第五章 防火墙技术.

Presentation on theme: "第五章 防火墙技术."— Presentation transcript:

1 第五章 防火墙技术

2 本章学习目标 了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。
掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 熟悉防火墙的产品选购和设计策略。

3 5.1　防火墙概述 防火墙的定义 防火墙的功能和局限性 防火墙的发展简史

4 人们在建筑和使用木制结构的房屋的时候，为了使“城门失火”不致“殃及鱼池”，将坚固的石块堆砌在房屋周围作为屏障，进一步防止火灾的发生和蔓延，这种防护结构被称为“防火墙”。
在信息世界里，防火墙的概念被引用过来，用于表示由计算机硬件或软件系统构成防火墙来保护敏感、重要的数据不被窃取和篡改。

5 防火墙的定义 防火墙是位于一个或多个安全的内部网路和非安全的外部网络之间进行网络访问控制的网络设备。
防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

6 防火墙是不同网络或网络安全域之间信息的唯一出入口 。
防火墙是目前网络安全领域认可程度最高、应用范围最广的网络安全技术。

7 防火墙的功能 针对用户制定各种访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 （虚拟专用网络 ）
支持网络地址转换 支持身份认证

8 防火墙的基本特征 1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙的安全防护功能得以实现的重要前提，通过在网络之间建立一个安全控制点来保护内网不受侵害。 2、只有符合安全策略的数据流才能通过防火墙 根据安全策略来允许、拒绝、监测出入网络 的信息流

9 3、防火墙自身应具有非常强的抗攻击能力 防火墙处于网络边缘，就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求它自身具有非常强的抗攻击能力。

10

11 防火墙的局限性 随着网络技术的发展，网络结构日趋复杂，传统的防火墙在使用过程中暴露出以下局限性：
防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。

12 一旦防火墙准许某些标准网络协议，就不能防止利用该协议中的缺陷进行的攻击。
防火墙不能防止利用服务器系统漏洞所进行的攻击。 黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙阻止不了。 防火墙不能防止受病毒感染的文件的传输。 防火墙本身不具备查杀病毒的功能。

13 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。（缓冲区溢出攻击）
防火墙不能防止可接触的人为或自然的破坏。例如恶劣环境、人为损坏。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。

14 防火墙的发展简史

15 阶段划分： 20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。 到20世纪90年代初，开始推出应用层防火墙，或者叫做代理防火墙。 （从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。 ）

16 到1992年，状态检测技术的防火墙出现。 （直接对分组的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。） 到了1998年，推出了一种自适应代理技术，并在产品中得以实现，给代理类型的防火墙赋予了全新的意义。 （处理和分析过程中,根据处理数据的数据特征自动调整处理方法、处理顺序、边界条件或约束条件）

17 5.2 防火墙的分类 按形态分类 软件防火墙 硬件防火墙 按保护对象分类 保护整个网络 保护单台主机 网络防火墙 单机防火墙

18 软件防火墙： 俗称“个人防火墙”，像其他软件产品一样需要先在电脑上安装并做好配置才可以使用。 硬件防火墙： 通过网线连接于外部网络接口和内部服务器之间的网络设备。

19 A、普通硬件级防火墙：大多基于PC架构，相当于专门使用一台计算机安装软件防火墙。
B、芯片级防火墙：基于专门的硬件平台，使用专用的操作系统。

20 软件防火墙成本较低，硬件防火墙成本高，购进一台PC架构防火墙的成本至少要几千元，而芯片级防火墙方案更是在10万元以上。

21 硬件防火墙和软件防火墙 仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作）
稳定性高 软件分发、升级比较方便 硬件+软件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较强 非常容易 容易 Price=Firewall

22 单机防火墙和网络防火墙 单机防火墙 网络防火墙 产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略
分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能

23 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂

24 按防火墙的体系结构分类 通常，防火墙是一组硬件设备，包括路由器、主计算机、配有适当软件的网络设备。目前还没有一种统一的防火墙设计标准。常用的防火墙体系结构有以下三种： 双宿主主机 被屏蔽主机 被屏蔽子网

