防火墙-防火墙技术课件

防火防火墙-防火防火墙技技术内容提要内容提要防火墙的基本概念防火墙的基本概念常见防火墙类型常见防火墙类型使用规则集实现防火墙使用规则集实现防火墙常见防火墙系统模型常见防火墙系统模型防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙防火墙防火墙是指隔离在本地网络及外界网络之间的一道防御系统。防火墙是指隔离在本地网络及外界网络之间的一道防御系统。通过防火墙可以隔离风险区域（或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍通过防火墙可以隔离风险区域（或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。安全区域对风险区域的访问。防火墙的定义防火墙的定义防火墙嵌入在局域网和连接的网关上防火墙嵌入在局域网和连接的网关上防火墙嵌入在局域网和连接的网关上防火墙嵌入在局域网和连接的网关上所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙只有符合安全政策的数据流才能通过防火墙防火墙特征防火墙特征确确确确保保保保一一一一个个个个单单单单位位位位内内内内的的的的网网网网络络络络及及及及因因因因特特特特网网网网的的的的通通通通信信信信符符符符合合合合该该该该单单单单位位位位的的的的安安安安全全全全方方方方针针针针，简简简简单单单单地地地地说说说说，就就就就是是是是要要要要为为为为管管管管理理理理人人人人员员员员提提提提供供供供下下下下列问题的答案：列问题的答案：列问题的答案：列问题的答案：谁在使用网络？谁在使用网络？谁在使用网络？谁在使用网络？他们在网络上做什么？他们在网络上做什么？他们在网络上做什么？他们在网络上做什么？他们什么时间使用了网络？他们什么时间使用了网络？他们什么时间使用了网络？他们什么时间使用了网络？他们上网去了何处？他们上网去了何处？他们上网去了何处？他们上网去了何处？谁试图上网但没有成功？谁试图上网但没有成功？谁试图上网但没有成功？谁试图上网但没有成功？防火墙的作用防火墙的作用根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施防止入侵者接近网络防御设施限制内部用户访问特殊站点限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如等种类相对集中的网络。上的网由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如等种类相对集中的网络。上的网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。防火墙的功能防火墙的功能防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵由由于于所所有有的的访访问问都都经经过过防防火火墙墙，防防火火墙墙成成为为审审计计和和记记录录网网络络的的访访问问和和使使用用的的最最佳佳地地点点，可可以以方方便便地地监监视网络的安全性并报警。视网络的安全性并报警。可以作为部署网络地址转换（可以作为部署网络地址转换（）的地点，利用技术，可以缓解地址空间的短缺，隐藏内部网的结构。）的地点，利用技术，可以缓解地址空间的短缺，隐藏内部网的结构。利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。防火墙可以作为的平台，可以基于隧道模式实现防火墙可以作为的平台，可以基于隧道模式实现。防火墙的优点防火墙的优点为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。不能对内部威胁提供防护支持。受性能限制，防火墙对病毒传输保护能力弱。受性能限制，防火墙对病毒传输保护能力弱。受性能限制，防火墙对病毒传输保护能力弱。受性能限制，防火墙对病毒传输保护能力弱。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。防火墙不能有效地防范数据内容驱动式攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。防火墙的局限性防火墙的局限性在构筑防火墙之前在构筑防火墙之前,需要制定一套完整有效的安全战略需要制定一套完整有效的安全战略网络服务访问策略网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。防火墙安全规则设计策略防火墙安全规则设计策略 一一种种是是“一一切切未未被被允允许许的的就就是是禁禁止止的的”，一一种种是是“一一切切未未被被禁禁止止的的都都是是允允许许的的”。第第一一种种的的特特点点是是安安全全性性好好，但但是是用用户户所所能能使使用用的的服服务务范范围围受受到到严严格格限限制制。第第二二种种的的特特点点是是可可以以为为用用户户提提供供更更多多的的服服务务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。