计算机网络安全基础-防火墙基础

一个典型的防火墙使用形态进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网防火墙示意图1. 企业内联网企业内联网2. 部门子网部门子网3. 分公司网络分公司网络防火墙是什防火墙是什么么 在一个受保护的内部网络与互联网间,用来强制执行企业强制执行企业安全策略安全策略的一个或一组系统.防火墙主要用于保护内部安全网络免防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不典型情况：安全网络为企业内部网络，不安全网络为因特网。安全网络为因特网。但防火墙不只用于因特网，也可用于但防火墙不只用于因特网，也可用于IntranetIntranet各部门网络之间（内部防火各部门网络之间（内部防火墙）。例：财务部与市场部之间。墙）。例：财务部与市场部之间。防火墙概念（1） 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过双向通信信息必须通过防火墙防火墙本身不会影响信息的流通防火墙概念（2）防火墙概念（3） 简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙的概念（4）在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密VPN。防火墙概念（5）防火墙的实质是一对矛盾（或称机制)： 限制数据流通限制数据流通允许数据流通允许数据流通两种极端的表现形式：除了非允许不可的都被禁止，安全但不好除了非允许不可的都被禁止，安全但不好用。（限制政策）用。（限制政策）除了非禁止不可的都被允许，好用但不安除了非禁止不可的都被允许，好用但不安全。（宽松政策）全。（宽松政策）多数防火墙都在两种之间采取折衷。多数防火墙都在两种之间采取折衷。 防火墙实现层次防火墙的基本功能模块应用程序代理应用程序代理包过滤包过滤& &状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与报警内容过滤内容过滤防火墙的主要功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。Internet防火墙的作用 Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。防火墙的作用示意图防火墙的作用示意图 目前合法的目前合法的IPIP地址已经远远不够使用，许多公司地址已经远远不够使用，许多公司内部使用的都是非法的内部使用的都是非法的IPIP地址，无法直接与外界相地址，无法直接与外界相连。防火墙能够将内部使用的非法连。防火墙能够将内部使用的非法IPIP地址与对外真地址与对外真正的正的IPIP作转换。使现在使用的作转换。使现在使用的IPIP无需变动，也能够无需变动，也能够与外界相通。与外界相通。 防火墙提供一对一（防火墙提供一对一（NATNAT）及多对一（）及多对一（PATPAT）的地）的地址转换，可保护及隐藏内部网络资源并减少由于架址转换，可保护及隐藏内部网络资源并减少由于架设网络防火墙所引起的设网络防火墙所引起的IPIP地址变动，方便网络管理地址变动，方便网络管理，并可以解决，并可以解决IPIP地址不足的问题。地址不足的问题。地址翻译(NAT)网络地址转换技术（NAT） NATNAT（Network Address TranslationNetwork Address Translation）: :就是将就是将一个一个IPIP地址用另一个地址用另一个IPIP地址代替。地址代替。 应用领域：应用领域： 网络管理员希望隐藏内部网络的网络管理员希望隐藏内部网络的IPIP地址。地址。 内部网络的内部网络的IPIP地址是无效的地址是无效的IPIP地址。合法地址。合法Internet IPInternet IP地址有限，而且受保护网络往往地址有限，而且受保护网络往往有自己的一套有自己的一套IPIP地址规划（非正式地址规划（非正式IPIP地址）地址）网络地址转换技术（NAT） 解决方法：网络地址转换器就是在防火墙上装一个合法IP地址集。 当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户； 同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。 好处： 缓解IP地址匮乏问题； 对外隐藏了内部主机的IP地址，提高了安全性。防火墙网关NATNAT技术中将不合法技术中将不合法IPIP转换转换为合法为合法IPIPIntranet防火墙防火墙路由器路由器将内部网地址转换成网关地址将内部网地址转换成网关地址问题：所有返回数据包目的问题：所有返回数据包目的IP都是，防火墙都是，防火墙如何识别并送回真正主机？如何识别并送回真正主机？方法：方法：1、防火墙记住所有发送包的目的端口；防火墙记住所有发送包的目的端口； 2、防火墙记住所有发送包的、防火墙记住所有发送包的TCP序列号序列号NATNAT示意图InternetWWWPCPCServer内容过滤内容过滤 阻止阻止 Java, ActiveX, JavaScriptVBscript URL 记录和拦截记录和拦截 SMTP 过滤过滤 丢弃假来源地址的信件丢弃假来源地址的信件 可设定传送信件的大小可设定传送信件的大小 可消除内部信件传递路径信息可消除内部信件传递路径信息, ,避免避免内部主机暴露给外界内部主机暴露给外界 提供提供E-mailE-mail地址转换功能地址转换功能 病毒病毒?Inspect Port CommandNWeb ServerWeb ClientJava 阻塞 防火墙的评价 -防火墙不可以防范什么 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 防火墙的评价 -防火墙不可以防范什么内部提供拨号服务绕过防火墙内部提供拨号服务绕过防火墙日志功能 日志记录一般包括日志记录一般包括: :系统日志、流量日志、系统日志、流量日志、告警日志等告警日志等. . 根据管理的需要，它可以对每一个进出网根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的纪录。包括数络的数据包作简单或详细的纪录。包括数据的来源，目的，使用的协议，时间甚至据的来源，目的，使用的协议，时间甚至数据的内容等等。数据的内容等等。防火墙的种类 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类： 包过滤 应用层代理 电路层代理 状态检查包过滤防火墙包过滤防火墙 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。