第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备，它通常位于两个或多个网络的边界处，是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的，随着网络安全威胁的日益增加和网络技术的发展，当今的防火墙技术也得到了极大地发展，出现了很多新的防火墙技术，如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等，它们有的工作在OSI参考模型的网络层，有的工作在传输层，还有的工作在应用层；在网络部署上，现代防火墙也已经不再是一个单兵作战的系统了，很多防火墙都与入侵检测系统、安全审计系统、身份识别系统实现了安全联动，从而形成了一个整体的安全解决方案。

7.1 防火墙概述 网络安全中的防火墙一词借鉴了古代防火墙的喻义，在古代普遍采用木质结构房屋的时候，极易发生火灾，为了防止火灾的发生和蔓延，人们用坚固的石块堆砌在房屋的周围作为一种防火的屏障，人们将这种建筑的防火设置称为“防火墙”。而网络安全中的防火墙通常也是用于隔离本地网络与外界网络间不安全通信的一种防御屏障，目的是保护本地网络不被外部网络攻击。

7.1.1 防火墙的定义和安全要素 防火墙英文名称为Firewall，是一种设置在不同网络或网络安全域之间的设备或软件，它能根据用户的安全策略允许和限制出入安全区域的信息传输流，且本身必须具有较强的抗攻击能力，由于它是不同网络或网络安全域之间信息流通的唯一出入口，因此也是构建用户信息安全服务，实现网络和信息安全的一种基础设施和安全屏障，如图7-1所示。

7.1.1 防火墙的定义和安全要素 随着网络技术的不断发展以及互联网结构的复杂化，网络即网络域边界安全成为最重要的安全问题之一，需要对其进行有效的管理和安全控制，主要可体现在以下几个方面。 1) 网络隔离需求 2) 攻击防范能力 3) 病毒抵御能力 4) 用户管理需求 5) 具有高吞吐量、低延时的快速转发需求 6) 网络优化需求 7) 网络可视化监控

7.1.2 防火墙技术的发展历程和未来趋势 防火墙的发展从采用的基本技术上讲大致经历了5个阶段。 7.1.2 防火墙技术的发展历程和未来趋势 防火墙的发展从采用的基本技术上讲大致经历了5个阶段。 1) 第一代防火墙：包过滤技术 2) 第二代防火墙：电路层防火墙 3) 第三代防火墙：应用层代理防火墙 4) 第四代防火墙：动态包过滤防火墙 5) 第五代防火墙：自适应代理技术防火墙 防火墙的未来发展趋势，主要体现在以下几个方面。 1) 无线网络的用户身份认证和授权 2) 多级过滤技术 3) 病毒防火墙技术 4) 防火墙硬件体系的变化 5) 集中式管理和分布式安全 6) 强大的审计功能和日志自动分析功能 7) 网络安全产品的系统化

7.1.3 影响防火墙性能的关键指标 一般的，衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、平均时延、丢包率以及数据包分类性能等。 防火墙的最大并发连接数是指防火墙能够维持的最大连接总数，而每秒新建连接数反映了防火墙最大的TCP连接速率，它直接影响了防火墙对连接请求的实时反应能力，所以防火墙的每秒新建连接数非常重要。 防火墙的丢包率测试通常是指防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。 除了上述这些指标，防火墙还有一个指标非常重要，那就是数据包的分类性能

7.1.4 分布式防火墙 1. 分布式防火墙的产生背景 2. 分布式防火墙的主要特点 3. 分布式防火墙的主要优势 1) 主机驻留方式 7.1.4 分布式防火墙 1. 分布式防火墙的产生背景 2. 分布式防火墙的主要特点 1) 主机驻留方式 2) 内核守护方式 3) 统一安全策略，便于集中管理 4) 适用于服务器托管 3. 分布式防火墙的主要优势 (1) 增强了系统的安全性。 (2) 提高了整个网络的安全处理能力，消除了边界防火墙结构性的瓶颈问题。 (3) 便于整个网络的安全扩展。 (4) 便于控制主机安全策略。 (5) 分布式防火墙的应用更广泛。

