等在防火墻內運行，在Finger服務器中，對外部訪問，防火墻只提供可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統(tǒng)信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理，并利用郵件映射與標頭剝除的方法隱除內部的郵件環(huán)境，Ident服務器對用戶連接的識別作專門處理，網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

出版說明

前言

第一部分 防火墻基礎技術篇

第1章 防火墻概論

1.1 防火墻概論

1.2 防火墻的基本結構

1.3 防火墻的模型與分類

1.4 攻擊方式與防火墻防御

1.5 防火墻的發(fā)展

1.6 練習題

第2章 防火墻技術

2.1 包過濾技術

2.2 網絡地址翻譯技術

2.3 網絡代理技術

2.4 練習題

第3章 虛擬專用網絡

3.1 虛擬專用網絡概述

3.2 虛擬專用網絡的用途

3.3 虛擬專用網絡相關協(xié)議

3.4 IPSEC虛擬專用網絡

3.5 虛擬專...

本書結合對Linux網絡源代碼的分析，深入地討論了Linux最新內核穩(wěn)定版本(Linux2.4內核)中實現(xiàn)的防火墻功能。 本書主要介紹防火墻的預備知識，防火墻的基本原理，最新的防火墻技術(如連線跟蹤、動態(tài)包過濾、源NAT以及目的NAT等)，防火墻的配置和策略，防火墻功能模塊的設計，與防火墻相關的知識(如入侵檢測系統(tǒng)、防火墻數(shù)據(jù)加密技術、防火墻體系結構等)，與閱讀Linux源代碼以及編寫防火墻