包过滤检查内容 数据包过滤一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等优点：优点： 速度快，性能高速度快，性能高 对用户透明对用户透明缺点：缺点： 维护比较困难维护比较困难( (需要对需要对TCP/IPTCP/IP了解）了解） 安全性低（安全性低（IPIP欺骗等）欺骗等） 不提供有用的日志，或根本就不提供有用的日志，或根本就不提供不提供 不防范数据驱动型攻击不防范数据驱动型攻击 不能根据状态信息进行控制不能根据状态信息进行控制 不能处理网络层以上的信息不能处理网络层以上的信息 无法对网络上流动的信息提供无法对网络上流动的信息提供全面的控制全面的控制包过滤防火墙优缺点互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层透明模式包过滤NAT模式NAT (MAP IP)NAT Sample (PAT)虚拟IP路由模式代理服务器 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理服务器示意图代理服务器示意图Telnet代理服务器代理服务的分类 代理服务分类：代理服务可分为应用级代理与电路级代理： 应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。 应用层代理的优点 应用层代理能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被该服务访问。 网络管理员可以完全控制提供哪些服务，因为没有特定服务的代理就表示该服务不提供。 防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻。 应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。 代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。应用层代理的缺点应用层代理的缺点 应用层代理的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层代理Telnet访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet命令中指定目标主机而不是应用层代理来使应用层代理透明。 每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。全状态检查 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。 监测引擎：一个在网关上执行网络安全策略的软件模块 。 监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层监测引擎状态检测示意图状态检测示意图状态检测的优缺点 优点： 一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。 缺点： 降低网络速度 配置比较复杂 防火墙的体系结构 防火墙的主要体系结构： 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 其它的防火墙结构双重宿主主机体系结构（1） 双重宿主主机体系结构是围绕双重宿主主机构筑的。 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 防火墙双重宿主主机内部网络内部网络双重宿主主机体系结构双重宿主主机体系结构双重宿主主机体系结构（2） 双重宿主主机的特性： 安全至关重要（唯一通道），其用户口令控制安全是关键。 必须支持很多用户的访问（中转站），其性能非常重要。 缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。屏蔽主机体系结构（1） 屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。 典型构成：包过滤路由器堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。 堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。屏蔽主机体系结构（2） 屏蔽路由器可按如下规则之一进行配置： 允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。 不允许所有来自外部主机的直接连接。 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。屏蔽主机体系结构防火墙堡垒主机因特网屏蔽子网体系结构（1） 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 周边网络内部网络外部路由器堡垒主机内部路由器屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构（2） 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。屏蔽子网体系结构（3） 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。屏蔽子网体系结构（4） 外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。 内部路由器（阻塞路由器） 作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。 外部路由器一般与内部路由器应用相同的规则。其它的防火墙结构（1）OutsidePublic Access ServerPublic Access Server其它的防火墙结构（2） 一个堡垒主机和一个非军事区示意图DMZ堡垒主机内部网外部路由器其它的防火墙结构（3） 两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器内部堡垒主机内部DMZ防火墙的关键技术 包过滤技术 代理技术 状态检查技术 地址转换技术（NAT） 虚拟专网技术（VPN） 内容检查技术：提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。防火墙的安全标准（1） 防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。 为了解决这个问题目前已提出了2个标准： 1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了SecureWAN（SWAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCPIP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。防火墙的安全标准（2） 此标准包含两个部分： 防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能； 安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。防火墙的安全标准（3） 2、美国国家计算机安全协会NCSA （National Computer Security Association）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。 