25 1、双宿主主机（Dual-Homed Host）
有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。也即是用一台装有两块网卡的堡垒主机做防火墙，这两块网卡分别属于不同的网段。

26 概念： 堡垒主机(Bastion host):是一种配置了安全防范措施的可以防御进攻的计算机，作为进入内部网络的一个检查点，把整个网络的安全问题集中在该主机上解决，从而省时省力，保护内网其它主机。如果没有堡垒主机，网络之间将不能相互访问。

27 弱点： 一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。 路由器（router）：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。它是互联网络的枢纽、"交通警察"。

28 2、被屏蔽主机（Screened Host）
由堡垒主机和屏蔽路由器组成，堡垒主机被安排在内部网络中，屏蔽路由器被安排在内部网和外部网之间。

29 屏蔽路由器：是防火墙最基本的构件，作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。
外部网络必须通过堡垒主机才能访问内部网络中的资源。 内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源 屏蔽路由器：是防火墙最基本的构件，作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。

30 弱点： 屏蔽路由器是否配置正确是这种类型的防火墙安全与否的关键，因此，堡垒主机必须是高度安全的计算机系统，并且保护好屏蔽路由器的路由表。

31 3、被屏蔽子网（ Screened subnet ）
由一个防火墙和内外两个路由器构成，防火墙连接一个DMZ区。防火墙和内部路由器构成屏蔽子网，把因特网与内部网分离，外部路由器抵挡外部网络的攻击。

32 与被屏蔽主机相比，被屏蔽子网添加了周边网络，在内部网络与外部网络之间加上了额外的安全层。在这样的结构里，黑客必须通过3个独立的区域：屏蔽路由器、防火墙、堡垒主机，才能到达局域网。即使堡垒主机被入侵者控制，内部网仍受到内部路由器的保护。安全性最强，但投资成本也最高。

33 概念： DMZ(Demilitarized Zone，非军事化区、隔离区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的区域内，在这个区域内可以放置一些必须公开的服务器设施。如企业Web服务器、FTP服务器和论坛等，这样便能在对外提供友好服务的同时保护内部网络。另一方面，设置了DMZ区域的这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

34 内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ中的服务器 DMZ不能访问内网和外网

35 5.3 防火墙实现技术原理 一、简单包过滤防火墙 二、代理防火墙 三、动态包过滤(状态检测) 防火墙 四、复合型防火墙
在前面的学习过程中，按阶段，我们把防火墙分成了了以下4种 复合型防火墙是建立在状态检测与代理技术上的 接下来，我们就这4种类型来学习防火墙的实现原理

36 一、简单包过滤防火墙 （Packet filtering）
简单包过滤防火墙通过查看所流经的数据包的包头（header）来决定丢弃（DROP）这个包，还是接受（ACCEPT）这个包（让这个包通过）。 包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。 数据包过滤技术的发展经历了由静态包过滤到动态包过滤，简单包过滤也就是静态包过滤。 包过滤的实现一般要用过滤路由器来完成，我们知道，最早的防火墙几乎与路由器同时出现，是依附于路由器的包过滤功能实现的防火墙

37 普通路由器只检查数据包的目的地址，并选择一个到达目的地址的最佳路径。存在着两种可能性：若可以找到一个路径到达目的地址则发送出去；若不知道如何发送数据包则通知发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包，除了分析是否有到达目的地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强制执行的。

38 包过滤防火墙工作在网络层，在网络层实现数据的转发，包过滤模块一般检查网络层、传输层的内容，包括下面几项：
① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP数据报的标志位。 HTTP：超文本传输协议 FTP：文件传输协议 POP3：邮局协议第三版本 SMTP：简单邮件传输协议，其端口一般为25

