防火墙技术的原理与应用课件

第8章防火墙技术的原理与应用 8.1 防火墙概述防火墙概述 8.2 防火墙技术与类型防火墙技术与类型 8.3 防火墙主要技术参数防火墙主要技术参数 8.4 防火墙防御体系结构类型防火墙防御体系结构类型 8.5 防火墙部署与应用案例防火墙部署与应用案例8.6 本章小结本章小结 本章思考与练习本章思考与练习 8.1 防防 火火 墙墙 概概 述述 8.1.1 8.1.1 防火墙技术背景防火墙技术背景目目前前，各各组组织织机机构构都都是是通通过过便便利利的的公公共共网网络络与与客客户户、合合作作伙伙伴伴进进行行信信息息交交换换的的，但但是是，一一些些敏敏感感的的数数据据有有可可能能泄泄露露给给第第三三方方，特特别别是是连连上上因因特特网网的的网网络络将将面面临临黑黑客客的的攻攻击击和和入入侵侵。为为了了应应对对网网络络威威胁胁，连连网网的的机机构构或或公公司司将将自自己己的的网网络络与与公公共共的的不不可可信信任任的的网网络络进进行行隔隔离离，其其方方法法是是根根据据网网络络的的安安全全信信任任程程度度和和需要保护的对象，人为地划分若干安全区域，这些安全区域有：需要保护的对象，人为地划分若干安全区域，这些安全区域有：*公共外部网络，如。*内联网()，如某个公司或组织的专用网络，网络访问限制在组织内部。*，是内联网的扩展延伸，常用作组织与合作伙伴之间进行通信。*军事缓冲区域，简称，该区域是介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，就能实现隔离有害通信的作用，进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙，因而人们就把这种安全设备俗称为“防火墙”，它一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成。8.1.2 8.1.2 防火墙工作原理防火墙工作原理防防火火墙墙是是由由一一些些软软、硬硬件件组组合合而而成成的的网网络络访访问问控控制制器器，它它根根据据一一定定的的安安全全规规则则来来控控制制流流过过防防火火墙墙的的网网络络包包，如如禁禁止止或或转转发发，能能够够屏屏蔽蔽被被保保护护网网络络内内部部的的信信息息、拓拓扑扑结结构构和和运运行行状状况况，从从而而起起到到网网络络安安全全屏屏障障的的作作用用。防防火火墙墙一一般般用用来来将将内内部部网网络络与与或或者者其其他他外外部部网网络络互互相相隔隔离离，限限制制网网络络互互访访，保保护护内部网络的安全，如图内部网络的安全，如图8-18-1所示。所示。图8-1 防火墙部署安装示意图 防火墙根据网络包所提供的信息实现网络通信访问控制：如果网络通信包符合网络访问控制策略，就允许该网络通信包通过防火墙，否则不允许，如图8-2所示。防火墙的安全策略有两种类型，即：(1)只允许符合安全规则的包通过防火墙，其他通信包禁止。(2)禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。图8-2 防火墙工作示意图 防火墙简单的可以用路由器、交换机实现，复杂的就要用一台计算机，甚至一组计算机实现。按照协议的层次，防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层，首先依据各层所包含的信息判断是否遵循安全规则，然后控制网络通信连接，如禁止、允许。防火墙简化了网络的安全管理。如果没有它，网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全，就必须在每台主机上安装安全软件，并对每台主机都要定时检查和配置更新。归纳起来，防火墙的功能有：*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙，禁止未授权的用户访问受保护的网络，降低被保护网络受非法攻击的风险。