图8.1 防火墙基本功能示意图
ቤተ መጻሕፍቲ ባይዱ
2. 防火墙的功能
(1) 扫描信息，过滤攻击。 (2) 关闭不需要的端口。 (3) 禁止特定端口的流出通信。 (4) 禁止特殊站点的访问。 (5) 限制特定用户的通信。
3. 防火墙的不足
(1) 网络瓶颈。 (2) 不能防范不经过防火墙的信息攻击。 (3) 不能防范病毒的传播。 (4) 不能防范内部人员的攻击。
应用级网关防火墙建立在应用层。
(3) 电路级网关
电路级网关防火墙通过检查握手信息来判断是 否合法从而判断是否对信息放行。
电路级网关又称为线路级网关，工作在会话层 。
(4) 状态检测技术
状态检测防火墙，顾名思义就是要检查数 据包的状态变化，它在每一层都会对数据 包进行检查，集成了以上几种防火墙的特 点，安全性得到了很大的提高。
图8.5 超级终端端口属性配置
② PIX防火墙的配置模式
非特权模式。Cisco PIX防火墙开启以后进入的第 一个工作模式，默认表示为“Pixfirewall>”。在 非特权模式下，用户只有很少的查看权限。
特权模式。特权模式是Cisco PIX防火墙的第二个 工作模式，默认表示为“Pixfirewall#”。在特权 模式下，用户可以进行很少的配置和查看。
(2) 双宿主机结构 双宿主机结构防火墙是指担任防火墙功能的是一
台双重宿主（双网卡）主机，如图8.3所示。
图8.3 双宿主机结构防火墙
(3) 屏蔽子网结构
屏蔽子网结构是指在内外部网之间新增加一个子 网DMZ（非军事区），如图8.4所示。
图8.4 屏蔽子网结构防火墙
2. 防火墙的技术分类
(1) 包过滤技术
网络的攻击与防护概述
2020年4月19日星期日
本章有四小节：
8.1 防火墙安全 8.2 黑客的攻击与防范 8.3 网络扫描与监听 8.4 入侵检测与入侵防护系统
8．1 防火墙安全
8.1.1 防火墙概述
1. 防火墙的基本概念
在网络安全领域，防火墙是设置在不同网络（如 可信任的企业内部网和不可信的公共网）之间的 一组由软、硬件构成的安全设施，如图8.1所示。 它是不同网络或网络安全域之间信息的唯一出入 口，能根据企业的安全政策控制出入网络的信息 流，从而有效地控制内部网和外部网之间的信息 传输。
4．防火墙的特征
(1) 内部网和外部网之间的所有网络数据流都必须经 过防火墙
(2) 只有符合安全策略的数据才能通过防火墙 (3) 自身具有非常强的抗攻击力
8.1.2 防火墙技术
1. 防火墙的体系结构
(1) 过滤路由器结构 过滤路由器结构是指由具有过滤功能的路由器充
当防火墙的结构，如图8.2所示。
3. 防火墙的实现分类
(1) 基于网络主机的防火墙
基于网络主机的防火墙是指将网络中的一台主机 安装防火墙软件用以保护受信任的网络（企业网 ）。
(2) 基于路由器的防火墙
基于路由器的防火墙是指利用路由器的过滤功能 来实现防火墙的功能。
(3) 基于单个主机的防火墙
基于单个主机的防火墙是指安装在单一主机上的 防火墙软件，它只适合保护单一主机的安全。
配置模式。配置模式是Cisco PIX防火墙的主要工 作模式，大多数的配置命令只有在此模式下才有 效，其默认表示为“Pixfirewall(config)# ”。
③ Cisco PIX的一般配置步骤
连接好PIX 和PC，设置好PC的超级终端，开启PIX。 PIX进入非特权模式，显示 Pixfirewall> 。 输入命令enable，PIX进入特权模式，显示 Pixfirewall# 。 输入命令configure terminal进入配置模式，显示Pixfirewall(config)#。 指定内外部网卡名称及安全级别。 配置以太接口数据传输状态(速率、通信方式)。 配置内外部网卡和DMZ区的接口IP地址。 指定DMZ区和外部地址范围。 指定要进行NAT转换的内部地址。 设置指向DMZ区和外部网的缺省路由 。 配置静态IP地址映射。 保存配置。
包过滤技术是防火墙最为基本和传统的技 术。所谓“包过滤”就是过滤数据包，使 符合规则的数据包通过而不符合规则的数 据包被拒绝或丢弃。
包过滤技术防火墙工作在第三层及三层以 下。
静态包过滤技术是传统的包过滤技术，它 是根据流过防火墙的数据包是否符合防火 墙所制定的规则来决定是否允许数据包通 过，它所制定的规则只检查数据的协议、 源和目标IP地址、源和目标端口。
(4) 硬件防火墙
硬件防火墙是指用一台专门的硬件产品作为防火 墙。在这种产品中，防火墙厂家是将防火墙软件 固化在硬件芯片里，用硬件方式实现防火墙的功 能。
8.1.3 防火墙应用实例
1．Cisco公司的PIX防火墙
Cisco公司成立于1984年，是全球互联网解 决方案提供商。Cisco PIX（Private Internet eXchange）系列防火墙是业界领先的产品之 一，具有很好的安全性和可靠性。
2．ISA SERVER防火墙
ISA ( Internet Security and Acceleration ) SERVER 是 微软公司所出品的企业级防火墙软件。此款防火 墙产品不仅具有安全防护性能，而且还具有网络 缓存功能。
(1) Cisco PIX的主要特点
① 嵌入式的操作系统。 ② 高安全性。 ③ 高可靠性。 ④ 强大的远程管理功能。
(2) Cisco PIX的基本应用和配置
① PIX防火墙的配置连接
使用CONSOLE线连接PIX 的CONSOLE接口与PC的串口 后，通过PC的“超级终端”来配置PIX的性能。根据实际 情况选择与计算机相连的端口，如：COM1，再配置端口 属性。在端口属性里，要选择“每秒位数”为“9600”， 如图8.5所示。
动态包过滤技术是静态包过滤技术的发展 ，它可以动态地根据实际应用请求自动生 成和删除包过滤规则，从而解决静态包过 滤制定规则难度大的问题。
①包过滤技术的优点： 实现简单，对设备要求较低。
②包过滤技术的缺点： 随着规则的增加，规则库变得越来越大。
无法防范外部的IP欺骗。
(2) 应用级网关
应用级网关也叫代理服务器，通过网关复制传 输数据，防止在受信任的服务器或客户机与不 受信任的主机间建立直接的联系。