防火墙发展的四个阶段

祝你考试好运!!
防火墙技术的发展
在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机 *** 作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：
第一阶段：基于路由器的防火墙
由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代防火墙产品的特点是：
●利用路由器本身对分组的解析，以访问控制表（access list）方式实现对分组的过滤；
●过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；
●只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。
第一代防火墙产品的不足之处十分明显：
●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。
●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。
●路由器防火墙的最大隐患是：攻击者可以"假冒"地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。
可以说：基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。
第二阶段：用户化的防火墙工具套
为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化防火墙工具套的出现。
作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：
●将过滤功能从路由器中独立出来，并加上审计和告警功能；
●针对用户需求，提供模块化的软件包；
●软件可通过网络发送，用户可自己动手构造防火墙；
●与第一代防火墙相比，安全性提高了，价格降低了。
由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：
●配置和维护过程复杂、费时；
●对用户的技术要求高；
●全软件实现、安全性和处理速度均有局限；
●实践表明，使用中出现差错的情况很多。
第三阶段：建立在通用 *** 作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用 *** 作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这一代产品，它具有以下特点：
●是批量上市的专用防火墙产品；
●包括分组过滤或者借用路由器的分组过滤功能；
●装有专用的代理系统，监控所有协议的数据和指令；
●保护用户编程空间和用户可配置内核参数的设置；
●安全性和速度大为提高。
第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：
●作为基础的 *** 作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。
●由于大多数防火墙厂商并非通用 *** 作系统的厂商，通用 *** 作系统厂商不会对 *** 作系统的安全性负责；
●从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自 *** 作系统厂商的攻击。
●用户必须依赖两方面的安全支持：一是防火墙厂商、一是 *** 作系统厂商。
第四阶段：具有安全 *** 作系统的防火墙
防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年初，具有安全 *** 作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。
具有安全 *** 作系统的防火墙本身就是一个 *** 作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全 *** 作系统的办法有两种：一种是通过许可证方式获得 *** 作系统的源码；另一种是通过固化 *** 作系统内核来提高可靠性，由此建立的防火墙系统具有以下特点：
●防火墙厂商具有 *** 作系统的源代码，并可实现安全内核；
●对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；
●对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；
●在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；
●透明性好，易于使用。

1、安装和设置防火墙

现在有许多基于硬件或软件的防火墙，许多安全厂商也都相继推出了相关的产品。要保证服务器的安全，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。新手可以用服务器在iis7远程桌面下测试。在安装防火墙之后，你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。

2、定期对服务器进行备份

为防止不能预料的系统故障或用户不小心的非法 *** 作导致数据丢失，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同服务器上，以便出现系统崩溃时，可以及时地将系统恢复到正常状态。

3、及时安装系统补丁

不论是Windows还是Linux，任何大家 *** 作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。

4、账号和密码保护

账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、安装网络杀毒软件

如今在互联网上，病毒的传播非常猖獗，因此，在网络服务器上安装网络版的杀毒软件来控制病毒传播显得尤为重要。同时，在使用杀毒软件时，必须要定期或及时升级杀毒软件，坚持每天自动更新病毒库。

6、监测系统日志

运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

1、浏览器“连接”选项设置错误
解决办法：正确设置上网类型。如果是通过代理服务上网的，请正确填写代理服务器的IP地址与端口号；如果不是，请不要勾选“通过代理服务器”这个选项。
2、DNS服务器设置错误
解决办法：如果ISP提供商分配给你的是固定的IP地址，那么请正确填写ISP提供的IP地址与DNS服务器地址；如果ISP提供商分配的是动态的IP地址，那么无须填写DNS服务器地址；还有一个可能是ISP提供商的DNS服务器出错不能正确地进行域名→IP地址之间的转换，这个时候你可以在浏览器的地址栏敲入网站的IP地址，即可浏览网页。
3、防火墙设置错误
解决办法：如果防火墙设置不当，那么可能阻隔与外网进行信息交换，造成无法浏览网页的故障。我们可以修改防火墙设置。什么，怎么修改？这就不用俺说了吧。嗯，还是说一下，对于不了解的朋友直接选默认级别，选“中”就可以了。

一、所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
二、主要类型
1、网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。 *** 作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 >