Internet采用TCP/IP協(xié)議,設(shè)置在不同網(wǎng)絡(luò)層次上的電子屏障構(gòu)成了不同類型的防火墻;一般分為兩大類,包過(guò)濾型與代理服務(wù)器.

   安全策略是防火墻的靈魂和基礎(chǔ).在建立防火墻之前要在安全現(xiàn)狀,風(fēng)險(xiǎn)評(píng)估和商業(yè)需求的基礎(chǔ)上提出一個(gè)完備的總體安全策略,這是配制防火墻的關(guān)鍵,安全策略可以按如下兩個(gè)邏輯來(lái)制定;

   準(zhǔn)許訪問(wèn)除明確拒絕以外的全部訪問(wèn)-所有未被禁止的都允許訪問(wèn);

   拒絕訪問(wèn)除明確準(zhǔn)許的全部訪問(wèn)-所有未被允許的都禁止訪問(wèn);

   包過(guò)濾防火墻利用數(shù)據(jù)包的頭信息判定與過(guò)濾規(guī)則相匹配與否來(lái)決定會(huì)聚,建立這類防火墻所需要的步驟如下;

   1.建立安全策略-寫出所允許和禁止的任務(wù);

   2.將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式;

    3.用供貨商提供的句法重寫邏輯表達(dá)式并設(shè)置;

    包過(guò)濾防火墻主要是防止外來(lái)攻擊,其過(guò)濾規(guī)則大體有,

    >對(duì)付源IP地址欺騙式攻擊,入侵者假冒內(nèi)部主機(jī),從外部傳輸一個(gè)IP地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包,對(duì)于這類攻擊,防火墻只需要把來(lái)自外部商品的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉即可.

    >對(duì)付源路由攻擊,源站點(diǎn)指定了數(shù)據(jù)包在Internet中的傳遞路線,使數(shù)據(jù)包遵循著一條不可預(yù)料的路徑到達(dá)目的的,對(duì)付這類攻擊,防火墻應(yīng)丟棄所有包含源路徑選項(xiàng)的數(shù)據(jù)包.

    >對(duì)付殘片攻擊,入侵者使用TCP數(shù)據(jù)包的分段我,創(chuàng)建極小的分段并強(qiáng)行將TCP頭信息分成多個(gè)數(shù)據(jù)包,以繞過(guò)用戶防火墻的過(guò)濾規(guī)則,黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò),對(duì)付這類攻擊,防火墻只需要將TCP/IP協(xié)議片斷位移值為1的數(shù)據(jù)包全部丟棄即可.

   包過(guò)濾防火墻的優(yōu)點(diǎn)是簡(jiǎn)單,透明,其缺點(diǎn)是;

   1.這個(gè)防火墻需要從建立安全策略和過(guò)濾規(guī)則集入手,需要花費(fèi)大量的時(shí)間和人力,還要不斷根據(jù)新情況不斷更新過(guò)濾規(guī)則集,同時(shí)由于規(guī)則集的復(fù)雜性,又沒(méi)有測(cè)試工具來(lái)檢驗(yàn)其正確性,難免仍會(huì)出現(xiàn)漏洞,給黑客以可乘之機(jī).

     2.對(duì)于采用動(dòng)態(tài)分配端口的服務(wù),如很多RPC服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)自動(dòng)時(shí)隨機(jī)分配端口的,就很難進(jìn)行有效地過(guò)濾,

    3.包過(guò)濾防火墻只按規(guī)則丟棄數(shù)據(jù)包而不作記錄和報(bào)告,沒(méi)有日志功能,沒(méi)有審計(jì)性,同時(shí)它不能識(shí)別相同IP地址的不同用戶,不具備用戶身份認(rèn)證等功能.