--- 第 5 章 防火墙技术

网络信息安全

电子信息工程学院计算机科学与技术系

第 5 章 防火墙技术

防火墙及相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙

防火墙的定义

传统的防火墙概念传统的防火墙概念概念： 防火墙被设计用来防止火从大厦的一部分传播到另一部分

5.1 防火墙概述

5.1 防火墙概述

1 、 IT 防火墙的概念 防火墙（ Firewall ）是一个由软件和硬件设备组合而成、架设在内部网和外部网之间，它能挡住来自外部网络的攻击和入侵，是内部网的安全屏障，保障着内部网络的安全。

1 、防火墙的概念

外部网络（外网） :防火墙之外的网络，一般为 Internet ，默认为风险区域。

内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。

非军事化区（ DMZ ）：介于外网与与内部网络之间一个单独的区域，内网中需要向外网提供服务的服务器（ 如 WWW 、 FTP 、 SMTP、 DNS 等）往往放这个区域内，这个区域称为非军事化区。

代理服务器 :是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。

2 、几个常用概念

包过滤 :也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。

状态检查技术：第三代网络安全技术。状态检测模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行检测，并作为安全决策依据。

虚拟专用网（ VPN ）：在公用中配置的专用网络。

漏洞：是系统中的安全缺陷。

2 、几个常用概念

数据驱动攻击： 数据驱动攻击是通过向某个活动中的服务发送数据，以产

生非预期结果来进行的攻击。入侵者把一些具有破坏数据藏匿在正常数据中。当这些数据被激活时，发生的攻击。比如。

一个站点的地址为： http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117 。在 wish 后，用“ %5c” 替换“ /” ，地址就变成了 http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117 ，这样就可以暴出对方数据库了。根据错误提示，数据库是 db.mdb ，而且还可以直接下载。

IP 地址欺骗： 入侵者利用伪造的 IP 地址，产生的虚假的数据包，乔装成

来处内部的数据。

3. 防火墙安全策略

防火墙采取的安全控制准则，有下面两种： （ 1 ）除非明确允许，否则就禁止

堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。

需要逐个定义每一个允许的服务和应用程序，而任何一个可能成为不安全的服务和应用程序都不能允许使用。

这是一个最安全的方法。一般在防火墙配置中都会使用这种策略。

3. 防火墙安全策略

（ 2 ）除非明确禁止，否则就允许 这种策略允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。

需要逐个定义每一个不信任或有潜在危害的服务和应用程序，他们都在拒绝之列。

这种策略可能存在严重的安全隐患，实际中用得较少。总之，从安全性的角度考虑，第一种准则更可取一些，而从灵活性和使用方便性的角度考虑，第二种准则更适合。

5.1.2 防火墙的作用

从总体上看，防火墙应具有以下基本功能：可以限制未授权用户进入内部网络，过滤掉不安全服务和

非法用户；防止入侵者接近内部网络的防御设施，对网络攻击进行检

测和告警；限制内部用户访问特殊站点；记录通过防火墙的信息内容和活动，为监视 Internet 安全

提供方便。

5.1.3 防火墙的优、缺点

1 ．优点 防火墙是加强网络安全的一种有效手段，它有以下优点：（ 1 ）防火墙能强化安全策略（ 2）防火墙能有效地记录 Internet上的活动（ 3）防火墙是一个安全策略的检查站2 ．缺点 有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点：

