Internet 防火墙和安全

---- 当一个机构将其内部网络与Internet 连接之后，所关心的一个主要问题就是安全。内部网络上不断增加的用户需要访问Internet 服务，如WWW、电子邮件、Telnet 和FTP 服务器给大家访问。

---- 当机构的内部数据和网络设施暴露给Internet 上的黑客时，网络管理员越来越关心网络的安全。为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到Internet 上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。

Internet 防火墙

---- Internet 防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet 的信息都必须经过防火墙，接受防火墙的检查（图1）。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。

---- 应给予特别注意的是，Internet 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

Internet 防火墙的好处

---- Internet 防火墙负责管理Internet 和机构内部网络之间的访问（图2）。在没有防火墙时，内部网络上的每个节点都暴露给Internet 上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

---- Internet 防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet 防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

---- 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet 上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。

---- 过去的几年里，Internet 经历了地址空间的危机，使得IP 地址越来越少。这意味着想进入Internet 的机构可能申请不到足够的IP 地址来满足其内部网络上用户的需要。Internet 防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP 时带来的重新编址的麻烦。

---- Internet 防火墙是审计和记录Internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet 连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。

---- Internet 防火墙也可以成为向客户发布信息的地点。Internet 防火墙作为部署WWW 服务器和FTP 服务器的地点非常理想。还可以对防火墙进行配置，允许Internet 访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。

---- 也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到Internet 的连接失效，内部网络仍旧可以工作，只是不能访问Internet 而已。如果存在多个访问点，每个点都可能受到攻击，网络管理员必须在每个点设置防火墙并经常监视。

Internet 防火墙的限制

---- Internet 防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP 或PPP 连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP 购买直接的SLIP 或PPP 连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。

图3 绕过防火墙系统的连接 ---- Internet 防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA 卡上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。

---- Internet 防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet 防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。

---- 最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet 主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。

黑客的工具箱

---- 要描述一个典型的黑客的攻击是很，因为入侵者们的技术水平和经验差异很大，各自的动机也不尽相同。某些黑客只是为了挑战，有一些是为了给别人找麻烦，还有一些是以图利为目的而获取机密数据。

信息收集

---- 一般来讲，突破的第一步是各种形式的信息收集。信息惧收集的目的是构造目标机构网络的数据库并收集驻留在网络上的各个主机的有关信息。黑客可以使用下面几种工具来收集这些信息：

安全弱点的探测系统

---- 收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机：

---- 聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（Patches）进行升级。

访问受保护系统

---- 入侵者使用主机探测的结果对目标系统进行攻击。获得对受保护系统的访问权后，黑客可以有多种选择：

基本的防火墙设计

---- 在设计Internet 防火墙时，网络管理员必须做出几个决定：

防火墙的姿态

---- 防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet 防火墙可能会扮演两种截然相反的姿态：

机构的安全策略

---- 如前所述，Internet 防火墙并不是独立的－－它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功，机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略，无论如何精心构建的防火墙都会被绕过去，从而整个内部网络都暴露在攻击面下。

---- 机构能够负担起什么样的防火墙？简单的包过滤防火墙的费用最低，因为机构至少需要一个路由器才能连入Internet，并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能，而费用在＄4,000 到＄30,000 之间，具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员，也可以构建自己的防火墙系统，但是仍旧有开发时间和部署防火墙系统等的费用问题。还有，防火墙系统需要管理，一般性的维护、软件升级、安全上的补漏、事故处理等，这些都要产生费用。

防火墙系统的组成

---- 在确定了防火墙的姿态、安全策略、以及预算问题之后，就能够确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组成：

---- 在后面我们将讨论每一种构件，并描述其如何一起构成一个有效的防火墙系统。

构件：包过滤路由器

---- 包过滤路由器（图4）对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP 转发过程的包头信息。包头信息中包括IP 源地址、IP 目标端Ｆ地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP 目标端口、ICMP 消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。

与服务相关的过滤

---- 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP 端口号上。例如，Telnet 服务器在TCP 的23 号端口上监听远地连接，而SMTP 服务器在TCP 的25 号端口上监听人连接。为了阻塞所有进入的Telnet 连接，路由器只需简单的丢弃所有TCP 端口号等于23 的数据包。为了将进来的Telnet 连接限制到内部的数台机器上，路由器必须拒绝所有TCP 端口号等于23 并且目标IP 地址不等于允许主机的IP 地址的数据包。