3、我国质量技术监督局发布，开始实施： 包过滤防火墙安全技术要求 应用级防火墙安全技术要求 网络代理服务器的安全技术要求防火墙技术的回顾与展望 防火墙技术与产品回顾 第四代防火墙的主要技术与功能 防火墙发展现状 防火墙技术展望防火墙技术与产品发展回顾 防火墙产品目前已形成一个产业，年增长率达173。 五大基本功能： 过滤进、出网络的数据; 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击检测和告警。防火墙产品发展的四个阶段 基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙第一代：基于路由器的防火墙 称为包过滤防火墙 特征： 以访问控制表方式实现分组过滤 过滤的依据是IP地址、端口号和其它网络特征 只有分组过滤功能，且防火墙与路由器一体第一代：基于路由器的防火墙(二) 缺点： 路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质缺陷：一对矛盾，防火墙的设置会大大降低路由器的性能。 路由器：为网络访问提供动态灵活的路由 防火墙：对访问行为实施静态固定的控制包过滤型防火墙包过滤型防火墙 第二代:用户化的防火墙工具套件 特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求提供模块化的软件包； 安全性提高，价格降低； 纯软件产品，实现维护复杂。 缺点： 配置和维护过程复杂费时； 对用户技术要求高； 全软件实现，安全性和处理速度均有局限；InternetInternet客户通过代理服务访问客户通过代理服务访问内部网主机内部网主机第三代：建立在通用操作系统上的防火墙 是近年来在市场上广泛可用的一代产品。 特征 包括分组过滤或借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 实现方式：软件、硬件、软硬结合。 问题： 作为基础的操作系统及其内核的安全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责； 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。第四代：具有安全操作系统的防火墙 1997年初，此类产品面市。 安全性有质的提高。 获得安全操作系统的方法： 通过许可证方式获得操作系统的源码； 通过固化操作系统内核来提高可靠性。 特点： 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护； 对每个服务器、子系统都作了安全处理； 在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能； 透明性好，易于使用。 第四代防火墙的主要技术与功能： 灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接； 双端口或三端口结构； 网络地址转换技术（NAT） 虚拟专网技术（VPN） 安全服务器网络（SSN）：对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。 用户鉴别与加密 用户定制服务 审计和告警防火墙发展现状 防火墙是网络安全工具中最早成熟、最早产品化的。 防火墙产品是当前网络安全产品线中最为琳琅满目的一种。 The 1999 Information Security Industry Survey 统计对象：745个公司表表 1:1:产品购买趋势产品购买趋势 Top 10* security products by % of respondents using each.1999 (% )1998 (% )1. Firewalls (82% )1. Virus Protection* (91% )2. Access Controls (77% )2. Backup Storage (90% )3. Client/Server Security (73% )3. Access Controls (85% )4. LAN/W AN Security (67% )4. Physical Security (80% )5. W eb Security (59% )5. Firewalls (74% )6. Disaster Recovery (57% )6. Client/Server Security (73% )6. (tie) Network/Comm unications Security (57% )7. LAN/W AN Security (67% )8. E-Mail Security (56% )8. Disaster Recovery (61% )9. Encryption (50% )9. E-Mail Security (61% )10. Mainfram e Security (44% )10. Internet/Intranet/W eb Security (60% )* Som e product areas were com bined or elim inated in 1999, so category options were not identical from 1998to 1999. 1998 statistics are from the 1998 Industry Survey.* Virus Protection was categorized under Malicious Code Protection in 1999, which is why only 38% ofrespondents said they have it in place. Statistically, virus protection likely rem ains place in m ore than 90% oforganizations.如何选择防火墙 选择防火墙的标准有很多，但最重要的是以下几条： 1、总拥有成本 2、防火墙本身是安全的 3、是硬件还是软件 4、可扩充性 5、升级能力天网防火墙天网防火墙天网防火墙天网防火墙安全规则设置 这是系统最重要，也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。 规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。 工具条工具条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击”应用新规则“按钮。规则列表规则列表 ：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。 天网防火墙天网防火墙天网防火墙天网防火墙习题与思考题 1简述防火墙工作原理。2防火墙的体系结构有哪些？3一个好的防火墙应具备哪些功能？4简述包过滤的基本特点及其工作原理。5简述代理服务器的作用，常用代理服务的软件有哪些？6介绍一个防火墙产品。7介绍一个代理服务器软件。8安装一个简单的防火墙和一个代理服务的软件。