不能防范恶意的内部用户 如果入侵者已经在防火墙内部，防火墙是无能为力的。内

部用户可以不经过防火墙窃取数据、破坏硬件和软件。 这类攻击占了全部攻击的一半以上。

不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不

通过它传输的信息。 例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

2．缺点

不能防范全部的威胁 可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。

防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。

无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。

2．缺点

5.2 防火墙技术分类 防火墙的分类

根据工作在网络中作用层的不同，防火墙可以分为： 包过滤防火墙（网络层防火墙） 代理服务器 （应用层防火墙）

包过滤防火墙（网络层防火墙） 数据包的概念及其结构： 数据包过滤是防火墙中最基本、最简单的一种； 该类防火墙运行在 TCP/IP协议的网络层上，它对进出内部

网络的所有数据包进行检查，或者放行，或者丢弃，取决于事先建立的一套过滤规则。

所以称为包过滤防火墙。

包过滤防火墙

5.2 防火墙技术分类

代理服务器（应用层防火墙） 根据使用的应用程序来进行接入控制。

◊例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。

其基本工作过程是：◊ 当客户机需要使用外网的服务器上的数据时，首先将这

些请求发送给代理服务器；◊ 代理服务器根据这些请求，向服务器索取数据；◊然后，再由代理服务器将数据传输给客户机。

同样，当外网向内网申请服务时，代理服务器也发挥了中 间转接的作用。

应用代理防火墙

Telnet

FTP

SMTP

HTTP

外部主机

外部连接

应用级网关

内部连接

内部主机

5.2.1 包过滤技术

1 、包过滤（ Packet Filtering ）技术包过滤技术的工作原理：

包过滤技术主要是在 IP 层实现的。 包过滤防火墙基于一定的过滤规则，通过检测、分析流经

的数据包头信息（包括源、目标 IP 地址，协议类型，源、目标端口等）以及数据包传输方向等来判断是否允许通过：◊ 如果数据包信息与用户制定的通行规则相匹配，防火墙

就允许其通过，并通过路由转发；◊ 如果按照规则属于不该放行的，防火墙就阻止该数据包

通行；◊ 不与包过滤规则匹配的，防火墙就丢弃该数据包。

安全网域Host C Host D

UDPBlockHost CHost B

TCPPassHost CHost A

Destination ProtocolPermitSource

数据

包

数据

包

数据包数据包

数据包

查找对应的控制策略

拆开数据包

根据策略决定如何处理该数据包

控制策略

数据包

过滤依据主要是 TCP/IP报头里面的信息，不能对应用层数据进行处理

数据TCP 报头

IP 报头

分组过滤判断信息

包过滤防火墙工作原理图

包过滤技术的工作过程：包过滤防火墙读取包头信息，与信息过滤规则比较，顺 序检查规则表中每一条规则，直至发现包中的信息与某 条规则相符。如果有一条规则不允许发送某个包，路由器就将它丢弃； 如果有一条规则允许发送某个包，路由器就将它发送；如果没有任何一条规则符合，路由器就会使用默认规则， 一般情况下，默认规则就是禁止该包通过。

过滤规则通常以表格的形式表示，其中包括以某种次序排 列的条件和动作序列。当收到一个数据包时，则按照从前至后的顺序与表格中每 行的条件比较，直到满足某一行的条件，然后执行相应的 动作（转发或丢弃）。

过滤规则的表示形式

表 5--1所列便是数据包过滤规则的示例，根据这些规则，便可对表 5--2 中列出的各项实际通信的数据包进行过滤，有的数据包能通过，有的则遭到拒绝。 表 5-1 规则表

规则 来源 IP 地址 目的 IP 地址 类型 来源端口号 目的端口号 动作

1 20.210.21.72

任意 任意 任意 任意 拒绝

2 140.130.149.*

140.112.*.* TCP 任意 23(Telnet) 通过

3 140.112.*.* 140.130.149.*

TCP 23 任意 通过

4 140.*.*.* 140.*.*.* TCP 任意 25(Email) 通过

5 任意 任意 任意 任意 任意 拒绝

表 5-2 过滤表列

包 来源 IP 地址 目的 IP 地址 类型 来 源端口

目 的端口 规则 结果

1 20.210.21.72 140.130.149.60

TCP 2558 23 1 拒绝

2 140.130.149.28

140.130.149.48

TCP 6726 25 4 通过

3 120.132.78.54 140.130.149.60

UDP 1692 53 5 拒绝

4 140.112.68.35 140.130.149.210

TCP 23 4396

3 通过

5 140.130.149.186

140.112.127.3 TCP 18162

23 2 通过建立规则集要十分细心，一个小错误，都可能整个导致整个规则的不安全建立规则集也是一项比较烦琐的工作，要建立正确的、完善的过滤规则集并不是一件容易的事。

