防火墙概述PPT课件.ppt

防火墙概述防火墙概述3.1防火墙的概念及作用防火墙的概念及作用隔离在本地网络与外界网络之间的一道隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。防御系统，是这一类防范措施的总称。防防火火墙墙是是指指设设置置在在不不同同网网络络（如如可可信信任任的的企企业业内内部部网网和和不不可可信信的的公公共共网网）或或网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合。它它是是不不同同网网络络或或网网络络安安全全域域之之间间信信息息的的唯唯一一出出入入口口，能能根根据据企企业业的的安安全全政政策策控控制制（允允许许、拒拒绝绝、监监测测）出出入入网网络络的的信信息息流流，且且本本身身具具有有较较强强的的抗抗攻攻击击能能力力。它它是是提提供供信信息息安安全全服服务务，实实现现网网络络和和信信息息安安全全的的基础设施。基础设施。2防火墙逻辑位置示意图防火墙逻辑位置示意图:3防火墙防火墙（FireWall）的定义的定义:指指的的就就是是一一种种被被放放置置在在自自己己的的计计算算机机与与外外界界网网络络之之间间的的防防御御系系统统，从从网网络络发发往往计计算算机机的的所所有有数数据据都都要要经经过过它它的的判判断断处处理理后后，才才会会决决定定能能不不能能把把这这些些数数据据交交给给计计算算机机，一一旦旦发发现现有有害害数数据据，防防火火墙墙就就会会拦拦截截下下来来，实实现现了了对对计计算算机机的的保护功能。保护功能。43.2防火墙的分类与技术防火墙的分类与技术防火墙的分类防火墙的分类:根据物理特性根据物理特性根据物理特性根据物理特性:防火墙分为两大类，防火墙分为两大类，防火墙分为两大类，防火墙分为两大类，“硬件防火墙硬件防火墙硬件防火墙硬件防火墙”和和和和“软件防火墙软件防火墙软件防火墙软件防火墙”。从技术上分为：从技术上分为：从技术上分为：从技术上分为：“包过滤型包过滤型包过滤型包过滤型”、“应用代理型应用代理型应用代理型应用代理型”和和和和“状态监视状态监视状态监视状态监视”三类三类三类三类。从结构上又分为：从结构上又分为：从结构上又分为：从结构上又分为：“单一主机防火墙单一主机防火墙单一主机防火墙单一主机防火墙”、“路由集成路由集成路由集成路由集成式防火墙式防火墙式防火墙式防火墙”和和和和“分布式防火墙分布式防火墙分布式防火墙分布式防火墙”三类。三类。三类。三类。按工作位置分为按工作位置分为按工作位置分为按工作位置分为“边界防火墙边界防火墙边界防火墙边界防火墙”、“个人防火墙个人防火墙个人防火墙个人防火墙”和和和和“混合防火墙混合防火墙混合防火墙混合防火墙”。按防火墙性能分为：按防火墙性能分为：按防火墙性能分为：按防火墙性能分为：“百兆级防火墙百兆级防火墙百兆级防火墙百兆级防火墙”和和和和“千兆级防千兆级防千兆级防千兆级防火墙火墙火墙火墙”两类。两类。两类。两类。5防火的墙技术防火的墙技术：传传统统意意义义上上的的防防火火墙墙技技术术分分为为三三大大类类，“包包过过滤滤”（PacketFiltering）、“应应用用代代理理”（Application Proxy）和和“状状 态态 监监 视视”（StatefulInspection），无无论论一一个个防防火火墙墙的的实实现现过过程程多多么么复复杂杂，归归根根结结底底都都是是在在这这三三种种技术的基础上进行功能扩展的。技术的基础上进行功能扩展的。61、包过滤技术、包过滤技术 包过滤是最早使用的一种防火墙技术，它的第一包过滤是最早使用的一种防火墙技术，它的第一包过滤是最早使用的一种防火墙技术，它的第一包过滤是最早使用的一种防火墙技术，它的第一代模型是代模型是代模型是代模型是“静态包过滤静态包过滤静态包过滤静态包过滤”（StaticPacketFilteringStaticPacketFiltering），），），），使用包过滤技术的防火墙通常工作在使用包过滤技术的防火墙通常工作在使用包过滤技术的防火墙通常工作在使用包过滤技术的防火墙通常工作在OSIOSI模型中的网模型中的网模型中的网模型中的网络层（络层（络层（络层（NetworkLayerNetworkLayer）上，后来发展更新的）上，后来发展更新的）上，后来发展更新的）上，后来发展更新的“动态动态动态动态包过滤包过滤包过滤包过滤”（DynamicPacketFilteringDynamicPacketFiltering）增加了传输）增加了传输）增加了传输）增加了传输层（层（层（层（TransportLayerTransportLayer），简而言之，包过滤技术工作），简而言之，包过滤技术工作），简而言之，包过滤技术工作），简而言之，包过滤技术工作的地方就是各种基于的地方就是各种基于的地方就是各种基于的地方就是各种基于TCP/IPTCP/IP协议的数据报文进出的通协议的数据报文进出的通协议的数据报文进出的通协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包道，它把这两层作为数据监控的对象，对每个