39 简单包过滤防火墙的工作原理 发送方数据由最高层逐渐向下层传递，接收方数据由最低层逐渐向高层传递
主机A向主机B发送的数据要先经过防火墙，进行包过滤时不关心包的具体内容，只检查报头。符合规则的数据被继续传递。

40 简单包过滤防火墙的工作原理 应用层 数据 应用层 数据 传输 层 TCP 数据 传输层 数据 TCP 网络层 IP TCP 数据 网络 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH 发送方数据由最高层逐渐向下层传递 传输层接受这个数据后，为数据加上本层控制报头，形成报文传递到网络层，又加上网络层的控制报头，形成分组数据 数据通过网络接口传递，当到达防火墙时，简单包过滤防火墙在包过滤机制的作用下，检查数据报头，允许通过的数据被传送到主机， 到达主机后，由低层向高层传递，每层对各自的控制报头进行处理，最终到达应用层。 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 TCP 数据 IP

41 包过滤防火墙的工作流程 防火墙通过检查模块，拦截和检查所有进站和出站的数据。
防火墙检查模块对进入接口的数据包进行检查，首先验证这个包是否有过滤规则，没有则直接送达相应的接口转发，若有过滤规则，就要按次序进行规则匹配。

42 过滤逻辑： 若有一条规则阻止包传输或接收，则此包不被允许 若有一条规则允许包传输或接收，则此包可以被继续处理 若包不满足任何一条规则，便被丢弃

43 防火墙对不符合规则的数据报进行报警或通知管理员；对丢弃的数据报，防火墙可以给发送方一个消息，也可以不发。如果返回一个消息，攻击者可能会根据拒绝包的类型猜测出过滤规则的大致情况，所以是否返回消息要慎重，可以设置。

44 包过滤防火墙的特点 优点： 处理速度较快 对用户透明，用户的应用层不受影响 利用路由器本身的包过滤功能，对安全要求低的网络不需要其他设备。
过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。

45 1.不支持用户认证，只判断数据包来自哪台机器，不判断来自哪个用户。不能分辨好的和坏的用户，只能区分好的包和坏的包。
缺点： 1.不支持用户认证，只判断数据包来自哪台机器，不判断来自哪个用户。不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。新的协议的威胁。 3.不支持应用层协议，无法发现基于应用层的攻击。 4.无法阻止“IP欺骗” 对路由器中过滤规则的设置和配置十分复杂，涉及逻辑一致性、作用端口的有效性等 IP欺骗：黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止 包过滤系统处于网络的IP层和TCP层，而不是应用层，所以无法对应用层的具体操作进行过滤。

46 应用实例 要求： 1.内网的用户可以访问所有的WEB服务器。 2.外网的用户只可以访问内部的WEB服务器（ ）。

47 E0访问规则 【问题】 1.第一条中源地址是否可以改为any?为什么？ 2.第一条中源端口是否可以改为any?为什么？
方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 /24 >1023 any 80 TCP 拒绝 【问题】 1.第一条中源地址是否可以改为any?为什么？ 2.第一条中源端口是否可以改为any?为什么？ 3.S0口需要什么样的规则？ 答案： 1.可以改为any，不影响正常用户的使用，但是某些用户伪装源IP，可以实现攻击。 2.源端口可以改为any，不影响正常用户的使用，但是对于内网是不安全的，万一其他端口的过滤规则做的不好，外面的用户可以访问内网的FTP等应用了，或者针对内网135、139等端口的扫描和SYN攻击。

48 S0访问规则 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？
方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 any >1023 80 TCP /24 拒绝 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？ 2.防火墙是否能够阻挡对服务器的SYN扫描？ 1、可以（这里说的还是传统类型的木马——由客户端主动连接服务器的）。 2、不能。

49 判断数据包的标志位 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？
方向 动作 源地址 源端口 目的地址 目的端口 协议 标志位 进站 允许 any >1023 80 TCP established 拒绝 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？ 3.是否可以阻挡反弹端口的木马？ 1、不能 2、不能 3、不能，所有的防火墙都不能阻止反弹端口的木马。