一个屏蔽路由器能保护整个网络 用一个恰当配置的屏蔽路由器，连接内部网络与外部网络，

进行数据包过滤，就可以取得较好的网络安全效果。包过滤对用户透明

包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。

屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息，一般不查看数据部分，而且

某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。

通常防火墙作为网络安全的第一道防线。

2. 包过滤防火墙的优点

屏蔽路由器的缺点也是很明显的：通常它没有用户的使用记录

这样就不能从访问记录中发现黑客的攻击记录。配置繁琐

没有一定的经验，是不可能将过滤规则配置得完美。有的时候，因为配置错误，防火墙根本就不起作用。

不能在用户级别上进行过滤 只能认为内部用户是可信任的、外部用户是可疑的。

单纯由屏蔽路由器构成的防火墙并不十分安全 危险地带包括路由器本身及路由器允许访问的主机，一旦

屏蔽路由器被攻陷就会对整个网络产生威胁。

3. 包过滤防火墙的缺点

4 ．包过滤防火墙的发展阶段

第一代：静态包过滤防火墙 根据数据包头进行过滤

第二代：动态包过滤（ Dynamic Packet Filter ）防火墙 动态包过滤防火墙只在用户请求下打开端口，并在服务完毕后关闭这个端口，这样就避免了普通包过滤防火墙那种因静态地开放端口，而受到攻击的可能性。

第三代：全状态检测（ Stateful Inspection ）防火墙

Internet上传输的数据都必须遵循 TCP/IP协议，根据 TCP协议，每个可靠连接的建立需要经过：⑴“客户端请求”；⑵“服务器应答”；⑶“客户端再应答”三个阶段。常用的 Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表；通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，以决定是否允许包通过。

第三代：全状态检测（ Stateful Inspection ）防火墙

当一个初始化连接会话的第一个数据包到达防火墙时，状态检测引擎会检测到这是一个发起连接的初始数据包（由SYN 标志判断），然后它就会把这个数据包中的信息与防火墙规则作比较。如果没有相应规则允许，防火墙就会拒绝这次连接；如果规则允许，它就允许数据包发送并且在状态表中新建一条会话；

通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息，对于 TCP 连接，它还应该会包含序列号和标志位等信息。当后续数据包到达时，如果这个数据包不含 SYN 标志，也就是说这个数据包不是发起一个新的连接时，状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较：

如果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率，

如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。

　状态检测防火墙允许会话数据包传递时，会动态打开端口，传输完毕后又动态地关闭这个端口，这样就避免了普通包过滤防火墙那种静态地开放端口的危险做法，同时由于有会话超时的限制，它也能够有效地避免外部的 DoS 攻击。　状态检测技术提供了更完整的对网络层和传输层的控制能力。

4 ．包过滤防火墙的发展阶段

第四代：深度包检测（ Deep Packet Inspection ）防火墙 它融合了入侵检测技术和攻击防范的功能。 功能更强大、安全性更强，可以抵御目前常见的网络

攻击手段，如 IP 地址欺骗、特洛伊木马攻击、 Internet蠕虫、口令探寻攻击、邮件攻击等

5.2.2 代理技术

代理服务器 是指代表内网用户向外网服务器进行连接请求的服务程序。

代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。

代理服务器的工作过程：当客户机需要使用外网服务器上的数据时， 首先将请求发给代理服务器； 代理服务器再根据这一请求向服务器索取数据； 代理服务器将数据传输给客户机；

代理服务器在外部网络向内部网络申请服务时，其作用也是中间转接。

代理服务器

应用代理示意图

手动更新

•可以在诺顿杀毒软件窗口中点击“ Live Update”命令按钮，启动手动更新•点击“下一步”，只要计算机连接到Internet 并且有新的病毒库，计算机便会进行更新 .