防火墙策略防火墙策略常见的防火墙有三种类型：常见的防火墙有三种类型：分组（包）过滤防火墙；分组（包）过滤防火墙；应用代理防火墙；应用代理防火墙；状态检测防火墙。状态检测防火墙。防火墙的分类防火墙的分类分组过滤（分组过滤（）：包过滤；）：包过滤；作用在协议组的网络层和传输层；作用在协议组的网络层和传输层；根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过；根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过；只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。防火墙的分类防火墙的分类-分组过滤分组过滤应用代理（应用代理（）：也叫应用网关（）：也叫应用网关（）；）；它作用在应用层，其特点是完全它作用在应用层，其特点是完全“阻隔阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。实际中的应用网关通常由专用工作站实现。防火墙的分类防火墙的分类-应用代理应用代理状态检测（状态检测（）：）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。防火墙的分类防火墙的分类-状态检测状态检测数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 分组过滤防火墙分组过滤防火墙分组过滤防火墙的工作机制分组过滤防火墙的工作机制对每个经过的包应用安全规则集合检查，决定是转发或者丢弃该包对每个经过的包应用安全规则集合检查，决定是转发或者丢弃该包对每个经过的包应用安全规则集合检查，决定是转发或者丢弃该包对每个经过的包应用安全规则集合检查，决定是转发或者丢弃该包过滤包是双向的过滤包是双向的过滤包是双向的过滤包是双向的过滤规则基于及或包头中字段的匹配（如四元组：源地址、目的地址、源端口、目的端口）过滤规则基于及或包头中字段的匹配（如四元组：源地址、目的地址、源端口、目的端口）过滤规则基于及或包头中字段的匹配（如四元组：源地址、目的地址、源端口、目的端口）过滤规则基于及或包头中字段的匹配（如四元组：源地址、目的地址、源端口、目的端口）两种缺省策略（丢弃或允许）两种缺省策略（丢弃或允许）两种缺省策略（丢弃或允许）两种缺省策略（丢弃或允许）分组过滤防火墙分组过滤防火墙优点：优点：优点：优点：简单简单简单简单对用户透明对用户透明对用户透明对用户透明高速高速高速高速缺点：缺点：缺点：缺点：对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范对于利用特定应用的攻击，防火墙无法防范配置安全规则比较困难配置安全规则比较困难配置安全规则比较困难配置安全规则比较困难缺少鉴别，不支持高级用户认证缺少鉴别，不支持高级用户认证缺少鉴别，不支持高级用户认证缺少鉴别，不支持高级用户认证日志功能有限日志功能有限日志功能有限日志功能有限分组过滤防火墙分组过滤防火墙地址欺骗：丢弃那些从外部接口到达的，但却具有内部地址的包地址欺骗：丢弃那些从外部接口到达的，但却具有内部地址的包地址欺骗：丢弃那些从外部接口到达的，但却具有内部地址的包地址欺骗：丢弃那些从外部接口到达的，但却具有内部地址的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包路由选路攻击：丢弃所有设置该选项的包微小分片攻击：丢弃协议类型是并且分片标志为微小分片攻击：丢弃协议类型是并且分片标志为微小分片攻击：丢弃协议类型是并且分片标志为微小分片攻击：丢弃协议类型是并且分片标志为1 1 1 1的分片包的分片包的分片包的分片包可能的攻击和相应对策可能的攻击和相应对策一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。第一条规则：主机第一条规则：主机10.1.1.110.1.1.1任何端口访问任何主机的任何端口，基于协议的数据包都允许通过。任何端口访问任何主机的任何端口，基于协议的数据包都允许通过。第二条规则：任何主机的第二条规则：任何主机的2020端口访问主机端口访问主机10.1.1.110.1.1.1的任何端口，基于协议的数据包允许通过。的任何端口，基于协议的数据包允许通过。第三条规则：任何主机的第三条规则：任何主机的2020端口访问主机端口访问主机10.1.1.110.1.1.1小于小于10241024的端口，如果基于协议的数据包都禁止通过。的端口，如果基于协议的数据包都禁止通过。组序号组序号动作动作源源目的目的源端口源端口目的端口目的端口协议类型协议类型1允许允许10.1.1.1*2允许允许*10.1.1.120*3禁止禁止*10.1.1.120 ”，察看日，察看日志纪录如图所示。志纪录如图所示。服务用协议，服务用协议，占用的占用的2121端口，主机的地址是端口，主机的地址是“172.18.25.109172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所示。