*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务，通常受保护网络中的、服务器等可让外部网络访问，而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务，例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道，可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志，可以掌握网络的使用情况，例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。*网络带宽控制。防火墙可以控制网络带宽的分配使用，实现部分网络质量服务()保障。*协同防御。目前，防火墙和入侵检测系统通过交换信息实现联动，根据网络的实际情况配置并修改安全策略，增强网络安全。8.1.3 8.1.3 防火墙缺陷防火墙缺陷尽尽管管防防火火墙墙有有许许多多防防范范功功能能，但但它它也也有有一一些些力力不不能能及及的的地地方方，因因为为防防火火墙墙只只能能对对通通过过它它的的网网络络通通信信包包进进行行访访问问控控制制，所所以以对对未未经经过过它它的的网网络络通通信信就就无无能能为为力力了了。例例如如，如如果果允允许许从从内内部部网网络络直直接接拨拨号号访访问问外外部部网网络络，则则防防火火墙墙就就失失效效了了，攻攻击击者者通通过过用用户户拨拨号号连连接接直直接接访访问问内内部部网网络络，绕绕过过防防火火墙墙控控制制，也能造成潜在的攻击途径。也能造成潜在的攻击途径。除此之外，防火墙还有一些脆弱点，例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈，因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以致于不能指望防火墙逐个扫描每个文件查找病毒，而只能在每台主机上安装反病毒软件。*防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击效果。防火墙对此无能为力。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制，某些基于网络隐蔽通道的后门能绕过防火墙的控制，例如 等。8.2 防火墙技术与类型防火墙技术与类型 8.2.1 8.2.1 包过滤包过滤包包过过滤滤是是在在层层实实现现的的防防火火墙墙技技术术。包包过过滤滤根根据据包包的的源源地地址址、目目的的地地址址、源源端端口口、目目的的端端口口及及包包传传递递方方向向等等包包头头信信息息判判断断是是否否允允许许包包通通过过。此此外外，还还有有一一种种可可以以分分析析包包中中数数据据区区内内容容的的智智能能型型包包过过滤滤器器。基基于于包包过过滤滤技技术术的的防防火火墙墙，简简称称包包过过滤滤型型防防火火墙，英文表示就是墙，英文表示就是 ，其工作机制如图，其工作机制如图8-38-3所示。所示。图8-3 包过滤工作机制 目前，包过滤是防火墙的基本功能之一。多数现代的路由软件或设备都支持包过滤功能，并默认转发所有的包。、是有名的自由过滤软件，可以运行在操作系统平台上。包过滤的控制依据是规则集，典型的过滤规则表示格式由规则号、匹配条件、匹配操作三部分组成，包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异，但一般的包过滤防火墙都用源地址、目的地址、源端口号、目的端口号、协议类型(，)、通信方向及规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计等三种。表8-1是包过滤型防火墙过滤规则表，这些规则的作用在于只允许内、外网的邮件通信，其他的通信都禁止。表表8-1 8-1 防火墙过滤规则表防火墙过滤规则表 包过滤型防火墙对用户透明，合法用户在进出网络时，感觉不到它的存在，使用起来很方便。在实际网络安全管理中，包过滤技术经常用来进行网络访问控制。下面以 为例，说明包过滤器的作用。有两种访问规则形式，即标准访问表和扩展访问表，它们的区别主要是访问控制的条件不一样。标准访问表只是根据包的源地址进行。