50 2. 动态包过滤 (状态检测) 防火墙 状态检测防火墙采用了状态检测包过滤的技术，是对传统包过滤防火墙的功能扩展。通过一种被称为“状态监视”的模块，采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则做出安全决策。它不再是对每个进出的包孤立地进行检查，而是从TCP连接的建立到终止都跟踪检测，把一个会话作为整体来检查，自动临时增加适当的规则。一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据。 会话是一种面向连接的可靠通信方式。

51 状态检测防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立连接状态表，将进出网络的数据当成一个个的事件来处理。

52 工作原理：

53 动态包过滤 (状态检测) 防火墙的工作原理 建立连接状态表 只检查报头
应用层 数据 应用层 数据 传输 层 TCP 数据 传输层 数据 TCP 建立连接状态表 I网络层 IP TCP 数据 网络 层 TCP 数据 IP 只检查报头 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱

54 动态包过滤防火墙的工作流程 数据包进入接口，
若带有SYN标志位，则数据包被防火墙的规则库检查，在规则库里按次序进行比较，如果在检查了所有的规则后，该包都没有被接受，那么拒绝这次连接，丢弃数据包。如果能匹配其中的规则，那么该包被接受，本次会话被记录到状态连接表里。 若被确认含有SYN/ACK标志，将之与状态连接表的内容进行比较，如果有对应项，则数据包被接受，否则，丢弃。 当状态监测模块监测到一个FIN或RST包时，状态连接表中的对应项将被删除。

55 应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。 …… 规则 1. SYN 允许
TCP 开始攻击 IP SYN 允许 TCP 开始攻击 IP 连接表 2. ACK TCP 开始攻击 IP 允许 TCP 开始攻击 IP …… n. TCP 开始攻击 IP SYN 通过建立动态连接表，对数据包的前后关系进行检查 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。

56 3．代理防火墙（Proxy Server） 这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部网络发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

57 代理服务器技术： 一个完整的代理设备包含一个服务器端和客户端，服务器端接收到来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作。 代理服务器彻底隔断内部网络与外部网络的“直接”通信，内部网络对外部网络服务器的访问，变成了代理服务器对外部网络服务器的访问，然后由代理服务器转发给内部网络的客户机。

58 代理防火墙的工作过程：

59 在代理设备自身的服务器端和客户端之间连接一个过滤措施，就成了我们学习的“代理防火墙”。

60 代理防火墙的工作原理

61 代理防火墙的特点： 1、由于内、外网络之间的通信是通过代理服务器审核的，没有直接会话的机会，所以安全性很高 2、代理进程自身是要消耗时间的，往往会发生数据迟滞的现象，代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性。 3、工作在应用层，针对不同的应用，需要建立不同的服务代理，不能很好地支持新应用。

62 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。
FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 HTTP：超文本传输协议 FTP：文件传输协议 POP3：邮局协议第三版本 SMTP：简单邮件传输协议，其端口一般为25

63 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。
Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 Telnet：因特网远程登录服务的标准协议 Socks：防火墙安全会话转换协议

64 4、复合型防火墙 复合型防火墙采用自适应代理技术，结合代理防火墙的安全性和状态检测防火墙的高速度等优点，在毫不损失安全性的基础上将代理型防火墙的性能提高10倍以上。

65 复合型防火墙 检测应用层的头部信息，然后在网络层转发。初始的安全检查仍然发生在应用层，一旦安全通道建立后，随后的数据包就可以重新定向到网络层。

66 复合型防火墙的工作原理 建立连接状态表 检查整个报文内容 101001001001010010000011100111101111011
应用层 数据 应用层 数据 TCP 层 TCP 数据 TCP 层 数据 TCP 建立连接状态表 IP 层 IP TCP 数据 IP 层 TCP 数据 IP 可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 会话控制较弱 检查整个报文内容 网络接口层 ETH TCP 数据 IP 网络接口层 TCP 数据 IP ETH TCP 数据 IP

