前言

网

络安全问题随着Internet宽带发展与电子商务的盛行变得日益重要。随着企业或个人越来越频繁地利用互联网进行交易，网络安全性成为了一个重要的议题。一般情况下个人会用信用卡在网络上做交易，公司之间会在网络上做信息交换，因此一些重要资料就会在网络上流动，这时个人或公司传送的资料就有可能被拦截、修改或盗用。有些黑客为了获取他人技术而入侵别人的计算机，更严重的会将企业的网站破坏并毁掉顾客资料，影响到公司的利益或顾客的隐私及权利。防火墙的目的就是保护网络不被未经授权的使用者经由外界网络不法侵入。

防火墙（Firewall）是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。

为了实现企业内部所需求的各项任务，防火墙需按照各类部门用户的需求制订安全策略，主要解决对于企业内网分配和管理，便于统一管理各个部门的工作需求，改善以往比较混乱的情况，对所有关于网络的管理进行整合。

防火墙组件包括主机系统、路由器、网络安全策略和用于网络安全控制与管理的软硬件系统等。并且需要满足以下3个条件： 网络内部和外部之间的所有数据流必须经过防火墙； 只有符合安全策略的数据流才能通过防火墙； 防火墙自身具有高可靠性，应对渗透免疫。

本书介绍了防火墙的基本概念与实用技术，传统意义上的防火墙技术分为3大类： 包过滤（Packet Filtering）、应用代理（Application Proxy）和状态监视（Stateful Inspection）。无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一，一般安装在被保护区域的边界处，被保护区域与Internet网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输，进而达到保护区域内部信息安全的目的，同时，通过防火墙的检查控制可以过滤掉很多非法信息。

建立一个安全防火墙系统的过程如下。

首先，应该确定用户的需求，再根据需求进行实现。

例如： 经调研，用户需求如下。

(1) 保障内部网络安全，禁止外部用户连接到内部网络。

(2) 保护作为防火墙的主机安全，禁止外部用户使用防火墙的主机Telnet、FTP等项基本服务，同时要保证处于内部网络的管理员可以使用Telnet管理防火墙。

(3) 隐蔽内部网络结构，保证内部用户可以通过仅有的一个合法IP地址，例如202.102.184.1连接Internet。同时要求许可内部用户使用包括Email、WWW浏览、News、FTP等所有Internet上的服务。

(4) 要求对可以访问Internet的用户进行限制，仅允许特定用户的IP地址可以访问外部网络。

(5) 要求具备防止IP地址盗用功能，保证特权用户的IP不受侵害。

其次，根据用户需求设计解决方案。

最后，给企业制订有效的安全策略规则及应对渗透的免疫防范措施。

本教材编写的原则： 针对网络安全专业的教学规划，介绍防火墙的基本概念，防火墙的体系结构，防火墙的技术： 包过滤技术、代理服务器、网络地址翻译、主动监测技术。着重讲述防火墙技术原理，常用防火墙技术的基本原理与应用及如何利用防火墙技术对计算机信息系统进行一般的安全管理与维护，为本科及高职高专的安全类专业提供可行实用的教材。

本教材编写的特点： 注重理论联系实践，由浅入深介绍防火墙技术知识，结合当前最新防火墙技术的开发与应用理解知识点，使学生较快掌握防火墙技术并能应用到实际需要中解决问题。本教材着力于理论联系实际，给广大的从事网络安全的人员的工作提供一些帮助。

本教材由上海第二工业大学吴秀梅负责编写，毕烨、王见、傅嘉伟参编。通过收集大量资料，经过4个学期教学实践反复论证，并以目前前端的防火墙实用技术为主导思想，完成此教材的编写。本教材有配套PPT课件。为了适合高职高专层次的学生掌握防火墙应用技术，本书尽量做到通俗易懂，本教材编写了第7章常用著名防火墙设置和管理的基本操作以及第8章著名ISA路由级网络防火墙的技术，便于学生快速提高。由于作者水平有限，书中难免存在错误与欠妥之处，敬请读者予以指正。

编者2010年7月