数据包道，它把这两层作为数据监控的对象，对每个数据包道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，的头部、协议、地址、端口、类型等信息进行分析，的头部、协议、地址、端口、类型等信息进行分析，的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（并与预先设定好的防火墙过滤规则（并与预先设定好的防火墙过滤规则（并与预先设定好的防火墙过滤规则（FilteringRuleFilteringRule）进行核对，一旦发现某个包的某个或多个部分与过滤进行核对，一旦发现某个包的某个或多个部分与过滤进行核对，一旦发现某个包的某个或多个部分与过滤进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为规则匹配并且条件为规则匹配并且条件为规则匹配并且条件为“阻止阻止阻止阻止”的时候，这个包就会被的时候，这个包就会被的时候，这个包就会被的时候，这个包就会被丢弃。丢弃。丢弃。丢弃。72、应用代理技术应用代理技术一个完整的代理设备包含一个服务端和客户端，一个完整的代理设备包含一个服务端和客户端，一个完整的代理设备包含一个服务端和客户端，一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模服务端接收来自用户的请求，调用自身的客户端模服务端接收来自用户的请求，调用自身的客户端模服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目拟一个基于用户请求的连接到目标服务器，再把目拟一个基于用户请求的连接到目标服务器，再把目拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工标服务器返回的数据转发给用户，完成一次代理工标服务器返回的数据转发给用户，完成一次代理工标服务器返回的数据转发给用户，完成一次代理工作过程作过程作过程作过程。采用“应用协议分析”技术工作在OSI模型的最高层应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。83.状态监视技术状态监视技术：这是继这是继这是继这是继“包过滤包过滤包过滤包过滤”技术和技术和技术和技术和“应用代理应用代理应用代理应用代理”技术后发展的防火墙技术，技术后发展的防火墙技术，技术后发展的防火墙技术，技术后发展的防火墙技术，它是它是它是它是CheckPointCheckPoint技术公司在基于技术公司在基于技术公司在基于技术公司在基于“包过滤包过滤包过滤包过滤”原理的原理的原理的原理的“动态动态动态动态包过滤包过滤包过滤包过滤”技术发展而来的，与之类似的有其他厂商联合发技术发展而来的，与之类似的有其他厂商联合发技术发展而来的，与之类似的有其他厂商联合发技术发展而来的，与之类似的有其他厂商联合发展的展的展的展的“深度包检测深度包检测深度包检测深度包检测”（DeepPacketInspectionDeepPacketInspection）技术。）技术。）技术。）技术。这种防火墙技术通过一种被称为这种防火墙技术通过一种被称为这种防火墙技术通过一种被称为这种防火墙技术通过一种被称为“状态监视状态监视状态监视状态监视”的模块，在的模块，在的模块，在的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方不影响网络安全正常工作的前提下采用抽取相关数据的方不影响网络安全正常工作的前提下采用抽取相关数据的方不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则法对网络通信的各个层次实行监测，并根据各种过滤规则法对网络通信的各个层次实行监测，并根据各种过滤规则法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。作出安全决策。作出安全决策。作出安全决策。“状态监视状态监视”（StatefulInspection）技术在保留了对每个数据包的头部、协议、）技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤会话过滤”（SessionFiltering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数，否则这个数据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。93.3防火墙的功能防火墙的功能1、防火墙是网络安全的屏障、防火墙是网络安全的屏障 2、防火墙可以强化网络安全策略、防火墙可以强化网络安全策略3、对网络存取和访问进行监控审计、对网络存取和访问进行监控审计 4、防止内部信息的外泄、防止内部信息的外泄 10防火墙的发展史：防火墙的发展史：防火墙的发展史：防火墙的发展史：第一代防火墙第一代防火墙第一代防火墙第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（第一代防火墙技术几乎与路由器同时出现，采用了包过滤（第一代防火墙技术几乎与路由器同时出现，采用了包过滤（第一代防火墙技术几乎与路由器同时出现，采用了包过滤（PacketPacketfilterfilter）技术。