与服务无关的过滤

---- 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP 选项、检查特定段的内容等等才能学习到。下面是这几种攻击类型的例子：

---- 源IP 地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP 地址为内部网络上的IP 地址。入侵者希望借助于一个假的源IP 地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP 地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。

---- 源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet 中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。

---- 极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP 分段的特性，创建极小的分段并强行将TCP 头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset 等于1 的数据包就可安然无恙。

包过滤路由器的优点

---- 已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet 访问一般都是在WAN 接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。

包过滤路由器的缺点

---- 定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet 服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因此会成为一个脆弱点。

---- 任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。

---- 一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的IP 地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗了CPU 时间并影响系统的性能。

---- IP 包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境/ 数据。例如，网络管理员可能需要在应用层过滤信息以便将访问限制在可用的FTP 或Telnet 命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。

构件：应用层网关

---- 应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet 服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet 服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。

---- 这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root 权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件。

堡垒主机（Bastion host）

---- 与包过滤路由器（其允许数据包在内部系统和外部系统之间直接流入和流出）不同，应用层网关允许信息在系统之间流动，但不允许直接交换数据包。允许在内部系统和外部系统之间直接交换数据包的主要危险是驻留在受保护网络系统上的主机应用避免任何由所允许服务带来的威胁。

---- 一个应用层网关常常被称做“ 堡垒主机”（Bastion Host）。因为它是一个专门的系统，有特殊的装备，并能抵御攻击。有几种特点是专门设计给堡垒主机来提供安全性的：

实例：Telnet Proxy

---- 图5 说明了堡垒主机上的Telnet 代理的操作。在这个例子中，外部的客户要Telnet 到内部由应用层网关保护的服务器。

图5Telnet 代理 ---- 这个Telnet 代理永远不会允许远地用户注册到内部服务器或直接访问内部服务器。外部的客户Telnet 到堡垒主机，其用一次性口令技术认证该用户。在经过认证之后，外部的客户获得了Telnet 代理用户接口的访问权。这个Telnet 代理只允许部分Telnet 命令可以使用，并决定了内部的那些主机可以提供给Telnet 来访问。外部客户指定目标主机，然后Telnet 代理建立一个其自己到内部服务器的连接，并替外部客户转发命令。外部客户认为Telnet 代理是一个真正的内部服务器，而内部服务器也把Telnet 代理看作是外部客户。

---- 图6 显示的是在建立到内部服务器的连接时在外部客户终端上的输出。请注意，该客户并没有注册到堡垒主机上，该用户由堡垒主机认证，并在允许与Telnet 代理通信之前受到挑战。通过挑战之后，代理服务器给出了可以使用的命令集合和可以提供约外部客户的目标主机。

Outside-Host > telnet bastionhost
Username:John Smith
Challenge Number "237936"
Challenge Response:723456
Trying 200.43.67.17...

Connecting to bastionhost
Escape character is '^]'
bastionhost telnet proxy (version 1.4) ready:
bh-telnet>help
Valid commands are:

Connect hostname
help/?
quit/exit

bh-telnet>connect insidehost
SunOS UNIX (insidehost)

login:John Smith
Password:######
Last login:Wednesday Dec 13 11:17:15
Welcome
Inside-Host

---- 认证可以基于用户所知道的东西（如口令）或用户物理上所拥有的东西（如智能卡）。这两种技术都面临被偷窃，但是使用两种方法的组合可以增加用户认证的正确性。在Telnet 这个例子中，代理发出一个挑战，而用户借助于智能卡获得对挑战的回答。典型情况下，用户可以通过输入他的PIN 来解锁智能卡，而该卡根据共享的“ 秘密” 加密密钥和其内部时钟，返回一个加密的数值给用户用来回答挑战。

应用层网关的优点

---- 部署应用层网关有许多优点。应用层网关能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定那些内部主机可以被该服务访问。同时网络管理员可以完全控制提供那些服务，因为没有特定服务的代理就表示该服务不提供。应用层网关有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。