4. 分布式防火墙的主要功能 1) Internet访问控制 2) 应用访问控制 3) 网络状态监控 4) 抵御网络攻击 5) 具有日志功能 7.1.4 分布式防火墙 4. 分布式防火墙的主要功能 1) Internet访问控制 2) 应用访问控制 3) 网络状态监控 4) 抵御网络攻击 5) 具有日志功能

7.2 防火墙部署类型 1. 防火墙工作模式 2. 防火墙部署的拓扑类型 1) 路由模式 2) 透明模式 3) NAT模式 4) 混合模式 7.2 防火墙部署类型 1. 防火墙工作模式 1) 路由模式 2) 透明模式 3) NAT模式 4) 混合模式 2. 防火墙部署的拓扑类型 1) 防火墙的单机部署类型 2) 防火墙的集群部署类型

7.3 防火墙的主要应用 当今防火墙已经成为任何完善的网络安全系统不可缺少的重要组成部分，而且随着防火墙技术的不断发展，防火墙的功能和应用也越来越完善，但从实现层次上仍以包过滤技术和应用代理网关技术为核心，本节我们将主要学习一下防火墙的主要应用技术。

7.3.1 应用包过滤技术实现访问控制规则 包过滤技术是防火墙最基本的实现技术，也是防火墙最早采用的技术之一，其原理总结为一句话就是监视并过滤网络上流入流出的数据包，并拒绝发送那些可疑的包。 1. 数据包的构造 2. 数据包的过滤技术

7.3.2 应用状态检测技术实现动态包过滤 1. 状态检测技术的工作原理 2. 状态会话表的维持时间 3. 状态会话表项的拆除

7.3.3 应用层代理网关技术 1. 自适应代理技术的结构原理 2. 结合了动态包过滤的自适应代理技术的应用

7.3.4 防火墙安全操作系统 目前防火墙安全操作系统的实现方式和软硬件架构都有很大差异，但就安全性、可靠性和扩展性来说，防火墙的应用体系结构一般可分为应用层、内核层和硬件层，如图7-21所示。 1) 网络方面 2) 管理方面 3) 资源配置策略 4) 用户认证功能 5) 防火墙功能 6) 智能检测防护技术 7) 高可用性

7.4 典型防火墙的配置 1. 访问控制列表(简称ACL) 2. NAT地址映射的典型配置 1) 访问控制列表的类型 7.4 典型防火墙的配置 1. 访问控制列表(简称ACL) 1) 访问控制列表的类型 (1) 标准访问列表 (2) 扩展访问列表 2) 访问列表的典型配置 (1) 访问列表的配置要点 (2) 常用ACL的配置方法 2. NAT地址映射的典型配置 1) 静态地址转换 2) 动态地址转换 3) PAT地址转换配置 4) 启用TCP负载均衡

3. 防火墙其他典型配置 1) 定义接口的安全级别(区域类型) 2) 定义接口名字 3) 配置接口地址 4) 常见的简单用户安全登录配置 7.4 典型防火墙的配置 3. 防火墙其他典型配置 1) 定义接口的安全级别(区域类型) 2) 定义接口名字 3) 配置接口地址 4) 常见的简单用户安全登录配置 (1) 配置console端口密码 (2) 配置特权密码 (3) 配置远程登录

7.5 本 章 小 结 本章讨论了防火墙的基本概念和发展历史，以及当前主流防火墙应用的一些关键技术。通过本章的学习，读者可以了解防火墙的发展趋势和应用要点。在本章的最后，为读者提供了一些防火墙的典型配置信息，但由于各厂商防火墙的配置差异很大，即便是同一家的防火墙产品，由于IOS版本的不同，配置命令和配置方式也会有较大差异，读者在部署防火墙时应参考具体的实施环境和设备手册，进行合理的设置，但其基本原理和作用是相似的，只有正确地理解了防火墙的概念和应用要点，才能更好地完成防火墙的部署。

7.6 课 后 习 题 1. 填空题 2. 选择题 3. 判断题 4. 简答题 5. 操作题 参见教材P252