《防火墙在企业络中与实现.docx》由会员分享,可在线阅读,更多相关《防火墙在企业络中与实现.docx(22页珍藏版)》请在三一办公上搜索。
1、福州大学工程技术学院防火墙在企业网络中的应用和实现学 号: 4 姓 名: 陈辉 专 业: 网络技术 年 级: 2007级 指导教师: 单红老师 技术职称: 讲师 2010年 6 月 1 日防火墙在企业网络中的应用和实现陈辉福州大学工程技术学院摘要:随着网络技术在全球迅猛发展,网络信息化在给人们带来种种的方便同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们广泛地使用各种复杂的安全技术,如防火墙、数据加密技术、访问控制技术、通道控制机制,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。如何解决各种来自网络上的安全威胁,怎样才能确保网络信息的安全性。防火墙作为内外对外网访问的出口和外
2、网对内外访问的入口,它是如果确保网络的安全性呢?本文将通过介绍防火墙的基本原理以及企业防火墙的规划和部署,通过实验测试,来阐述防火墙在企业网络安全中的应用和实现。目录第一章网络安全概述31.1网络安全需求分析3第二章企业网络安全威胁4常见的网络弱点4常见攻击方法4常见的攻击分类6第三章防火墙原理和设计8防火墙的定义9防火墙的发展史9防火墙的工作原理简介9防火墙功能10防火墙的类型和体系结构11选择防火墙的原则14第四章方案设计与实现15项目背景15项目需求16第五章方案的实施与测试17方案实施与配置17方案测试19第六章总结和展望21第一章 网络安全概述随着计算机和网络的飞速发展,人们的生活发
3、生了巨大的变化,开始进入了信息化的时代。我们每天通过电脑在Ineternet聊天,发邮件,看电影甚至网上购物,网上缴费等活动。企业也通过信息化进入无纸化办公,通过OA、Email进行文件的收发,电子商务,网络视频会议等商业活动。所以网络影响这人们的生活,人人离不开网络。然而,开放的网络信息环境,方便了人们生活的同事,也不可避免代理安全隐患。要保护计算机和网络免受网络上威胁的攻击,就需要我们采取措施来保护自己的环境免受威胁,从而维护自己的信息安全性。防火墙即是其中的一种最好的安全设施。1.1 网络安全需求分析各企业不同的物理环境和不同的业务应用将决定各个企业不同的网络拓扑、不同的信息系统、不同方
4、式的数据访问,产生不同的信息资产,具有不同的脆弱性,面临不同的威胁。企业进行网络安全建设,根据实际情况进行分析,所有通常考虑以下几点需求:(1) 尽可能保证网络不存在漏洞和不安全的系统配置。(2) 网络系统能阻止来自外部入侵攻击行为和防止内部员工的违规操作或误操作行为。(3) 企业网络与外界网络直接应具有安全边界,保证良好的安全隔离。(4) 企业广域网无论使用哪种方式的广域互联线路,都应保证数据传输过程的安全,防止重要信息泄露或被修改。(5) 保证企业内部重要数据的安全,防止泄密。(6) 保证桌面安全。(7) 保证网络安全的可管理性。第二章 企业网络安全威胁 常见的网络弱点(一)TCP/IP
5、TCP/IP是一种开放式的标准,在Internet上被广泛使用,但是存在很多安全漏洞。例如HTTP、FTP和ICMP,其本质上就是不安全的;ICMP对于消息不作验证就可以发出,当收到后,可以继续重定向发送到下一个设备上;而对于SNMP而言,它是网络管理中用得最多的消息,但是版本1和版本2中的身份验证和访问控制等功能相当的薄弱,而且不具有保密性;对于TCP/IP而言,容易受到SYN flood攻击,也是该协议 不完善的一个地方。 所有需要一系列相对安全的处理方式来对这些漏洞进行弥补。通常对于远程节点的访问采用基于安全的IP协议IPSec来实现。而对于其他关键数据在发送的时候已经做好了相应的处理。
6、(二)系统安全漏洞对于操作系统而言,也存在很多安全漏洞,许多Web服务器及其他关键数据受到的攻击都来自这些漏洞,通常WindowsXp/2003/Vista 以及Linux、Unix、等系统都存在操作系统安全漏洞,特别应值得注意的是,这些安全漏洞通常在发布后几个小时,就有主机因这些漏洞被攻破。(三)网络设备漏洞 很多网络设备也有漏洞,例如Cisco的路由器和交换机所使用的IOS软件通常也会爆出一些安全性的漏洞,另外像Juniper使用FreeBSD系统作为控制平台,所有也会出现一些安全性漏洞。这些漏洞将会给网络带来致命性的打击。常见攻击方法 网络攻击,从20世纪80年代单纯使用密码猜测的方式,
7、发展到现在的SQL注入、网络钓鱼、跨站攻击、溢出漏洞、拒绝服务攻击及社会工程学等技术的应用,攻击难度越来越低。网络变得十分脆弱,一方面因为威胁变得越来越复杂,另一方面因为实施这些威胁所需要的知识越来越简单。(一) SQL注入随着Internet的发展,基于DBMS的Web查询数据库逐渐增多,但是Web制作行业门槛不高,程序员的水平和经验参差不齐,相当大一部分 程序员在编写代码的社会没有对用户输入数据合法性进行判断,导致程序出现隐患。攻击者可以通过互联网,构造一个精妙的SQL语句注入到DBMS中,从而获取访问权限。SQL注入手法相当灵活,能够根据不同的情况进行具体的构造。通常,几乎所有的防火墙对
