防火墙技术与应用

TCP/IP在互联网中的应用，为因特网普及起到了关键性作用。然而，最初主要应用于学术研究的因特网以及通信协议是基于良好的应用环境而设计的。那时用户和主机之间互相信任，可以进行自由开放的信息交换的环境。而如今因特网上充斥着安全风险，如以各种非法手段企图深入计算机网络的黑客带来的危害。随着网络覆盖范围的扩大而增加，网络安全成为必须要考虑的问题。

本章首先介绍两种重要的网络体系模型OSI和TCP/IP的基础知识，接着介绍网络安全框架，由此帮助读者认识防火墙在网络安全防护中的基础性地位和作用。

第2章从防火墙的定义出发，阐述了防火墙的功能、各项核心技术的工作原理、防火墙的结构以及下一代防火墙技术。本篇内容为读者应用和开发防火墙打下了理论基础。

本章按照GB/T 20281—2006《信息安全技术防火墙技术要求和测试评价方法》将防火墙通用技术要求分为功能、性能、安全和保证要求四个大类。其中，功能要求是对防火墙产品应具备的安全功能提出具体的要求，包括包过滤、应用代理、内容过滤、安全审计和安全管理等；性能要求对防火墙产品应达到的性能指标做出规定，例如吞吐量、延迟、最大并发连接数和最大连接速率；安全要求是对防火墙自身安全和防护能力提出具体的要求，例如抵御各种网络攻击；保证要求则针对防火墙开发者和防火墙自身提出具体的要求，例如管理配置、交付与操作和指南文件等。

本章的技术要求依据GB 17859—1999《计算机信息系统安全保护等级划分准则》和GB/T 18336.3—2001《信息技术安全技术信息技术安全性评估》，并根据国内测评认证机构、测评技术和我国防火墙产品开发现状，对防火墙产品进行安全等级划分。安全等级分为一级、二级和三级三个逐级提高的级别，功能强弱、安全强度和保证要求高低是等级划分的具体依据。安全等级突出安全特性，性能高低不作为等级划分依据。
 

第4章主要依据GB/T 20281—2006《信息安全技术 防火墙技术要求和测试评价方法》等国家标准介绍防火墙的技术要求和评测方法，对防火墙产品或系统的设计、研发和应用给予指导。

本章首先介绍了Windows系统下网络体系结构，研究在用户层和内核层下可能采用的网络数据包截获技术，详细分析了各种截获技术的优缺点，并结合不同技术在不同层面上给出了三种网络数据包截获方案。

第6章介绍了用户层下Winsock SPI数据包截获技术。

本章首先介绍Windows内核层网络数据包截获技术，然后介绍NDIS中间层驱动开发方法以及Windows DDK自带的中间层驱动层程序PassThru，详细介绍了在其中添加过滤规则实现一个具有简单过滤功能的程序。

第8章介绍了个人防火墙的使用，包括Windows 7系统自带的Windows防火墙和高级安全Windows防火墙，以及著名的第三方防火墙软件ZoneAlarm Pro Firewall。

第9章介绍了Linux 2.4内核中一个具有包过滤、数据包处理、网络地址转换等防火墙功能框架的netfilter/iptables，并给出了一个iptables综合应用实例。

第10章对国内外一些主要的防火墙产品做了简单介绍，使读者对主流防火墙产品有基本的了解，还给出了防火墙产品选型的一些基本原则。

第11章介绍了用3种工具进行商用防火墙应用的实验，3种工具分别是：Cisco公司发布的网络模拟环境Packet Tracer；自由软件、需要运行Cisco系统（IOS）的模拟器GNS3以及Microsoft Forefront系列中的产品Forefront TMG。本篇给出了详细的操作和配置步骤。