标准访问控制规则的格式如下：而扩展访问规则的格式是:其中：*标准访问控制规则的 规定为199，而扩展访问规则的规定为100199；*表示若经过 过滤器的包条件匹配，则禁止该包通过；*表示若经过 过滤器的包条件匹配，则允许该包通过；*表示来源的地址；*表示发送数据包的主机地址的通配符掩码，其中1代表“忽略”，0代表“需要匹配”，代表任何来源的包；*表示目的地址；*表示接收数据包的主机地址的通配符掩码；*表示协议选项，如、等；*表示记录符合规则条件的网络包。下面给出一个例子，用路由器防止攻击，配置信息如下：!170 27665 170 31335 170 27444!170 16660 170 65000!3 170 33270 170 39268!170 6711 6712 170 6776 170 6669 170 2222 170 7000 简而言之，包过滤成为当前解决网络安全问题的重要技术之一，不仅可以用在网络边界上，而且也可应用在单台主机上。例如，现在的个人防火墙以及 2000和 都提供了对、等协议的过滤支持，用户可以根据自己的安全需求，通过过滤规则的配置来限制外部对本机的访问。图8-4是利用 2000系统自带的包过滤功能对139端口进行过滤，这样可以阻止基于的漏洞攻击。图8-4 2000过滤配置示意图 包过滤防火墙技术的优点是低负载、高通过率、对用户透明；但是包过滤技术的弱点是不能在用户级别进行过滤，如不能识别不同的用户和防止地址的盗用。如果攻击者把自己主机的地址设置成一个合法主机的地址，就可以轻易通过包过滤器。8.2.2 8.2.2 应用服务代理应用服务代理应应用用服服务务代代理理防防火火墙墙扮扮演演着着受受保保护护网网络络的的内内部部网网主主机机和和外外部部网网络络主主机机的的网网络络通通信信连连接接“中中间间人人”的的角角色色，代代理理防防火火墙墙代代替替受受保保护护网网络络的的主主机机向向外外部部网网络络发发送送服服务务请请求求，并并将将外外部部服服务务请求响应的结果返回给受保护网络的主机，如图请求响应的结果返回给受保护网络的主机，如图8-58-5所示。所示。图8-5 代理服务工作流程示意图 采用代理服务技术的防火墙简称代理服务器，它能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为代理、代理、代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序和身份验证服务程序构成。每个代理服务程序应用到一个指定的网络端口，代理客户程序通过该端口获得相应的代理服务。例如，浏览器支持多种代理配置，包括、等，如图8-6所示。图8-6 浏览器配置示意图 代理服务技术也是常用的防火墙技术，安全管理员为了对内部网络用户进行应用级上的访问控制，常安装代理服务器，如图8-7所示。受保护内部用户对外部网络访问时，首先需要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性。应用服务代理技术的优点是：图8-7 代理服务器工作示意图*不允许外部主机直接访问内部主机；*支持多种用户认证方案；*可以分析数据包内部的应用命令；*可以提供详细的审计记录。而它的缺点是：*速度比包过滤慢；*对用户不透明；*与特定应用协议相关联，代理服务器并不能支持所有的网络协议。8.2.3 8.2.3 网络地址转换网络地址转换是是“”的的英英文文缩缩写写，中中文文的的意意思思是是“网网络络地地址址转转换换”。技技术术主主要要是是为为了了解解决决公公开开地地址址不不足足而而出出现现的的，它它可可以以缓缓解解少少量量因因特特网网地地址址和和大大量量主主机机之之间间的的矛矛盾盾。但但技技术术用用在在网网络络安安全全应应用用方方面面，则则能能透透明明地地对对所所有有内内部部地地址址作作转转换换，使使外外部部网网络络无无法法了了解解内内部部网网络络的的内内部部结结构构，从从而而提提高高内内部部网网络络的的安安全全性性。基基于于技技术术的的防防火火墙墙上上装装有有一一个个合合法法的的地地址址集集，当当内内部部某某一一用用户户访访问问外外网网时时，防防火火墙墙动动态态地地从从地地址址集集中中选选一一个个未未分分配配的的地地址址分分配配给给该该用户，该用户即可使用这个合法地址进行通信。