8、通过Internet访问的数据库请求都无法发出及时的警报,所有SQL注入具有极高的隐蔽性。(二) 网络钓鱼 网络钓鱼,英文为“Phishing”。钓鱼攻击通常采用大量发送垃圾电子邮件的形式,诱骗收到邮件的用户发送自己相关的金融帐号和密码,已经身份证号码等其他个人信息,继而盗取现金。 蒙骗方法通常很简单,例如注册来模仿等,粗心的用户会忽视这样的拼写错误。在中国工商银行页面上,也可以通过对column函数进行修改直接伪造页面。(三) 分布式拒绝服务DDOS攻击很简单,即用大量的主机来访问网络中的某一台机器,导致其性能下降影响正常的服务。DDos是一种简单的攻击工具,当某些IDC机房服务器被攻破后,
9、将其作为DDos攻击源,后果将不堪设想。同时,对于DDos攻击,如何找出源地址,也是一个非常困难的事情。由于DDos非常容易实施,并且成功率非常高,所有在安全事件中,这类攻击增长非常迅猛。在我国的部分ISP统计数据中显示,有些攻击就来自IDC机房,例如不同的网络游戏服务商之间的竞争等。而且在过去几年较为重大的几起安全时间中,几乎都是由DDos攻击引起。(四) Rootkit由于网络安全产品正在变得越来越强大,攻击者不得不增加赌注。2006年Rootkit技术开始被广泛地应用,而且由不断增长的趋势。Rootkit其实是一种功能更强大的软件工具集,能够让网络管理员访问一台计算机或者一个网络。一旦安
10、装了Rootkit,攻击者就可以把自己隐藏起来,在用户计算机安装间谍软件和其他监视敲击键盘以及修改记录文件的软件。虽然微软发布的Vista操作系统能够减少某些Rootkit的应用,但是Rootkit还是2007年黑客普遍使用的技术。据赛门铁克称,用户模式Rootkit策略目前以及非常普遍,内核模式Rootkit的使用也在增长。 常见的攻击分类 (一)读取攻击 通常读取攻击主要来自侦查和扫描,并将结果用于后续的拒绝服务攻击,它是在未授权的情况下查看信息。首先对于一个黑客而言,他需要寻找其猎物拥有的是哪些地址段,哪些是Web服务器,哪些是数据库服务器,哪些是DNS服务器。通过whois,nsloo
11、kup,namp等命令进行踩点,为攻击做好准备。 (二)操作攻击 操作攻击以修改数据为目的,前文中的SQL注入和跨站脚本属于这类攻击。当然还有一些早期使用CGI的网站,可以直接通过URL进行注入,使得被攻击服务器主动发起到黑客计算机的连接。默认的防火墙规则对外部流入限制严格,但对内部流出不做过多的限制,因此这种链接一般防火墙无法察觉。 缓冲区溢出也是非常常见的攻击方式。例如某程序员认为,用户合理的输入数据流不会超过10个字节,而当恶意攻击者用1000个字节的信息进行攻击时,就会导致缓冲区溢出,从而使得其些代码被执行。 (三)欺骗攻击 在欺骗攻击中除了前文介绍的钓鱼攻击外,还有其他很多欺骗方式。
12、现在最常见的方式为STP欺骗、VTP欺骗、ARP欺骗等。特别是身份欺骗。例如证书标准的IETF配置文件定义了几个可选的域,这几个域可被包含在一个数字证书中,其中一个为基本约束域,它指明了证书链的最大允许长度,以及此证书是一个证书颁发机构还是一个终端实体证书。然而,Windows构建和验证证书链的CryptoAPI中的API并没有检查此基本约束域。 拥有一个有效的终端实体证书的攻击者,可以利用这个薄弱环境发布一个从属证书,这个证书尽管是假的,也可以通过验证。由于CryptoAPI被用于各种应用程序,将导致许多身份欺骗的攻击行为。在FAQ中对这些进行了详细的讨论,包括:建立一个网站,同时假装它是另
13、一个网站,然后通过建立一个SSL会话“证实”它自己是一个合法的网站发送据称属于“其他用户”的数据证书签名的电子邮件;欺骗那些基于证书验证的系统,以便作为一个高级用户得到入口;使用一个据称已颁发给用户可以信任的公司的验证码证书给不良制品进行数字签名。(四) 泛洪攻击 泛洪攻击较多使用在DDos攻击上,目的是让对端服务器无法承受巨大的流量攻击而瘫痪。当然在泛洪攻击还有其他的攻击手法。 TCP SYN是泛洪攻击最早形式,由于TCP SYN数据包发出后,不再对相应端送回的SYN-ACK进行确认,但是收到TCP SYN后服务器将一直保持连接开放状态,在SYN-ACK最终被确认的情况下,对持续时间进行确认
14、,服务器还会定期重发SYN-ACK,在连接拆除之前最多重试4次。这样,当发送大量的TCP SYN报文到服务器后,服务器将疲于应付而崩溃。(五)重定向攻击重定向攻击也是比较常见的一种攻击行为,ARP病毒就是这类攻击。ARP病毒采用虚拟ARP报文,让一个网段内所有的主机误认为它就是网关,从而截获所有的报文。由于截获报文后,中毒机器并不转发到真实的网关,这样就导致了整个局域网内同网段主机全部断网。第三章 防火墙原理和设计 防火墙的定义防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间实现访问控制的一个或一组已经或软件系统。它是一道“门槛”,能有效的把