下图表示了防火墙技术的简单发展历史。）技术。下图表示了防火墙技术的简单发展历史。）技术。下图表示了防火墙技术的简单发展历史。）技术。下图表示了防火墙技术的简单发展历史。第二、三代防火墙第二、三代防火墙第二、三代防火墙第二、三代防火墙19891989年，贝尔实验室的年，贝尔实验室的年，贝尔实验室的年，贝尔实验室的DavePresottoDavePresotto和和和和HowardTrickeyHowardTrickey推出了第推出了第推出了第推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙二代防火墙，即电路层防火墙，同时提出了第三代防火墙二代防火墙，即电路层防火墙，同时提出了第三代防火墙二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防应用层防应用层防应用层防火墙（代理防火墙）的初步结构。火墙（代理防火墙）的初步结构。火墙（代理防火墙）的初步结构。火墙（代理防火墙）的初步结构。第四代防火墙第四代防火墙第四代防火墙第四代防火墙19921992年，年，年，年，USCUSC信息科学院的信息科学院的信息科学院的信息科学院的BobBradenBobBraden开发出了基于动态包过开发出了基于动态包过开发出了基于动态包过开发出了基于动态包过滤（滤（滤（滤（DynamicpacketfilterDynamicpacketfilter）技术的第四代防火墙，后来演变为目前所）技术的第四代防火墙，后来演变为目前所）技术的第四代防火墙，后来演变为目前所）技术的第四代防火墙，后来演变为目前所说的状态监视（说的状态监视（说的状态监视（说的状态监视（StatefulinspectionStatefulinspection）技术。）技术。）技术。）技术。19941994年，以色列的年，以色列的年，以色列的年，以色列的CheckPointCheckPoint公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙第五代防火墙第五代防火墙第五代防火墙 19981998年，年，年，年，NAINAI公司推出了一种自适应代理（公司推出了一种自适应代理（公司推出了一种自适应代理（公司推出了一种自适应代理（AdaptiveproxyAdaptiveproxy）技）技）技）技术，并在其产品术，并在其产品术，并在其产品术，并在其产品GauntletFirewallforNTGauntletFirewallforNT中得以实现，给代理类型的中得以实现，给代理类型的中得以实现，给代理类型的中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。防火墙赋予了全新的意义，可以称之为第五代防火墙。防火墙赋予了全新的意义，可以称之为第五代防火墙。防火墙赋予了全新的意义，可以称之为第五代防火墙。11 第一代：静态包过滤第一代：静态包过滤第一代：静态包过滤第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每这种类型的防火墙根据定义好的过滤规则审查每这种类型的防火墙根据定义好的过滤规则审查每这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则个数据包，以便确定其是否与某一条包过滤规则个数据包，以便确定其是否与某一条包过滤规则个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。匹配。过滤规则基于数据包的报头信息进行制订。匹配。过滤规则基于数据包的报头信息进行制订。匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括报头信息中包括报头信息中包括报头信息中包括IPIP源地址、源地址、源地址、源地址、IPIP目标地址、传输协目标地址、传输协目标地址、传输协目标地址、传输协议议议议(TCP(TCP、UDPUDP、ICMPICMP等等等等等等等等)、TCP/UDPTCP/UDP目标端口、目标端口、目标端口、目标端口、ICMPICMP消息类型等。包过滤类型的防火墙要遵循的消息类型等。包过滤类型的防火墙要遵循的消息类型等。包过滤类型的防火墙要遵循的消息类型等。包过滤类型的防火墙要遵循的一条基本原则是一条基本原则是一条基本原则是一条基本原则是“最小特权原则最小特权原则最小特权原则最小特权原则”，即明确允许，即明确允许，即明确允许，即明确允许那些管理员希望通过的数据包，禁止其他的数据那些管理员希望通过的数据包，禁止其他的数据那些管理员希望通过的数据包，禁止其他的数据那些管理员希望通过的数据包，禁止其他的数据包。包。包。包。