绪论科学技术的飞速发展，人们已经生活在信息时代。

计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。

近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。

然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。

“黑客攻击”被“黑”，“CIH病毒”无时无刻不充斥在网络中。

“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。

因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。

因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。

对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。

不断地提高自身网络的安全才是行之有效地办法。

绪论 (1)第一章防火墙是什么 (2)第二章防火墙的分类 (3)第三章防火墙功能概述 (6)(1)根据应用程序访问规则可对应用程序连网动作进行过滤 (6)第四章防火墙的不足 (7)第五章防火墙主要技术特点 (8)第六章防火墙的典型配置 (9)6.2.屏蔽主机网关（Screened Host Gateway） (9)6.3.屏蔽子网（Screened Subnet） (9)第七章各种防火墙体系结构的优缺点 (10)第八章常见攻击方式以及应对策略 (11)8.1 .1 病毒 (11)8.1.3 (12)8.2 应对策略 (12)8.2.1 方案选择 (12)8.2.3 坚持策略 (12)第九章防火墙的发展趋势 (13)4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

(16)第一章防火墙是什么防火墙是一种非常有效的网络安全模型。

主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的部网络，不安全网络是因特网。

但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。

在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。

通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。

不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

第二章防火墙的分类从防火墙的防方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。

包过滤防火墙经历了两代：2.1静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。

它会检查所有通过信息包里的IP地址号，端口号及其它的信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。

相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。

静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。

2.2动态包过滤防火墙静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。

它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。

它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。

在这里我们了解的是代理防火墙。

代理服务器型防火墙与包过滤防火墙不同之点在于，它的外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。

代理服务器型防火墙提供了日志和审记服务。

2.2.1 代理（应用层网关）防火墙这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏部网结构的作用。

由于外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵部网。

2.2.2自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。

它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：第三章防火墙功能概述防火墙是一个保护装置，它是一个或一组网络设备装置。

通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护部网的访问安全。

防火墙可以安装在两个组织结构的部网与外部的Internet之间，同时在多个组织结构的部网和Internet之间也会起到同样的保护作用。

它主要的保护就是加强外部Internet 对部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。

防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行部网与Internet的连接。

防火墙的核心功能主要是包过滤。

其中入侵检测，控管规则过滤，实时监控及电子过滤这些功能都是基于封包过滤技术的。

防火墙的主体功能归纳为以下几点：(1)根据应用程序访问规则可对应用程序连网动作进行过滤(2)对应用程序访问规则具有自学习功能。

(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。

(5)被拦阻时能通过声音或闪烁图标给用户报警提示。

防火墙仅靠这些核心技术功能是远远不够的。

核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。

而实现防火墙的核心功能是封包过滤。

第四章防火墙的不足防火墙对网络的威胁进行极好的防，但是，它们不是安全解决方按的全部。

某些威胁是防火墙力所不及的。

防火墙不能防止部的攻击，因为它只提供了对网络边缘的防卫。

部人员可能滥用被给予的访问权，从而导致事故。

防火墙也不能防止像社会工程攻击――一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。

另外，一些用来传送数据的线很有可能被用来入侵部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。

虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。

而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

第五章防火墙主要技术特点（1）应用层采用Winsock 2 SPI进行网络数据控制、过滤；（2）核心层采用NDIS HOOK进行控制，尤其是在Windows 2000 下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock 2 SPI ；二是核心层封包过滤，采用NDIS_HOOK。

Winsock 2 SPI 工作在API之下、Driver之上，属于应用层的畴。

利用这项技术可以截获所有的基于Socket的网络通信。

比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。

采用Winsock 2 SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows 平台，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95 只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，CPU 占用率低；封包还没有按照低层协议进行切片，所以比较完整。

而防火墙正是在TCP/IP协议在windows的基础上才得以实现。

第六章防火墙的典型配置目前比较流行的有以下三种防火墙配置方案。

6.1.置是用一台装有两个网络适配器的双宿主机做防火墙。

双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。

堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。

双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的部网络（如图1）。

6.2.屏蔽主机网关（Screened Host Gateway）屏蔽主机网关易于实现，安全性好，应用广泛。

它又分为单宿堡垒主机和双宿堡垒主机两种类型。

先来看单宿堡垒主机类型。

一个包过滤路由器连接外部网络，同时一个堡垒主机安装在部网络上。

堡垒主机只有一个网卡，与部网络连接（如图2）。

通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了部网络不受未被授权的外部用户的攻击。

而Intranet部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接部网络，一块连接包过滤路由器（如图3）。

双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

6.3.屏蔽子网（Screened Subnet）这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。

两个包过滤路由器放在子网的两端，在子网构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。

可根据需要在屏蔽子网中安装堡垒主机，为部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。

对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网，这样无论是外部用户，还是部用户都可访问。

这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

当然，防火墙本身也有其局限性，如不能防绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自部的攻击等等。

总之，防火墙只是一种整体安全防策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。

第七章各种防火墙体系结构的优缺点7.1.双重宿主主机体系结构它提供来自与多个网络相连的主机的服务(但是路由关闭)，它围绕双重宿主主计算机构筑。

该计算机至少有2个网络接口，位于因特网与部网之间，并被连接到因特网和部网。

2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。

双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。