用户，该用户即可使用这个合法地址进行通信。实现网络地址转换的方式有：静态()、池()和端口()三种类型。其中，静态设置起来最为简单，此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。则是把内部地址映射到外部网络的一个地址的不同端口上。的三种方式目前已被许多的路由器产品支持。在路由器上定义启用的一般步骤如下：第一步，确定使用的接口，通常将连接到内部网络的接口设定为内部接口，将连接到外网的接口设定为的外部接口。第二步，设定内部全局地址的转换地址及转换方式。第三步，根据需要将外部全局地址转换为外部本地地址。目前，专用的防火墙产品都支持地址转换技术，比较常见的有：和。的功能强大，它可完成、等防火墙的功能，而且安装配置相对比较简单。8.3 防火墙主要技术参数防火墙主要技术参数 8.3.1 8.3.1 防火墙功能指标防火墙功能指标防火墙主要功能类指标项如表防火墙主要功能类指标项如表8-28-2所示。所示。表表8-2 8-2 防火墙主要功能类指标项防火墙主要功能类指标项 8.3.2 8.3.2 防火墙性能指标防火墙性能指标评评估估防防火火墙墙性性能能指指标标涉涉及及到到防防火火墙墙所所采采用用的的技技术术，根根据据现现有防火墙产品，防火墙在性能方面的指标主要有：有防火墙产品，防火墙在性能方面的指标主要有：*最最大大吞吞吐吐量量：检检查查防防火火墙墙在在只只有有一一条条默默认认允允许许规规则则和和不不丢包的情况下达到的最大吞吐速率。丢包的情况下达到的最大吞吐速率。*转转送送速速率率：检检查查防防火火墙墙在在通通常常安安全全规规则则发发生生作作用用的的情情况况下，能以多快的速度转送正常的网络通信量。下，能以多快的速度转送正常的网络通信量。*最最大大规规则则数数：检检查查在在添添加加大大数数量量访访问问规规则则的的情情况况下下，防防火墙的性能变化状况。火墙的性能变化状况。*并并发发连连接接数数：防防火火墙墙在在单单位位时时间间内内所所能能建建立立的的最最大大 连连接接数，即每秒的连接数。数，即每秒的连接数。8.3.3 8.3.3 防火墙安全指标防火墙安全指标由由于于防防火火墙墙在在网网络络安安全全中中扮扮演演着着重重要要的的角角色色，因因此此防防火火墙墙的的自自身身安安全全至至关关重重要要。当当前前，评评价价防防火火墙墙的的安安全全功功能能的的指指标标主主要有：要有：*入入侵侵实实时时警警告告：防防火火墙墙能能够够对对自自身身和和受受保保护护网网络络的的非非法法攻击进行多种告警，如声音、日志、邮件、呼机、手机等。攻击进行多种告警，如声音、日志、邮件、呼机、手机等。*实实时时入入侵侵防防范范：提提供供实实时时入入侵侵响响应应功功能能，当当发发生生入入侵侵事事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。*抗攻击性要求：防火墙具有抵抗针对本身和受保护网络的攻击能力，这些攻击包括地址欺骗、拒绝服务攻击、渗透性攻击等。*防火墙所采用的操作系统应是安全可信的：防火墙应采用安全的操作系统或安全增强型的操作系统。8.4 防火墙防御体系结构类型防火墙防御体系结构类型8.4.1 8.4.1 基于双宿主主机防火墙结构基于双宿主主机防火墙结构基基于于双双宿宿主主主主机机结结构构是是最最基基本本的的防防火火墙墙系系统统结结构构。这这种种系系统统实实质质上上是是至至少少具具有有两两个个网网络络接接口口卡卡的的主主机机系系统统。在在这这种种结结构构中中，一一般般都都是是将将一一个个内内部部网网络络和和外外部部网网络络分分别别连连接接在在不不同同的的网网卡卡上上，使使内内外外网网络络不不能能直直接接通通信信。对对从从一一块块网网卡卡上上送送来来的的包包，经经过过一一个个安安全全检检查查模模块块检检查查后后，如如果果是是合合法法的的，则则转转发发到到另另一一块块网网卡卡上上，以以实实现现网网络络的的正正常常通通信信；如如果果不不合合法法，则则阻阻止止通通信信。这这样样，内内外外网网络络直直接接的的数数据据流流完完全全在在双双宿宿主主主主机机的的控控制制之之中中，如图如图8-88-8所示。