15、互联网与内部网隔开,从而保护内部网免受非法用户的入侵。在某种意义上,防火墙就像一个私人俱乐部的看门人,他检查每个人的ID,并确保只有俱乐部会员才能通过该们进入。 防火墙的发展史第一代防火墙:20世纪80年代,第一代防火墙诞生,它激活是与路由器同时出现。由于路由器中本身就包含有分组过滤功能,故网络访问控制可以通过路由控制实现,第一代防火墙就是依附于路由器的包过滤功能实现的防火墙。第二代防火墙:1989年,贝尔实验室的DavePresotto和HowardTrickey推出第二代防火墙,即电路层防火墙。第三代防火墙:贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙
16、的同时,又推出第三代防火墙应用曾防火墙(代理防火墙)的初步结构。第四代防火墙:1992年,USC信息科学院的BobBraden开放出了基于动态包过滤(Dynamicpacketfiler)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙:1998,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。 防火墙的工作原理简
17、介 一般来说,防火墙包括几个不同的组成部分(如图所示)。过滤器(filter)(有时也称屏蔽)用于阻断一定类型的通信传输。网关是一台或一组机器,它提供中继服务,以补偿过滤器的影响。驻有网关的网络常被叫做非军事区(DeMilitarized Zone,DMZ)。DMZ中的网关有时还由一个内部网关(internal gateway)协助工作。一般情况下,两个网关通过内部过滤器到内部的连接比外部网关到其他内部主机的连接更为开放。就网络通信而言,两个过滤器或网关本身,都可以省去的,详细情况随防火墙的变化而变化。一般来说,外部过滤器可用来保护网关免受攻击,而内部过滤器用来应付一个网关遭到破坏后所带来的后
18、果,两个过滤器均可保护内部网络,使之免受攻击。一个暴露的网关机器通常我们叫做堡垒主机(bastion host)。 防火墙功能无论什么类型的防火墙,都有一些基本功能。防火墙主要的功能如下:(1) 管理和控制网络流量:通过检查报文监控已经存在的连接,根据报文检查结果和检测到的连接来过滤以达到该目的。(2) 认证连接:防火墙用一系列机制执行认证,首先,尝试初始化一个连接的用户在防火墙允许建立连接之前可以被提示需要一个用户名和密码;其次,可以使用证书和公共密钥实现认证机制。通过实施认证,确保连接是否被允许。(3) 担当中间媒介:防火墙可以通过配置担当两条主机进行通信的媒介,可以称之为代理。代理的职能
19、就是伪装成需要被保护的而主机,发送或接收报文,确保外部主机不能直接和被保护的主机通信来隔离被保护的主机,以免其遭受威胁。(4) 保护资源:通过使用接入访问控制规则、状态化报文检查、应用代理或结合以上所有方法去阻止被保护的主机被恶意访问或者恶意流量感染。(5) 记录和报告事件:防火墙日志可以被查询以用来确定在一个安全时间中发生了什么,也可以被用于防火墙排错,来帮助确定导致问题发生的原因。它还有一种报警机制,当策略被违反的时候通知管理员以便做出相应的决定。 防火墙的类型和体系结构防火墙主要分为以下几种类型:(1) 包过滤防火墙:第一代防火墙,也是最基本形式防火墙。检查每一个通过的网络包,或者丢弃,
20、或者放行,取决于所建立的一套规则。(2) 状态/动态检测防火墙:试图跟踪通过防火墙的网络连接和包,由此,防火墙就可以使用一组附件的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。(3) 应用程序代理防火墙:实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信,所有服务器不能直接访问内部网的任何一部分。另外,如果不为特定的 应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的来南京,从而提
21、供了额外的安全性和控制性。(4) 个人防火墙:现在网络上流传这很多的个人防火墙软件,它是应用程序级的。通常,这些防火墙是安装在计算机网络接口的较低级别上,使得他们可以监视传入传出网卡的所有网络通信。(5) 分布式防火墙:主要针对网络边界、各子网和网络内部各节点之间的安全保护,所有它是一个完整的系统。防火墙的体系结构一般可以分为一下几种:(1) 双重宿主主机体系结构:又称为双重宿主网关或应用层网关,它不允许网络间有直接的数据传递,而是以双重宿主主机作为数据转发的中转站。双重宿主主机是一个具有两个网络界面的主机,每一个网络界面与它所对应的网络进行通信,它既能作为服务器接收外来请求,又能作为客户转发
