9.1防火墙的基础知识9.2防火墙的基本技术原理及其配置9.3防火墙的主要性能指标9.1防火墙的基础知识9.1.1防火墙的基础知识１.防火墙概述2.防火墙的基本概念1、除非明确允许，否则将禁止某种服务；2、除非明确禁止，否则将允许某种服务。前者在默认情况下禁止所有的服务，后者在默认情况下允许所有的服务，除非被网络管理员根据实际需要进行具体改变。9.1.2防火墙的分类1．包过滤型防火墙包过滤型防火墙概述包过滤型防火墙的分类这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议（TCP、UDP、ICMP等）、TCP/UDP目标端口、ICMP消息类型等。（2）第二代动态包过滤类型防火墙。包过滤方式的优点包过滤方式的缺点２．应用代理型防火墙1.应用代理型防火墙概述2.应用代理型防火墙的分类第一代应用代理型防火墙第二代自适应型代理型防火墙。3.代理类型防火墙的优点4.代理类型防火墙的缺点３.防火墙的组成结构分类软件防火墙硬件防火墙芯片级防火墙9.1.3防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略网络存取和访问监控审计防止内部信息的外泄除了安全作用，防火墙还支持VPN防火墙的缺点一、限制有用的网络服务二、无法防护内部网络用户的攻击三、Internet防火墙无法防范通过防火墙以外的其他途径的攻击四、Internet防火墙也不能完全防止传送已感染病毒的软件或文件五、防火墙无法防范数据驱动型的攻击六、不能防备新的网络安全问题9.2防火墙的基本技术原理及其配置9.2.1防火墙的体系结构防火墙的组成屏蔽路由器（ScreeningRouter）屏蔽路由器的优点屏蔽路由器的缺点双宿主机网关（DualHomedGateway）双宿主机网关优于屏蔽路由器的地方双宿主机网关的弱点被屏蔽主机网关（ScreenedGateway）被屏蔽子网（ScreenedSubnet）防火墙的结构双宿主主机结构双宿主主机结构屏蔽主机结构屏蔽主机结构图9-2屏蔽主机结构屏蔽主机结构屏蔽子网结构最简单的子网过滤结构是：两台连到参数网络的过滤路由器，一台位于内部网与周边子网之间，另一台位于外部网与周边子网之间。有些站点还使用多参数网络加以保护。外部参数网络提供低可靠性的保护，内部参数网络提供高可靠性的保护。当外来入侵者进入外部参数网后，还需要破坏保护性能更强的内部参数网才能到达内部网。常见的子网过滤结构防火墙的配置如图9-3所示。◆参数网络参数网络是另加的一层安全保护网络，位于内部网和外部网之间。当入侵者通过防火墙的外层保护网络，他必须面对参数网络在入侵者和内部网之间提供的另外一层保护。如果入侵者仅侵入到参数网络的堡垒主机，他只能获得这层网络的信息，而无法得知内部网的信息，因为这层网络的信息仅从参数网络往来于外部网络或者从参数网络往来于堡垒主机，即使堡垒主机受到损害也不会让入侵者伤及内部网的信息流。◆堡垒主机在屏蔽子网的过滤结构中，堡垒主机连接到参数网络，而外部网服务与内部网的主站点就是堡垒主机。它为内部网络服务的主要功能有：1、接收外来的电子邮件，再分发给相应的站点。2、接收外来的FTP，并将连到内部网的匿名FTP服务器上。3、接收外来的有关内部网络站点的域名服务。9.2.2防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理防火墙基本技术原理9.2.3最新防火墙技术防火墙技术发展概述（一）防火墙技术发展概述（二）防火墙未来的技术发展趋势１.防火墙包过滤技术的发展趋势采用用户认证及服务扩展采用多级过滤技术采用病毒防护技术2.防火墙体系结构的发展趋势一防火墙体系结构的发展趋势二防火墙体系结构的发展趋势三3.防火墙系统管理的发展趋势发展趋势（一）发展趋势（二）发展趋势（三）分布式防火墙技术分布式防火墙的产生分布式防火墙的产生分布式防火墙的主要特点主机驻留嵌入操作系统内核类似于个人防火墙分布式防火墙的主要优势分布式防火墙的主要功能9.2.4防火墙硬件连接图9-4CiscoPIX525后面板图9-5防火墙的连接示意图9.2.5防火墙基本配置1.防火墙的基本配置原则防火墙的基本配置原则防火墙的基本配置原则原则一：简单实用原则二：全面深入原则三：内外兼顾2.防火墙的几个配置模式非特权模式特权模式配置模式监视模式（1）将PIX安放至机架，经检测电源系统后接上电源，并给主机加电。（2）用配置线从电脑的COM2连到防火墙的console口，运行“超级终端”程序从CONSOLE口进入PIX系统，此时系统提示p