所示。图8-8 双宿主主机防火墙结构 8.4.2 8.4.2 基于代理型防火墙结构基于代理型防火墙结构双双宿宿主主主主机机结结构构由由一一台台同同时时连连接接内内外外网网络络的的主主机机提提供供安安全全保保障障，代代理理型型结结构构则则不不同同。代代理理型型结结构构中中由由一一台台主主机机同同外外部部网网连连接接，该该主主机机代代理理内内部部网网和和外外部部网网的的通通信信。同同时时，代代理理型型结结构构中中还还包包括括过过滤滤路路由由器器，即即代代理理服服务务器器和和路路由由器器共共同同构构建建了了一一个个网络安全边界防御架构，如图网络安全边界防御架构，如图8-98-9所示。所示。图8-9 代理型防火墙结构 在这种结构中，代理主机位于内部网络。一般情况下，过滤路由器可按如下规则进行配置：*允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。*任何外部网(或)的主机只能与内部网络的代理主机建立连接。*任何外部系统对内部网络的操作都必须经过代理主机。同时，代理主机本身要求要有较全面的安全保护。由于这种结构允许包从外部网络直接传送到内部网(代理主机)，因此这种结构的安全控制看起来似乎比双宿主主机结构差。在双宿主主机结构中，外部网络的包理论上不可能直接抵达内部网。但实际上，应用双宿主主机结构防护数据包从外部网络进入内部网络也很容易失败，并且这种失败是随机的，所以无法有效地预先防范。一般来说，代理型结构比双宿主主机结构能提供更好的安全保护，同时操作也更加简便。代理型结构的主要缺点是，只要攻击者设法攻破了代理主机，那么对于攻击者来说，整个内部网络与代理主机之间就没有任何障碍了，攻击者变成了内部合法用户，完全可以侦听到内部网络上的所有信息。8.4.3 8.4.3 基于屏蔽子网的防火墙结构基于屏蔽子网的防火墙结构如如图图8-108-10所所示示，子子网网过过滤滤结结构构是是在在代代理理型型结结构构中中增增加加了了一一层层周周边边网网络络的的安安全全机机制制，使使内内部部网网络络和和外外部部网网络络有有两两层层隔隔离离带带。周周边边网网络络隔隔离离堡堡垒垒主主机机与与内内部部网网，减减轻轻攻攻击击者者攻攻破破堡堡垒垒主主机机时时对对内内部部网网络络的的冲冲击击力力。攻攻击击者者即即使使攻攻破破了了堡堡垒垒主主机机，也也不不能能侦侦听听到到内内部部网网络络的的信信息息，不不能能对对内内部部网网络络直直接接操操作作。基基于于屏屏蔽蔽子子网的防火墙结构的特点是：网的防火墙结构的特点是：*应应用用代代理理位位于于被被屏屏蔽蔽子子网网中中，内内部部网网络络向向外外公公开开的的服服务务器器也也放放在在被被屏屏蔽蔽子子网网中中，外外部部网网络络只只能能访访问问被被屏屏蔽蔽子子网网，不不能能直接进入内部网络。直接进入内部网络。*两个包过滤路由器的功能和配置是不同的，包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过代理服务器的检查和认证。*优点：安全级别最高。*缺点：成本高，配置复杂。图8-10 屏蔽子网防火墙结构 8.5 防火墙部署与应用案例防火墙部署与应用案例 8.5.1 8.5.1 防火墙部署的基本方法与步骤防火墙部署的基本方法与步骤防防火火墙墙部部署署是是指指根根据据受受保保护护的的网网络络环环境境和和安安全全策策略略，如如网网络络物物理理结结构构或或逻逻辑辑区区域域，将将防防火火墙墙安安装装在在网网络络系系统统中中的的过过程程。防火墙部署的基本过程包含以下几个步骤：防火墙部署的基本过程包含以下几个步骤：第第一一步步，根根据据组组织织或或公公司司的的安安全全策策略略要要求求，将将网网络络划划分分成成若干安全区域；若干安全区域；第二步，在安全区域之间设置针对网络通信的访问控制点；第二步，在安全区域之间设置针对网络通信的访问控制点；第第三三步步，针针对对不不同同访访问问控控制制点点的的通通信信业业务务需需求求，制制定定相相应应的边界安全策略；的边界安全策略；第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构；第五步，在防火墙上，配置实现对应的边界安全策略；第六步，测试并验证边界安全策略是否正常执行。