代理易于配置 代理因为是一个软件，所以它比过滤路由器容易配置。

代理能生成各项记录 因代理在应用层检查各项数据，按一定准则，生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。

代理能灵活、完全地控制进出信息 通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信息。

代理能过滤数据内容 可以把一些过滤规则应用于代理，在应用层实现过滤功能。

2. 代理的优点

3. 代理的缺点代理速度比路由器慢代理对用户不透明对于每项服务，代理可能要求不同的服务器代理服务通常要求对客户或过程进行限制代理服务受协议弱点的限制代理不能改进底层协议的安全性

（ 1 ）应用层代理（ Application Proxy ）代理服务是运行在防火墙主机上的专门的应用程序或者服务

器程序。应用层代理为某个特定应用服务提供代理，它对应用协议进

行解析并解释应用协议的命令。根据其处理协议的功能可分为 FTP 网关型防火墙、 Telnet

网关型防火墙、 WWW 网关型防火墙等。应用层代理的优点是能解释应用协议，支持用户认证，从而

能对应用层的数据进行更细粒度的控制。缺点是效率低，不能支持大规模的并发连接，只适用于单一协议。

4．代理防火墙的发展阶段

也称为电路级代理服务器。在电路层网关中，包被 提交到用户应用层处理。电路层网关用来在两个通信的终点之

间转换包。它适用于多个协议，但无法解释应用协议，需要通过其他方

式来获得信息。所以，电路级代理服务器通常要求修改过的用户程序。其中，套接字服务器（ Sockets Server ）就是电路级代理服务器。

对用户来说，内网与外网的信息交换是透明的，感觉不到防火墙的存在，那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“ SocketsifideAPI” ，内部网络用户访问外部网所使用的 IP 地址也都是防火墙的 IP 地址。

（ 2 ）电路层代理（ Circuit Proxy ）

（ 3 ）自适应代理（ Adaptive Proxy ）自适应代理防火墙允许用户根据具体需求，定义防火墙策略，

而不会牺牲速度或安全性。如果对安全要求较高，那么最初的安全检查仍在应用层进行，保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节，其后的数据包就可以直接经过速度更快的网络层。

自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分，自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时，根据防火墙管理员事先确定的安全策略，自动“适应”防火墙级别。

5.2.3 防火墙技术的发展趋势

1．功能融合 与 VPN 技术融合。 与入侵检测技术和攻击防御技术的融合 提供对应用层攻击行为的检测和对应用层内容的过滤功能。

提供防病毒的功能。

2．集成化管理 3．分布式体系结构

5.3 防火墙体系结构

（ 1 ）双重宿主主机结构；（ 2 ）被屏蔽主机结构；（ 3 ）被屏蔽子网结构。

5.3.1. 双重宿主主机结构

双宿主机（ Dual-homed host ） ，又称堡垒主机（ Bastion host ），是一台至少配有两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。

双重宿主主机

1 ．双宿主机网关双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称为堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。

1 ．双宿主机网关

8.3.2 屏蔽主机结构

屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器，如图 5-3所示，

屏蔽路由器连接外部网络，堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使这个堡垒主机成为

外部网络唯一可直接到达的主机。入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。

屏蔽主机结构

2 ．屏蔽主机网关 堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务

2 ．屏蔽主机结构

5.3.3 屏蔽子网结构

屏蔽子网结构是在屏蔽主机结构的基础上添加额外 的安全层，即屏蔽子网，更进一步地把内部网络与外部网

络隔离开。屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由

器放在子网的两端，在子网内构成一个安全性区域，通常叫做“非军事区” DMZ。

两个路由器一个控制内网的数据流，另一个控制外网的数据流， Intranet 和 Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。

