4. 防火墙控制法

    防火墙技术首先将网络划分为内网与外网，它通过分析每一项内网与外网通信应用的协议构成，得出主机IP地址及IP上联端口号，从而规划出业务流，对相应的业务流进行控制。如下图所示的是一个利用防火墙控制内、外网络通信的基本网络结构。

点击看大图

 
    在图中，通过对防火墙的配置可以对外界开放Web服务器的80端口，因为80号端口是Web应用的HTTP协议使用的端口，这样就可使得任何用户都可以访问公司的网站。而在邮件服务器及DNS服务器上也开放相应的IP上联端口（如POP的23号端口和SMTP的25号端口），在保证相应功能实现的同时，也确保这些主机不会受到恶意的攻击。而对于数据库服务器来说，外界对它的访问将受到严格的限制，多是以VPN或是加密传输的专线方式进行。

    防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限，从而限制了每一业务流的通断。它要求网络管理员明确每一业务的源及目标地址、以及该业务的协议甚至上联端口。在一个庞大的网络中构造一个有效的防火墙，也需要相当大的工作量与技术水平。同时，防火墙设备如果要达到很高的数据吞吐量，其设备造价将会非常高，通常在企业应用中都只能用于整个企业的出口安全，在企业网内部的安全保护方面使用较少。

    支持VPN通信的防火墙支持如DES、3DES、RC4以及国内专用的数据加密标准和算法。加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。支持的用户身份认证类型是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、 口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。

    还可对通过防火墙的包过滤规则进行设置。包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。

    防火墙中的IP包过滤依据主要是IP包头部信息，如源地址和目的地址。如IP头中的协议字段封装协议为ICMP、TCP或UDP，则再根据ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
    以上几种访问控制方式的比较如下表所示。

点击看大图