第七步，运行和维护防火墙。8.5.2 基于路由器的安全应用案例基于路由器的安全应用案例 图8-11 某公司的网络结构 为了保证内部网络和路由器的安全，特定义如下安全策略：*只允许指定的主机收集管理信息；*禁止来自外部网络的非法通信流通过；*禁止来自内部网络的非法通信流通过；*只允许指定的主机远程访问路由器。路由器的安全配置信息如下：!0 14.1.0.0/16 14.1.1.20 255.255.0.0 100!1 14.2.6.0/24 14.2.6.250.255.255.255.0 102 !44 14.1.0.0 0.0.255.255 0 14.2.6.0 0.0.0.255 1!75 !75 75 14.2.6.6 75 14.2.6.18!100 !100 100 14.2.6.0 0.0.0.255 100 14.1.1.20 14.1.1.20 100 127.0.0.0 0.255.255.255 100 10.0.0.0 0.255.255.255 100 0.0.0.0 0.255.255.255 100 172.16.0.0 0.15.255.255 100 192.168.0.0 0.0.255.255 100 192.0.2.0 0.0.0.255 100 169.254.0.0 0.0.255.255 100 224.0.0.0 15.255.255.255 100 14.2.6.255 100 14.2.6.0 100 14.2.6.0 0.0.0.255 100 100 100 100 14.2.6.0 0.0.0.255 100 14.1.0.0 0.0.255.255 14.1.1.20 100 6000 6063 100 6667 100 12345 12346 100 31337 100 20 14.2.6.0 0.0.0.255 1023 100 2049 100 31337 100 33400 34400 100 53 14.2.6.0 0.0.0.255 1023 100 0 65535 0 65535 100 0 65535 0 65535 100 !102 !102 102 14.2.6.250 14.2.6.250 102 14.2.6.0 0.0.0.255 102 14.2.6.0 0.0.0.255 102 14.2.6.0 0.0.0.255 102 14.2.6.0 0.0.0.255 102 1 19 102 43 102 93 102 135 139 102 445 102 512 518 102 540 102 14.2.6.0 0.0.0.255 1023 1024 102 14.2.6.0 0.0.0.255 1023 53 102 14.2.6.0 0.0.0.255 33400 34400 102 0 65535 0 65535 102 0 65535 0 65535 102 !150 !(14.2.6.10,14.2.6.11 14.2.6.12)150 150 14.2.6.10 0.0.0.0 23 150 14.2.6.11 0.0.0.0 23 150 14.2.6.12 0.0.0.0 23 150 !n33m3 75!0 4 150 7 1234567891234 8.6 本本 章章 小小 结结 本章介绍了防火墙的概念及其工作机制，重点分析了防火墙所采用的技术原理和防火墙的评价指标。本章对防火墙的防御体系类型进行了归纳分析，主要有双宿主主机结构、代理型结构、屏蔽子网结构。同时，本章还给出了防火墙的应用案例。本章思考与练习本章思考与练习 1.简述各种不同类型防火墙的工作机制。2.试比较分析防火墙所采用的技术的优缺点。3.防火墙体系结构类型有哪些？请举例说明其应用。4.请给出防火墙防范网络蠕虫的案例。5.防火墙是如何保护网站服务器的？6.请从网上下载Linux Netfilter(iptables和ipchains)等常用防火墙软件，并安装配置，掌握其用法。