22、请求。一般在双重宿主主机上安装代理服务器软件,可为不同的服务提供转发,并同时根据策略进行过滤和控制。 充当堡垒主机的作用,一旦转换为路由器,则外网可直接访问内网。(2) 屏蔽主机防火墙:由包过滤路由器和堡垒主机组成,内部网不能直接通过路由器和Internet相联系,数据报要通过路由器和堡垒主机两道防线。堡垒主机安装在内部网络上,通常在路由器跟Internet相连。 使用一个路由器把内网和外网隔离开,主要的安全由数据包过滤提供。 体系结构中包括堡垒主机,是Internet 上的主机能连接到的唯一的内部网络上的系统。 在屏蔽路由器上设置数据包过滤策略,让所有的外部链接只能达到内部堡垒主机。设计方案
23、如下: l 允许其他的内部主机为了某些服务开放到Internet 上的主机链接(允许那些经由数据包过滤的服务);l 不允许来自内部主机的所有链接;l 对于内部用户对外网的访问,可以强制其经过堡垒主机, 也可以让其直接经过屏蔽路由器出去,针对不同的应用采用不同的安全策略。(3) 屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内网和外网隔离。 周边网络被隔离的独立子网,充当内网和外网的缓冲区,即DeMilitarized Zone DMZ。最简单形式是两个屏蔽路由器,每一个都连接到周边网络,一个位于周边网络与内部网络之间,另一个位于周边网络与外部网络之间。有
24、时屏蔽子网中还设有一个堡垒主机作为唯一可访问点,支持终端交互或作为网关代理。 选择防火墙的原则设计和选用防火墙首先要明确哪些数据是必须保护的,这些数据的被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品,对于防火墙的安全标准,首先需根据安全级别确定。其次,设计或选用防火墙必须与网络接口匹配,要防止你所能想到的威胁。防火墙可以是软件或硬件模块,并能集成于网桥、网关和路由器等设备之中。 (一) 防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略一点,防火墙也是网络上的主机设备,也可能存
25、在安全问题。防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。 (二) 考虑特殊的需求 1)IP地址转换(IP Address Translation)进行IP地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,也是要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部用户使用保留的IP,这对许多IP不足的企业是有益的。 2)双重 DNS 当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换。因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上
26、各安装一个DNS。 (三) 虚拟企业网络(VPN) VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密,建立一个虚拟通道,让两者间感觉是在同一个网络上,可以安全且不受拘束地互相存取。 (四) 病毒扫描功能 大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。 (五) 特殊控制需求 有时候企业会有特别的控制需求,如限制特定使用者才能发送E-mail,FTP只能得到档案不能上传档案,限制同时上网人数、使用时间等,因需求不同而定。第四章 方案设计与实现 项目背景XX公司主干网络系统包括环形的千兆的核心网、千兆链路连接的分支节点和网络边界(Internet、Cernet)。其中
27、千兆链路主要承载整个公司信息系统的跨节点的信息交换传输工作,为各种应用系统的数据流提供高速网络通讯支持。网络边界(Internet、Cernet)负责为整个公司提供互联网、接入功能,极大的扩展了公司信息系统的信息量,为检索外部的海量信息提供了通路。拓扑如图所示:公司的信息化建设,是体现XX公司国际性、时代性和开放性特征的重要环节,在当前全球经济一体化的时代大背景下通过提高信息化水平来提升公司的综合竞争力是一个有效的途径,应用信息化理念和技术实现经营、科研和管理工作的创新已成为必然的趋势。经过两年多的发展,公司信息化已经初步形成了一定的规模。目前公司的客户端数量达到了500多台,已有20多台服务