3 ．屏蔽子网结构

3 ．屏蔽子网

3 ．屏蔽子网屏蔽子网是在 Intranet 和 Internet 之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet 和 Internet 分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”，两个路由器一个控制 Intranet 数据流，另一个控制Internet 数据流， Intranet 和 Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。

屏蔽子网结构

5.34 防火墙的组合结构

建造防火墙时，一般很少采用单一的结构，通常是　多种结构的组合。一般有以下几种形式：

使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。

8.4 内部防火墙

8.4.1 分布式防火墙（ Distributed Firewall ）8.4.2 嵌入式防火墙（ Embedded Firewall ）8.4.3 个人防火墙

8.4 内部防火墙

" 边界防火墙（ Perimeter Firewall ） "　传统的防火墙设置在网络边界，处于内内与外部之间。　边界防火墙的不足

给网络带来安全威胁的不仅是外网，更多的是来自内网。 边界防火墙无法对内网实现有效地保护。

新型的防火墙技术　分布式防火墙（ Distributed Firewalls ）技术

分布式防火墙的设计理念边界防火墙

所有边界防火墙，都是基于一个共同的假设：◊ 防火墙把内网一端的用户看成是可信任的；◊ 外网一端的用户都被作为潜在的攻击者来看待。

分布式防火墙 分布式防火墙的设计理念：

◊主机以外的任何用户都是不可信任的，对来自他们的访问都需要进行过滤，无论是来自 Internet ，还是来自内部网络。

分布式防火墙是一种主机驻留式的安全系统，以主机为保护对象，对主机进行保护的方式如同边界防火墙对整个内部网络进行保护一样。

8.4.1 分布式防火墙

分布式防火墙是在边界防火墙的基础上开发的，是一种全新的防火墙概念，是比较完善的一种防火墙技术；

分布式防火墙目前主要以软件形式出现。"分布式防火墙 "的保护对象，包括：

⑴ 网络边界，即内、外网的接口； ⑵ 内网中的各个子网； ⑶ 网络内部各节点，包括：服务器、桌面主机

分布式防火墙体系结构

分布式防火墙的组成，包含以下三个部分： 网络防火墙（ Network Firewall ） 主机防火墙（ Host Firewall ） 中心管理（ Central Management ）