组序号组序号动作动作源源目的目的源端口源端口目的端口目的端口协议类型协议类型1禁止禁止*172.18.25.109*21案例：用禁用访问案例：用禁用访问 利用建立访问规则，如图所示。利用建立访问规则，如图所示。设置访问规则以后，再访问主机设置访问规则以后，再访问主机“172.18.25.109172.18.25.109”的服务，将遭到拒绝，如图所示。的服务，将遭到拒绝，如图所示。访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。服务用协议，占用协议的服务用协议，占用协议的8080端口，主机的地址是端口，主机的地址是“172.18.25.109172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所示。组序号组序号动作动作源源目的目的源端口源端口目的端口目的端口协议类型协议类型1 1禁止禁止*172.18.25.109172.18.25.109*8080案例：用禁用访问案例：用禁用访问 利用建立访问规则，如图所示。利用建立访问规则，如图所示。打开本地的连接远程主机的服务，将遭到拒绝，如图所示。打开本地的连接远程主机的服务，将遭到拒绝，如图所示。访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。应用代理（应用代理（）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为又被称为“应用网关应用网关”。应用代理防火墙应用代理防火墙应用级网关应用级网关应用级网关应用级网关应用级网关的工作机制应用级网关的工作机制应用级网关的工作机制应用级网关的工作机制优点：优点：网关理解应用协议，可以实施更细粒度的访问控制，因此比包过滤更安全网关理解应用协议，可以实施更细粒度的访问控制，因此比包过滤更安全易于配置，界面友好易于配置，界面友好不允许内外网主机的直接连接不允许内外网主机的直接连接只需要详细检查几个允许的应用程序只需要详细检查几个允许的应用程序对进出数据进行日志和审计比较容易对进出数据进行日志和审计比较容易缺点：缺点：额外的处理负载，处理速度比包过滤慢额外的处理负载，处理速度比包过滤慢对每一类应用，都需要一个专门的代理对每一类应用，都需要一个专门的代理灵活性不够灵活性不够应用级网关应用级网关常见防火墙系统模型常见防火墙系统模型 常见防火墙系统一般按照四种模型构建：常见防火墙系统一般按照四种模型构建：筛选路由器模型；筛选路由器模型；单宿主堡垒主机（屏蔽主机防火墙）模型；单宿主堡垒主机（屏蔽主机防火墙）模型；双宿主堡垒主机（屏蔽防火墙系统）模型；双宿主堡垒主机（屏蔽防火墙系统）模型；屏蔽子网模型。屏蔽子网模型。堡垒主机堡垒主机 堡堡垒垒主主机机是是一一种种配配置置了了安安全全防防范范措措施施的的网网络络上上的的计计算算机机，堡堡垒垒主主机机为为网网络络之之间间的的通通信信提提供供了了一一个个阻阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。双宿主机双宿主机 有两个网络接口的计算机系统有两个网络接口的计算机系统,一个接口接内部网一个接口接内部网,一个接口接外部网。一个接口接外部网。一些概念一些概念安装安全操作系统安装安全操作系统安装安全操作系统安装安全操作系统只安装重要服务，如、等只安装重要服务，如、等只安装重要服务，如、等只安装重要服务，如、等需要进行鉴别需要进行鉴别需要进行鉴别需要进行鉴别每个代理配置成只支持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只支持标准命令集的一个子集每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机每个代理配置成只允许访问指定的主机所有连接、通信都执行日志审计所有连接、通信都执行日志审计所有连接、通信都执行日志审计所有连接、通信都执行日志审计各代理间相互独立各代理间相互独立各代理间相互独立各代理间相互独立每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中每个代理都运行在专用和安全的目录中堡垒主机特征堡垒主机特征筛选路由器模型筛选路由器模型 筛选路由器模型是网络的第一道防线，功能是实施包过滤。如果筛选路由器被黑客攻破那么内部网络将筛选路由器模型是网络的第一道防线，功能是实施包过滤。如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。单宿主堡垒主机模型单宿主堡垒主机模型 单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。双宿主堡垒主机模型双宿主堡垒主机模型 双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。络的信息经过堡垒主机。