123.4防火墙功能指标详解防火墙功能指标详解产品类型：产品类型：产品类型：产品类型：从防火墙产品和技术发展来看，分为三种类型：从防火墙产品和技术发展来看，分为三种类型：从防火墙产品和技术发展来看，分为三种类型：从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的基于路由器的包过滤防火墙、基于通用操作系统的基于路由器的包过滤防火墙、基于通用操作系统的基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。防火墙、基于专用安全操作系统的防火墙。防火墙、基于专用安全操作系统的防火墙。防火墙、基于专用安全操作系统的防火墙。LANLAN接口：接口：接口：接口：列出支持的列出支持的列出支持的列出支持的LANLAN接口类型：防火墙所能保护的接口类型：防火墙所能保护的接口类型：防火墙所能保护的接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、网络类型，如以太网、快速以太网、千兆以太网、网络类型，如以太网、快速以太网、千兆以太网、网络类型，如以太网、快速以太网、千兆以太网、ATMATM、令牌环及、令牌环及、令牌环及、令牌环及FDDIFDDI等。等。等。等。13 支持的最大支持的最大支持的最大支持的最大LANLAN接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台（如服务器平台：防火墙所运行的操作系统平台（如服务器平台：防火墙所运行的操作系统平台（如服务器平台：防火墙所运行的操作系统平台（如LinuxLinux、UNIXUNIX、WinNTWinNT、专用安全操作系统等）。、专用安全操作系统等）。、专用安全操作系统等）。、专用安全操作系统等）。协议支持协议支持协议支持协议支持 支持的非支持的非支持的非支持的非IPIP协议：除支持协议：除支持协议：除支持协议：除支持IPIP协议之外，又支持协议之外，又支持协议之外，又支持协议之外，又支持AppleTalkAppleTalk、DECnetDECnet、IPXIPX及及及及NETBEUINETBEUI等协议。等协议。等协议。等协议。建立建立建立建立VPNVPN通道的协议：构建通道的协议：构建通道的协议：构建通道的协议：构建VPNVPN通道所使用的协议，通道所使用的协议，通道所使用的协议，通道所使用的协议，如密钥分配等，主要分为如密钥分配等，主要分为如密钥分配等，主要分为如密钥分配等，主要分为IPSecIPSec，PPTPPPTP、专用协议等。、专用协议等。、专用协议等。、专用协议等。可以在可以在可以在可以在VPNVPN中使用的协议：在中使用的协议：在中使用的协议：在中使用的协议：在VPNVPN中使用的协议，一中使用的协议，一中使用的协议，一中使用的协议，一般是指般是指般是指般是指TCP/IPTCP/IP协议。协议。协议。协议。加密支持加密支持加密支持加密支持14支持的支持的支持的支持的VPNVPN加密标准：加密标准：加密标准：加密标准：VPNVPN中支持的加密算法中支持的加密算法中支持的加密算法中支持的加密算法,例如数据加密标准例如数据加密标准例如数据加密标准例如数据加密标准DESDES、3DES3DES、RC4RC4以及国内专用的加密算法。以及国内专用的加密算法。以及国内专用的加密算法。以及国内专用的加密算法。除了除了除了除了VPNVPN之外，加密的其他用途：之外，加密的其他用途：之外，加密的其他用途：之外，加密的其他用途：加密除用于保护传输数据以外，还应用于其他领域，加密除用于保护传输数据以外，还应用于其他领域，加密除用于保护传输数据以外，还应用于其他领域，加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。如身份认证、报文完整性认证，密钥分配等。如身份认证、报文完整性认证，密钥分配等。如身份认证、报文完整性认证，密钥分配等。提供基于硬件的加密：提供基于硬件的加密：提供基于硬件的加密：提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和是否提供硬件加密方法，硬件加密可以提供更快的加密速度和是否提供硬件加密方法，硬件加密可以提供更快的加密速度和是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。更高的加密强度。更高的加密强度。更高的加密强度。认证支持认证支持认证支持认证支持支持的认证类型：支持的认证类型：支持的认证类型：支持的认证类型：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如方案，如方案，如方案，如RADIUSRADIUS、KerberosKerberos、TACACS/TACACSTACACS/TACACS、口令方式、数字证书等。防火口令方式、数字证书等。防火口令方式、数字证书等。防火口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。决定客户以何种方式通过认证。决定客户以何种方式通过认证。