分布式防火墙体系结构

网络防火墙（ Network Firewall ）： 网络防火墙有软件与硬件两种产品 网络防火墙的作用：

◊ 用于内部网与外部网之间，以及内部网各子网之间的防护；

◊ 在功能与传统的边界式防火墙类似，但多了个对内部子网之间的安全防护，这样整个网络的安全防护体系就显得更加全面，更加可靠。

分布式防火墙体系结构

主机防火墙（ Host Firewall ）： 有软件和硬件两种产品； 主机防火墙作用：

◊ 用于对网络中的服务器和桌面主机进行防护，以确保内部网络服务器和桌面机的安全。

分布式防火墙的作用： ⑴ 用于内部与外部网之间的防护； ⑵ 用于内部网各子网之间； ⑶ 同一内部子网工作站与服务器之间。

分布式防火墙可以说达到了应用层的安全防护。 是对传统边界式防火墙在安全体系方面的一个极大完善。

分布式防火墙体系结构

中心管理（ Central Managerment ）： 是一个服务器软件，负责总体安全策略：

◊ 策划◊管理◊ 分发◊日志的汇总

这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

8.4.1 分布式防火墙

分布式防火墙的主要特点

主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于服务器托管

（ 1 ）主机驻留

分布式防火墙的最主要特点就是采用主机驻留方式 就是驻留在被保护的主机上，该主机以外的网络不管是处

在网络内部还是网络外部都认为是不可信任的，可以针对该主机上运行的具体应用和对外提供的服务设定针

对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，

使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

（ 2 ）嵌入操作系统内核

操作系统自身存在许多安全漏洞，运行在其上的应用　软件无一不受到威胁。分布式主机防火墙也运行在该主机上，所以防火墙自身也会受到因操作系统漏洞而带来的威胁。

为确保自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。

为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开的内部技术接口。

　（ 3 ）类似于个人防火墙

主机防火墙与个人防火墙的相似之处： 它们都对应于个人系统，都可以保护单个主机。

主机防火墙与个人防火墙的差别之处： 管理方式迥然不同：

◊ 个人防火墙的安全策略由使用者自己设置，而主机防火墙的安全策略由整个系统的管理员统一设置；

◊ 个人防火墙只防外部攻击，主机防火墙除了防外部攻击外，也可以对该桌面机的对外访问加以控制；

◊主机防火墙的安全机制是使用者不可见和不可改动的。 其次，个人防火墙面向个人用户，主机防火墙是面向企业级客户的，是由一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。

　（ 4 ）适用于服务器托管

服务器托管：企业或个人的服务器托人代管；托管的服务器逻辑上是其企业网的一部分，但物理上不在企业

内部，对于这种应用，边界防火墙就显得力不从心；主机防火墙对被托管服务器的防护就游刃有余：

对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略，并可以利用中心管理软件对该服务器进行远程监控。

对于硬件式的分布式防火墙因其通常采用 PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面。

8.4.1 分布式防火墙

分布式防火墙的优势 增强的系统安全性

增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，对整个网络实施全方位的安全策略。

提高了系统性能 ⑴消除了结构性瓶颈；⑵对服务器、个人主机单独设置。

系统的扩展性 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

应用更为广泛，支持 VPN 通信 它能够保护物理拓朴上不属于内部网络，但位于逻辑上

的 "内部 "网络的那些主机，这种需求随着 VPN 的发展越来越多

8.4.2 嵌入式防火墙

将分布式防火墙技术集成在硬件上（一般可以兼有 网卡的功能），通常称之为嵌入式防火墙目前分布式防火墙主要是以软件形式出现的，也有一些网络

设备开发商（如 3COM 、 CISCO等）开发生产了硬件分布式防火墙，做成 PCI卡或 PCMCIA卡的形式，。

嵌入式防火墙的代表产品是 3Com公司的 3Com 10/100安全服务器网卡（ 3Com 10/100 Secure Server NIC）、 3Com 10/100安全网卡（ 3Com 10/100 Secure NIC）以及 3Com公司嵌入式防火墙策略服务器（ 3Com Embedded Firewall Policy Server ）。

8.4.3 个人防火墙

个人防火墙是安装在个人计算机里的一段程序，是防止个个人电脑中的信息被外部侵袭的一项技术，把个人计算机和 Internet 分隔开。

个人防火墙在个人主机的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。

目前在 Windows操作系统下比较著名的防火墙有： 国外的有： Symantec公司的诺顿、 Network Ice 公司的BlackIce Defender 、 McAfee 公司的思科及 Zone Lab 的 free ZoneAlarm 等

国内的有：天网防火墙、 360 木马防火墙、瑞星个人防火墙、江民黑客防火墙和金山网标等产品。

8.5 防火墙产品介绍

8.5.1 FireWall-1 防火墙 8.5.2 Cisco PIX 515E防火墙 8.5.3 天网防火墙

8.5.1 FireWall-1

Check Point 公司的系列防火墙产品可用于各种平台上，其中 Firewall-1 是最为流行、市场占有率最高的一种。

据 IDC 的最近统计， FireWall-1 防火墙在市场占有率上已超过 32% ，《财富》排名前 100 的大企业里近80% 选用了 FireWall-1 防火墙。

8.5.2 Cisco 安全防火墙服务模块 (FWSM ） Cisco 防火墙服务模块（ FWSM ）是一款高性能的状态化检

测防火墙，它可以集成在 Cisc 6500 交换机以及 7600路由器中。

Cisco FWSM 防火墙是一种高速的集成化的防火墙，可以提供业界最快的防火墙数据传输速率： 5 Gb 的吞吐量，以及 1000000个并发连接。在一个设备中最多可以安装 4个 FWSM 防火墙模块，因而每个设备最高可以提供高达 20Gb 的吞吐量。