屏蔽子网模型屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立中立区区”(，)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、组，以及其它公网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、组，以及其它公用服务器放在网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。用服务器放在网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。防火墙配置之一防火墙配置之一防火墙配置之一防火墙配置之一（单地址堡垒主机）（单地址堡垒主机）（单地址堡垒主机）（单地址堡垒主机）典型的路由器安全规则配置：典型的路由器安全规则配置：对于来自的数据包，只有目标指定为堡垒主机的包才允许进入对于来自的数据包，只有目标指定为堡垒主机的包才允许进入对于来自内部网的数据包，只有来自堡垒主机的包才允许发出对于来自内部网的数据包，只有来自堡垒主机的包才允许发出堡垒主机执行鉴别和代理服务堡垒主机执行鉴别和代理服务比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：比简单地配置单独的包过滤路由器或应用级网关具有更大的安全性：既实现了包一级又实现了应用级的过滤既实现了包一级又实现了应用级的过滤一个入侵者必须同时渗透两个单独的系统一个入侵者必须同时渗透两个单独的系统同时也为支持直接的访问提供了灵活性（如配置服务器，可以将路由器配置成允许直接通信）同时也为支持直接的访问提供了灵活性（如配置服务器，可以将路由器配置成允许直接通信）单地址堡垒主机单地址堡垒主机单地址堡垒主机单地址堡垒主机防火墙配置之二防火墙配置之二防火墙配置之二防火墙配置之二（双地址堡垒主机）（双地址堡垒主机）（双地址堡垒主机）（双地址堡垒主机）设设设设置置置置成成成成双双双双地地地地址址址址后后后后，所所所所有有有有的的的的专专专专用用用用网网网网主主主主机机机机（如如如如服服服服务务务务器器器器）及及及及的的的的通通通通信信信信都都都都必必必必须须须须通通通通过过过过堡堡堡堡垒垒垒垒主主主主机机机机，比比比比单单单单地地地地址址址址方方方方式式式式对对对对安全的要求更为严格安全的要求更为严格安全的要求更为严格安全的要求更为严格双地址堡垒主机双地址堡垒主机双地址堡垒主机双地址堡垒主机防火墙配置之三防火墙配置之三防火墙配置之三防火墙配置之三（屏蔽的子网防火墙）（屏蔽的子网防火墙）（屏蔽的子网防火墙）（屏蔽的子网防火墙）采采用用了了两两个个包包过过滤滤路路由由器器和和一一个个堡堡垒垒主主机机，在在内内外外网网络络之之间间建建立立了了一一个个被被隔隔离离的的子子网网，定定义义为为“非非军事化区（军事化区（；）；）”网网网网络络络络管管管管理理理理员员员员将将将将堡堡堡堡垒垒垒垒主主主主机机机机，服服服服务务务务器器器器、服服服服务务务务器器器器等等等等公公公公用用用用服服服服务务务务器器器器放放放放在在在在中中中中。内内内内部部部部网网网网络络络络和和和和外外外外部部部部网网网网络络络络均均均均可可可可访访访访问问问问，但但但但禁禁禁禁止它们穿过直接进行通信。这种模式是三种配置中最安全的，具有以下优点：止它们穿过直接进行通信。这种模式是三种配置中最安全的，具有以下优点：止它们穿过直接进行通信。这种模式是三种配置中最安全的，具有以下优点：止它们穿过直接进行通信。这种模式是三种配置中最安全的，具有以下优点：具有三级防卫措施。即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。具有三级防卫措施。即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。具有三级防卫措施。即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。具有三级防卫措施。即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。存在，使得内部网络对于不可见存在，使得内部网络对于不可见存在，使得内部网络对于不可见存在，使得内部网络对于不可见同样由于存在区，内部网络中的系统不能构造到的直接路由同样由于存在区，内部网络中的系统不能构造到的直接路由同样由于存在区，内部网络中的系统不能构造到的直接路由同样由于存在区，内部网络中的系统不能构造到的直接路由屏蔽的子网防火墙屏蔽的子网防火墙屏蔽的子网防火墙屏蔽的子网防火墙创建防火墙的步骤创建防火墙的步骤创建防火墙的步骤创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步：成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略；第一步：制定安全策略；第二步：搭建安全体系结构；第二步：搭建安全体系结构；第三步：制定规则次序；第三步：制定规则次序；第四步：落实规则集；第四步：落实规则集；第五步：注意更换控制；第五步：注意更换控制；第六步：做好审计工作。第六步：做好审计工作。谢谢！谢谢！