应用层网关的缺点

---- 应用层网关的最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。比如，透过应用层网关Telnet 访问要求用户通过两步而不是一步来建立连接。不过，特殊的端系统软件可以让用户在Telnet 命令中指定目标主机而不是应用层网关来使应用层网关透明。

构件：电路层网关

---- 电路层网关是一个特殊的功能，可以由应用层网关来完成。电路层网关只依赖于TCP 连接，并不进行任何附加的包处理或过滤。

---- 图7 说明了通过进行的Telnet 连接的操作。电路层网关简单地中继Telnet 连接，并不做任何审查，过滤或Telnet 协议管理。电路层网关就向电线一样，只是在内部连接和外部连接之间来回拷贝字节。但是由于连接似乎是起源于防火墙，其隐藏了受保护网络的有关信息。

---- 电路层网关常用于向外连接，这时网络管理员对其内部用户是信任的。它们的优点是堡垒主机可以被设置成混合网关，对于人连接支持应用层或代理服务，而对于外连接支持电路层功能。这样使得防火墙系统对于要访问Internet 服务的内部用户来说使用起来很方便，同时又能提供保护内部网络免于外部攻击的防火墙功能。

防火墙实例1：包过滤路由器

---- 最常见的防火墙是放在Internet 和内部网络之间的包过滤路由器（图8）。包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet 上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。

---- 尽管这种防火墙系统有价格低和易于使用的优点，但同时也有缺点，如配置不当的路由器可能受到攻击，以及利用将攻击包裹在允许服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet 上直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。

防火墙实例2：屏蔽主机防火墙

---- 这第二个防火墙系统采用了包过滤路由器和堡垒主机组成（图9）。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。

---- 对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet 之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问Internet 由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。

---- 这种防火墙系统的优点之一是提供公开的信息服务的服务器，如Web，FTP 等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。

---- 用双宿堡垒主机甚至可以构造更加安全的防火墙系统（图10）。双宿堡垒主机有两个网络接口，但是主机在两个端口之间直接转发信息的功能（其能旁路代理服务）被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。

图10 屏蔽防火墙系统（双宿堡垒主机） ---- 由于堡垒主机是唯一能从Internet 上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠，避免被渗透和不允许用户注册对堡垒主机来说是至关重要的。

防火墙实例3：DMZ 或屏蔽子网防火墙

---- 最后这个防火墙系统的实例采用了两个包过滤路由器和一个堡垒主机（图11）。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“ 非军事区”（DMZ）网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem 组，以及其它公用服务器放在DMZ 网络中。DMZ 网络很小，处于Internet 和内部网络之间。在一般情况下对DMZ 配置成使用Internet 和内部网络系统能够访问DMZ 网络上数目有限的系统，而通过DMZ 网络直接进行信息传输是严格禁止的。

图11 屏子网防火墙系统 ---- 对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理Internet 到DMZ 网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ 到内部网络的访问。

---- 对于去往Internet 的数据包，里面的路由器管理内部网络到DMZ 网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往Internet 的数据包）。

总结

---- 设计和部署Internet 防火墙从来就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等等。本文着重于构建Internet 防火墙的诸多问题，包括它们的优缺点，构件，以及防火墙系统拓扑结构的实例。由于与Internet 连接的好处很可能大于其费用支持，因此网络管理员应充分了解其危险，并采取适当的预防措施，保证网络有其必要的安全性。

词汇

---- 在受损害的系统上的安全漏洞，在原始的攻击被发现之后，攻击者可以利用它来继续访问该系统。

---- 一种特殊设计的防火墙系统，有特殊的装备，能够抵御攻击。

---- Cireuit-level gateway，电路层网关能够中继TCP 连接，但不进行任何附加的包处理和过滤的一种特殊功能。

---- 一个或一组系统，用于增强内部网络和Internet 之间的访问控制。

---- 路由器的一种功能。根据提供给IP 转发过程的包头信息对每个数据包作出拒绝或允许的决定。

---- 安装在Internet 防火墙网关上的一种有特殊目的的应用层代码。代理服务使得网络管理员允许或拒绝特定的应用或一个应用的某些功能。

---- 隐藏了其窥测行为的包窥探程序。这种包窥探程序能够收集Internet 服务的帐户名和口令，使得黑客可以对其它机器进行非法访问。

Internet 防 火 墙 和 安 全

Internet 防火墙和安全