① 只能防范经过其本身的非法访问和攻击，对绕过防火
墙的访问和攻击无能为力；
② 不能解决来自内部网络的攻击和安全问题；
③ 不能防止受病毒感染的文件的传输；
④ 不能防止策略配置不当或错误配置引起的安全威胁；
⑤ 不能防止自然或人为的故意破坏；不能防止本身安全
漏洞的威胁。
h
7
2 防火墙技术分类
2.1 数据包过滤（Packet Filtering） 2.2 代理服务（Proxy Service） 2.3 状态检测（Stateful Inspection） 2.4 网络地址转换（Network Address
h
18
2.4 网络地址转换
网络地址转换/翻译（NAT，Network Address Translation）就是将一个IP地址用另一个IP地址代替。
NAT的主要作用： ① 隐藏内部网络的IP地址； ② 解决地址紧缺问题。
注意：NAT本身并不是一种有安全保证的方案，它仅 仅在包的最外层改变IP地址。所以通常要把NAT集成 在防火墙系统中。
代理速度比路由器慢 代理对用户不透明 对于每项服务，代理可能要求不同的服务器 代理服务通常要求对客户或过程进行限制 代理服务受协议弱点的限制 代理不能改进底层协议的安全性
h
16
2.3 状态检测
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层
可信网络
防火墙
Intranet
DMZ
路由器
不可信网络 和服务器
不可信用户
Internet
可信用户
h
4
1.1 相关概念
防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种:
除非明确允许，否则就禁止 除非明确禁止，否则就允许
h
5
1.2 防火墙的作用
① 网络安全的屏障； ② 过滤不安全的服务；（两层含义）
数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
检测
引擎
h
动态状态表
17
2.3 状态检测
状态检测防火墙是在动态包过滤的基础上，增加了状态检测机 制而形成的；
动态包过滤与普通包过滤相比，需要多做一项工作：对外出数 据包的“身份”做一个标记，允许相同连接的进入数据包通过。
h
19
2.5 防火墙技术的发展趋势智能防火墙源自 分布式防火墙 网络安全产品的系统化
h
20
3 防火墙体系结构
3.1 双重宿主主机结构 3.2 屏蔽主机结构 3.3 屏蔽子网结构 3.4 防火墙的组合结构
代理服务器运行在两个网络之间，它对于客户机来说像 是一台真的服务器，而对于外网的服务器来说，它又是 一台客户机。
代理服务器的基本工作过程是：当客户机需要使用外网 服务器上的数据时，首先将请求发给代理服务器，代理 服务器再根据这一请求向服务器索取数据，然后再由代 理服务器将数据传输给客户机。
h
14
防火墙技术
h
1
要点
1、防火墙概述 2、防火墙技术分类 3、防火墙体系结构 4、防火墙产品
h
2
1 防火墙概述
1.1 相关概念 1.2 防火墙的作用 1.3 防火墙的局限性
h
3
1.1 相关概念
防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道 防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部 网络的安全。
利用状态表跟踪每一个网络会话的状态，对每一个数据包的检 查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；
状态检测防火墙采用了一个在网关上执行网络安全策略的软件 引擎，称之为检测模块。检测模块在不影响网络正常工作的前提 下，采用抽取相关数据的方法对网络通信的各层实施监测，并动 态地保存起来作为以后制定安全决策的参考。
内部提供的不安全服务和内部访问外部的不安全服务 ③ 阻断特定的网络攻击；（联动技术的产生） ④ 部署NAT机制； ⑤ 提供了监视局域网安全和预警的方便端点。
提供包括安全和统计数据在内的审计数据，好的防火墙 还能灵活设置各种报警方式。
h
6
1.3 防火墙的局限性
网络的安全性通常是以网络服务的开放性和灵活性为 代价的，防火墙的使用也会削弱网络的功能和性能。 并且防火墙只是整个网络安全防护体系的一部分，而 且防火墙并非万无一失：
h
10
2.1数据包过滤
包过滤防火墙具有明显的优点：
一个屏蔽路由器能保护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高
h
11
2.1数据包过滤
包过滤防火墙的缺点：
它没有用户的使用记录，这样就不能从访问记录中 发现黑客的攻击记录
没有一定的经验，是不可能将过滤规则配置得完美 不能在用户级别上进行过滤，只能认为内部用户是
可信任的、外部用户是可疑的
h
12
2.2 代理服务
Telnet
FTP HTTP
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
h
13
2.2 代理服务
所谓代理服务器，是指代表内网用户向外网服务器进行 连接请求的服务程序。
Translation ） 2.5 防火墙技术的发展趋势
h
8
2.1 数据包过滤
包过滤（Packet Filtering）技术在网络层和传输层 对数据包实施有选择的通过，依据系统事先设定好的 过滤规则，检查数据流中的每个包，根据包头信息来 确定是否允许数据包通过，拒绝发送可疑的包。
应用层
应用层
表示层
表示层
会话层
会话层
传输层
传输层
网络层
网络层
数据链路层
数据链路层
数据链路层
物理层
物理层 h
物理层
9
2.1数据包过滤
包过滤一般检查如下内容： 过滤规则的序列号、确认号、IP校检和等； 协议类型（TCP包、UDP包、ICMP包等）； 源IP地址； TCP/UDP源端口； 目的IP地址； TCP/UDP目的端口； ICMP消息类型； TCP包头中的ACK位。。
2.2 代理服务
代理的优点
① 内部网络拓扑结构等重要信息不易外泄，从而减少了 黑客攻击时所必需的必要信息；
② 可以实施用户认证、详细日志、审计跟踪和数据加密 等功能和对具体协议及应用的过滤，同时当发现被攻 击迹象时会向网络管理员发出警报，并保留攻击痕迹， 安全性较高。
h
15
2.2 代理服务
代理的缺点：