决定客户以何种方式通过认证。列出支持的认证标准和列出支持的认证标准和列出支持的认证标准和列出支持的认证标准和CACA互操作性：厂商可以选择自己的认证方案，但应符合相应的互操作性：厂商可以选择自己的认证方案，但应符合相应的互操作性：厂商可以选择自己的认证方案，但应符合相应的互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CACA产品兼产品兼产品兼产品兼容互通。容互通。容互通。容互通。支持数字证书：是否支持数字证书。支持数字证书：是否支持数字证书。支持数字证书：是否支持数字证书。支持数字证书：是否支持数字证书。访问控制访问控制访问控制访问控制通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IPIP包过滤的依据主要是根据包过滤的依据主要是根据包过滤的依据主要是根据包过滤的依据主要是根据IPIP包头部信息如源地址和目的地址进行过滤，如果包头部信息如源地址和目的地址进行过滤，如果包头部信息如源地址和目的地址进行过滤，如果包头部信息如源地址和目的地址进行过滤，如果IPIP头中的头中的头中的头中的协议字段表明封装协议为协议字段表明封装协议为协议字段表明封装协议为协议字段表明封装协议为ICMPICMP、TCPTCP或或或或UDPUDP，那么再根据，那么再根据，那么再根据，那么再根据ICMPICMP头信息（类型和代码值头信息（类型和代码值头信息（类型和代码值头信息（类型和代码值）、）、）、）、TCPTCP头信息（源端口和目的端口）或头信息（源端口和目的端口）或头信息（源端口和目的端口）或头信息（源端口和目的端口）或UDPUDP头信息（源端口和目的端口）执行过滤，头信息（源端口和目的端口）执行过滤，头信息（源端口和目的端口）执行过滤，头信息（源端口和目的端口）执行过滤，其他的还有其他的还有其他的还有其他的还有MACMAC地址过滤。应用层协议过滤要求主要包括地址过滤。应用层协议过滤要求主要包括地址过滤。应用层协议过滤要求主要包括地址过滤。应用层协议过滤要求主要包括FTPFTP过滤、基于过滤、基于过滤、基于过滤、基于RPCRPC的应用的应用的应用的应用服务过滤、基于服务过滤、基于服务过滤、基于服务过滤、基于UDPUDP的应用服务过滤要求以及动态包过滤技术等。的应用服务过滤要求以及动态包过滤技术等。的应用服务过滤要求以及动态包过滤技术等。的应用服务过滤要求以及动态包过滤技术等。15在应用层提供代理支持：指防火墙是否支持应用层代理，如在应用层提供代理支持：指防火墙是否支持应用层代理，如在应用层提供代理支持：指防火墙是否支持应用层代理，如在应用层提供代理支持：指防火墙是否支持应用层代理，如HTTPHTTP、FTPFTP、TELNETTELNET、SNMPSNMP等。代理服务在确认客户端连接请求有等。代理服务在确认客户端连接请求有等。代理服务在确认客户端连接请求有等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服效后接管连接，代为向服务器发出连接请求，代理服务器应根据服效后接管连接，代为向服务器发出连接请求，代理服务器应根据服效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两务器的应答，决定如何响应客户端请求，代理服务进程应当连接两务器的应答，决定如何响应客户端请求，代理服务进程应当连接两务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器个连接（客户端与代理服务进程间的连接、代理服务进程与服务器个连接（客户端与代理服务进程间的连接、代理服务进程与服务器个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防火墙是否支持传输层代理服务。火墙是否支持传输层代理服务。火墙是否支持传输层代理服务。火墙是否支持传输层代理服务。允许允许允许允许FTPFTP命令防止某些类型文件通过防火墙：指是否支持命令防止某些类型文件通过防火墙：指是否支持命令防止某些类型文件通过防火墙：指是否支持命令防止某些类型文件通过防火墙：指是否支持FTPFTP文件文件文件文件类型过滤。类型过滤。类型过滤。类型过滤。用户操作的代理类型：应用层高级代理功能，如用户操作的代理类型：应用层高级代理功能，如用户操作的代理类型：应用层高级代理功能，如用户操作的代理类型：应用层高级代理功能，如HTTPHTTP、POP3POP3。支持网络地址转换支持网络地址转换支持网络地址转换支持网络地址转换(NAT)(NAT)：NATNAT指将一个指将一个指将一个指将一个IPIP地址域映射到另一个地址域映射到另一个地址域映射到另一个地址域映射到另一个IPIP地地地地址域，从而为终端主机提供透明路由的方法。址域，从而为终端主机提供透明路由的方法。址域，从而为终端主机提供透明路由的方法。址域，从而为终端主机提供透明路由的方法。NATNAT常用于私有地址常用于私有地址常用于私有地址常用于私有地址域与公有地址域的转换以解决域与公有地址域的转换以解决域与公有地址域的转换以解决域与公有地址域的转换以解决IPIP地址匮乏问题。