FWSM还支持“虚拟防火墙”功能，通过适当配置，一块 FWSM最多可以虚拟为 100个独立工作的防火墙，网管人员可以根据需要为每个部门设立独立的防火墙，更好的保证网络安全。

8.5.3 天网防火墙

广州众达天网技术有限公司开发的天网防火墙系列产品功能全面，具有较高的性能。该系列产品提供有强大的访问控制、身份认证、网络地址转换（ NAT ）、数据过滤、虚拟专用网（ VPN ）、流量控制、虚拟网桥等功能。

8.5.3 天网防火墙

天网防火墙个人版是目前针对个人用户比较好的中文软件防火墙之一，由天网安全实验室设计开发，用户可以根据软件提供的安全规则自主设置访问控制、信息过滤、入侵检测等安全策略。天网防火墙自 1999 年推出个人版 V1.0以来，先后陆续推出了 V1.0、 V2.0、 V2.45、 V2.5、 V3.0等版本。目前，该软件最新的个人试用版本为 V3.0 版本，用户可以从天网防火墙的官方网站——天网安全实验室（ www.sky.net.cn ）下载来安装使用。

5.5.3 天网防火墙的安装点击下载目录中的安装图标，选择安装目录，并接收安装协议，如图 5-10所示。

图 5-10 天网防火墙安装界面

5.5.1 天网防火墙的安装

在安装的过程中，程序会提醒设置安全级别，有“低”、“中”、“高”和“自定义”四个选项，普通用户建议选择默认选项“中”，如图5-11所示。

图 5-11 天网防火墙安全级别设置界面

5.5.3 天网防火墙的安装

单击“下一步”，程序提醒局域网信息设置。把默认的“开机时候自动启动防火墙”、“我的电脑在局域网中使用”都选上，如果网卡地址还有变动，在“我在局域网中的地址”栏手动输入，否则选择默认，如图 5-12所示。

安装完成后，系统会提示重新启动计算机，按提示要求重启后程序生效。

5.5.2 天网防火墙的规则设置

普通用户一般在安装的过程中用默认的选项即可，如果还有特殊的安全要求，应自定义安全规则。设置选项主要有“用户自定义”、“应用程序规则”、“ IP规则管理”三项。

①“ 用户自定义”：选项主界面如图 5-13所示。用户可以对开机时是否启动防火墙、是否重置规则、是否报警等选项进行设置。

图 5-13 天网防火墙用户自定义“基本设置”界面

②“ 应用程序规则”设置：该选项主要是就某一具体程序在主机中运行过程中所涉及到的协议类型、端口号、是否允许通过等选项进行设置，如图5-14所示。

图 5-14 天网防火墙“应用程序规则”设置界面

5.5.2 天网防火墙的规则设置

例如，在图 5-14所示的应用程序选择中，如果用户选择了某个应用程序“ Dr.COM宽带认证客户端程序”，则其设置选项如图 5-15所示，用户可以就 TCP 、UDP 信息和 TCP协议可访问端口进行设置。

图 5-15 天网防火墙“应用程序规则”高级设置界面

5.5.2 天网防火墙的规则设置

③ “IP 规则管理”设置：用户可以根据自身具体要求自定义 IP 规则，如图5-16所示。比如，选择其中了一项“允许自己用Ping命令探测其他机器”，则双击后出现如图 5-17所示界面。

图 5-16 天网防火墙“ IP管理规则”设置界面

5.5.2 天网防火墙的规则设置

图 5-17 天网防火墙“修改 IP 规则”设置界面

在“修改 IP 规则”中，用户可以就数据包方向（接受还是发送）、数据包协议类型、对方 IP地址以及满足相关条件时是选择通行还是阻拦等进行配置。