防火墙技术及Windows防火墙技术.pptVIP

6) 访问控制。包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。 应考虑防火墙是否支持应用层代理，如HTTP、FTP、TELNET、SNMP等；是否支持传输层代理服务；是否支持FTP文件类型过滤，允许FTP命令防止某些类型文件通过防火墙；用户操作的代理类型，如HTTP、POP3；支持网络地址转换 (NAT) ；是否支持硬件口令、智能卡等。 第 4-1 讲 防火墙技术及Windows防火墙配置 7) 防御功能。是否支持防病毒功能，是否支持信息内容过滤，能防御的DoS攻击类型；以及阻止ActiveX、Java、Cookies、Javascript侵入等。 8) 安全特性。是否支持ICMP (网间控制报文协议) 代理，提供实时入侵告警功能，提供实时入侵响应功能，识别/记录/防止企图进行IP地址欺骗等。 第 4-1 讲 防火墙技术及Windows防火墙配置 9) 管理功能。通过集成策略集中管理多个防火墙。防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。 第 4-1 讲 防火墙技术及Windows防火墙配置 10) 记录和报表功能。防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。应考虑防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。 国内有关部门的许可证类别及号码是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。 第 4-1 讲 防火墙技术及Windows防火墙配置 3. 防火墙技术的发展 目前对防火墙的发展普遍存在着两种观点，即所谓的胖、瘦防火墙之争。一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，应该把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 第 4-1 讲 防火墙技术及Windows防火墙配置 从本质上讲，“胖、瘦”防火墙没有好坏之分，只有需求上的差别。低端的防火墙是一个集成的产品，它可以具有简单的安全防护功能，还可以具有一定的IDS (入侵检测系统) 功能，但一般不会集成防病毒功能。而中高端的防火墙更加专业化，安全和访问控制并重，主要对经过防火墙的数据包进行审核，安全会更加深化，对协议的研究更加深入，同时会支持多种通用的路由协议，对网络拓扑更加适应，VPN会集成到防火墙内，作为建立广域网安全隧道的一种手段，但防火墙不会集成IDS和防病毒，这些还是由专门的设备负责完成。 第 4-1 讲 防火墙技术及Windows防火墙配置 4. Windows防火墙 Windows XP Service Pack 2 (SP2) 为连接到因特网上的小型网络提供了增强的防火墙安全保护。默认情况下，会启用Windows防火墙，以便帮助保护所有因特网和网络连接。用户还可以下载并安装自己选择的防火墙。Windows 防火墙将限制从其他计算机发送来的信息，使用户可以更好地控制自己计算机上的数据，并针对那些未经邀请而尝试连接的用户或程序 (包括病毒和蠕虫) 提供了一条防御线。 第 4-1 讲 防火墙技术及Windows防火墙配置 用户可以将防火墙视为一道屏障，它检查来自因特网或网络的信息，然后根据防火墙设置，拒绝信息或允许信息到达计算机。 第 4-1 讲 防火墙技术及Windows防火墙配置 图4.3 Windows防火墙的工作方式 当因特网或网络上的某人尝试连接到你的计算机时，我们将这种尝试称为“未经请求的请求”。当收到“未经请求的请求”时，Windows防火墙会阻止该连接。如果运行的程序 (如即时消息程序或多人网络游戏) 需要从因特网或网络接收信息，那么防火墙会询问阻止连接还是取消阻止 (允许) 连接。 第 4-1 讲 防火墙技术及Windows防火墙配置 如果选择取消阻止连接，Windows防火墙将创建一个“例外”，这样当该程序日后需要接收信息时，防火墙就会允许信息到达你的计算机。虽然可以为特定因特网连接和网络连接关闭Windows防火墙，但这样做会增加计算机安全性受到威胁的风险。 第 4-1 讲 防火墙技术及Windows防火墙配置 Windows 防火墙有三种设置：“开”、“开并且无例外”和“关”。 1) “