在防火墙上实现地址匮乏问题。在防火墙上实现地址匮乏问题。在防火墙上实现地址匮乏问题。在防火墙上实现NATNAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网后，可以隐藏受保护网络的内部结构，在一定程度上提高了网后，可以隐藏受保护网络的内部结构，在一定程度上提高了网后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。络的安全性。络的安全性。络的安全性。支持硬件口令、智能卡：支持硬件口令、智能卡：支持硬件口令、智能卡：支持硬件口令、智能卡：是否支持硬件口令、智能卡等，这是一种是否支持硬件口令、智能卡等，这是一种是否支持硬件口令、智能卡等，这是一种是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。比较安全的身份认证技术。比较安全的身份认证技术。比较安全的身份认证技术。16 防御功能防御功能防御功能防御功能 支持病毒扫描：支持病毒扫描：是否支持防病毒功能，如扫描电子邮件附件中的是否支持防病毒功能，如扫描电子邮件附件中的DOCDOC和和ZIPZIP文件，文件，FTPFTP中的下载或上载文件内容，以发现其中包含的危险信息。中的下载或上载文件内容，以发现其中包含的危险信息。提供内容过滤：提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在是否支持内容过滤，信息内容过滤指防火墙在HTTPHTTP、FTPFTP、SMTPSMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指过滤内容主要指URLURL、HTTPHTTP携带的携带的信息：信息：JavaAppletJavaApplet、javascriptjavascript、ActiveXActiveX和电子邮件中的和电子邮件中的SubjectSubject、ToTo、FromFrom域等。域等。能防御的能防御的DoSDoS攻击类型：拒绝服务攻击攻击类型：拒绝服务攻击(DoS)(DoS)就是攻击者过多地占用共享资源，导致就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻过控制、检测与报警等机制，可在一定程度上防止或减轻DoSDoS黑客攻击。黑客攻击。阻止阻止ActiveXActiveX、JavaJava、CookiesCookies、javascriptjavascript侵入：属于侵入：属于HTTPHTTP内容过滤，防火墙应该能内容过滤，防火墙应该能够从够从HTTPHTTP页面剥离页面剥离JavaAppletJavaApplet、ActiveXActiveX等小程序及从等小程序及从ScriptScript、PHPPHP和和ASPASP等代码检测等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGICGI、ASPASP等程等程序，当发现危险代码时，向服务器报警。序，当发现危险代码时，向服务器报警。安全特性安全特性 支持转发和跟踪支持转发和跟踪ICMPICMP协议（协议（ICMPICMP代理）：是否支持代理）：是否支持ICMPICMP代理，代理，ICMPICMP为网间控制为网间控制报文协议。报文协议。提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。报警的方式可能通过邮件、呼机、手机等。提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。应，调整安全策略，阻挡恶意报文。识别识别/记录记录/防止企图进行防止企图进行IPIP地址欺骗：地址欺骗：IPIP地址欺骗指使用伪装的地址欺骗指使用伪装的IPIP地址作为地址作为IPIP包的源包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IPIP地地址的数据包通过。址的数据包通过。17管理功能：管理功能：管理功能：管理功能：通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。理和集中管理等。理和集中管理等。理和集中管理等。提供基于时间的访问控制：是否提供基于时间的访问控提供基于时间的访问控制：是否提供基于时间的访问控提供基于时间的访问控制：是否提供基于时间的访问控提供基于时间的访问控制：是否提供基于时间的访问控制。制。制。制。支持支持支持支持SNMPSNMPSNMPSNMP监视和配置：监视和配置：监视和配置：监视和配置：SNMPSNMPSNMPSNMP是简单网络管理协议的缩写。是简单网络管理协议的缩写。是简单网络管理协议的缩写。是简单网络管理协议的缩写。本地管理：是指管理员通过防火墙的本地管理：是指管理员通过防火墙的本地管理：是指管理员通过防火墙的本地管理：是指管理员通过防火墙的ConsoleConsoleConsoleC