67 防火墙核心技术比较               
综合安全性 网络层保护 应用层保护 应用层透明 整体性能 处理对象 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 复合型防火墙      单个包报头      单个包报头      单个包全部      单个包全部

68 5.5 防火墙性能指标 最大位转发率 吞吐量 并发连接数 最大并发连接建立速率

69 最大位转发率 定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。
最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值 备注：将测试结果乘以帧长就是位转发率

70 吞吐量 定义：在不丢包的情况下能够达到的最大速率
衡量标准：吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

71 并发连接数 定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数
衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数

72 最大并发连接建立速率 定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 。
衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力 单位时间内增加的并发连接数

73 选择防火墙的注意事项 1、防火墙自身的安全性 2、系统的稳定性 3、可靠性 4、是否管理方便 5、是否可以抵御拒绝服务攻击
6、是否可扩展、升级

74 应用实例 例1：不允许上www.sina.com。 方法： 1.使用包过滤防火墙把www.sina.com服务器的所有IP过滤掉。
, , , , , , , , , , , , 例1：不允许上 方法： 1.使用包过滤防火墙把 2.使用代理防火墙过滤域名 clint

75 Client用SOCKS5 SOCKS5代理服务器 170.1.1.* 【问题】
可以，因为代理防火墙可以把

76 Client用“特殊”的HTTP代理 【说明】
HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问

77 5.4 防火墙的应用实验（一） 瑞星个人防火墙2008版

78 5.4 防火墙的应用实验（二） 代理类型—CCProxy 1.设置IE的HTTP代理参数，观察经过代理后，数据包头的变化。
2.设置IE的socks代理参数，观察经过代理后，数据包头的变化。 3. CCProxy常用功能的设置： 用户 IP+MAC 内容 流量

79 补充：防火墙其它功能 双地址路由 安全审计 端口映射 负载均衡 DHCP环境支持 双机热备 MAC绑定功能 防御功能 带宽管理 联动功能
多协议支持 安全审计 负载均衡 双机热备 防御功能 联动功能 内容过滤 VPN功能 安全审计：通过对被保护网络的敏感信息访问保持不间断的记录，以不同类型的报擎提示向管理人员报告，帮助管理员事后分析 防御功能：能防御的 DoS攻击类型 、支持病毒扫描 、阻止 ActiveX、Java、Cookies、Javascript侵入 联动功能： 内容过滤：HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。 Vpn功能： 带宽管理：

80 服务器负载均衡 负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值
负载均衡有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。

81 双机热备（HA)功能 通过协议交换两台防火墙的状态信息
当主防火墙出现故障或宕机时，这台防火墙的连接不需要从新建立就可以透明的迁移到从防火墙，用户感觉不到任何变化。

82 双地址路由功能

83 MAP (端口映射)

84 对DHCP应用环境的支持 根据Host B的MAC地址进行访问控制 设定Host B的MAC地址 设定Host B的IP地址为空

85 IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网

86 多协议支持 支持动态路由 多协议支持 对OSPF路由协议的支持 对RIP、RIP2协议的支持 对NETBEUI、VOD协议的支持
支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHCP、BOOTP协议……

87 防火墙功能指标 分级带宽管理 LAN接口 多协议支持 认证支持 高级访问控制

88 小型网络解决方案

89 典型的网络安全解决方案

90 双机热备

91 延时 定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准：防火墙的时延能够体现它处理数据的速度
造成数据包延迟到达目标地 数据包首先排队待防火墙检查后转发

92 丢包率 丢包率=（1000-800）/1000=20% 定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比
衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响 防火墙由于资源不足只转发了800个包 丢包率=（ ）/1000=20%

93 背靠背 定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。
衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响。 背靠背指标体现防火墙对突发数据的处理能力 包数量（n） 时间（t） 峰值 少量包 包增多 包减少 没有数据