28、器为公司提供域控、邮件、内部主页、OA、财务软件、人力软件等服务,并且外部主页服务器和邮件服务器分别对外网提供服务。因此保证公司服务器安全和内部主机安全,对公司网络稳定运行具有重要的意义。所以为了使公司网络不受Internet外来攻击,我们在核心交换机前部署了一台防火墙,用于公司内网与Internet的连接。 项目需求公司采用了PIX535防火墙作为出口,在众多的企业级主流防火墙中,思科PIX 防火墙是所有同类产品性能最好的一种。思科PIX 系列防火墙目前有5 种型号PIX506,515,520,525,535。其中PIX535 是PIX500 系列中最新,功能也是最强大的一款。它可以提供运营
29、商级别的处理能力,适用于大型的ISP 等服务提供商。但是PIX 特有的操作系统,使得大多数管理是通过命令行来实现的,不像其他同类的防火墙通过Web 管理界面来进行网络管理。PIX防火墙主要实现以下两个功能:一是将内网中不同的职能部门私有网络通过防火墙做逻辑隔离,将内网IP转换为Internet公网IP,从而实现内网主机可以访问Internet。二是允许互联网用户访问公司有关部门发布的官方网站,从而实现公司多台服务器通过一条线路为Internet提供各种服务。(1)防火墙接口参数的配置:接口名称安全级别IP地址Gb-eth0Intf210 (2)各个部门IP地址规划:单位名称网络IP地址网络掩码
30、部门1部门2部门3部门4部门5(3)配置要求:l 将部门4的所有内网IP 通过防火墙转换为互联网,使得部门4的所有内网主机都可以访问互联网。互联网的网关IP地址为。l 创建内部IP地址和互联网IP地址之间的静态映射,使得内网服务器利用公网IP向互联网用户提供WWW服务。第五章 方案的实施与测试 方案实施与配置PIX Version (2)定义接口名字和设置接口优先级别nameif gb-ethernet0 intf2 security10nameif gb-ethernet1 inside security100nameif ethernet0 outside security0enable
31、password 4vT1Cunhss1Jf0Jhencryptedpasswd 4vT1Cunhss1Jf0Jh encryptedhostname pix535定义不同的协议组fixup protocol ftp 21fixup protocol http 80fixup protocol h323 h225 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521配置接口速率fixup protocol sip 5060interface gb-ethernet0 1000autointerfac
32、e gb-ethernet1 1000autointerface ethernet0 automtu intf2 1500mtu inside 1500mtu outside 1500配置接口地址ip address intf2 address inside address outside audit info action alarmip audit attack action alarmpdm history enable配置PAT,使得用户访问Internetarp timeout 14400global (outside) 1 (inside) 1 0static (inside,ou
33、tside) netmask 0 0配置NAT,将内网服务器地址映射成公网IP地址conduit permit tcp host eq www anyconduit permit icmp any anyroute outside 1route inside 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutea aa - s er
34、v er TACACS+ p ro to co ltacacs+aaa-server RADIUS protocol radiusno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enableno sysopt route dnattelnet timeout 5ssh timeout 5terminal width 80Cryptochecksum:246d641f2d31ae9585d93480b4f912d2: end
35、 方案测试(一)NAT配置测试通过配置NAT后,即使客户端是内外地址,也是可以正常上网:(二)安全性测试通过配置防火墙后,外网主机是无法扫描到内部主机,极大提高了网络的安全性:用模拟外部主机地址,模拟防火墙内一台DMZ里面具有系统漏洞的主机。在未开启防火墙之前,用x-scan进行扫描,发现漏洞:这样黑客就可以通过漏洞进行主机的攻击。开启防火墙之后:黑客根本无法发现这台主机的存在,更扫描不了漏洞,极大提高了安全性。第六章 总结和展望防火墙通过一定的策略和相关的隔离技术,实现了内部网络而后外部网络的分离,最大限度阻止完了黑客的攻击、能够有效纪录Ineternet上的活动,限制内外报了的节点用户数,将可疑行为拒绝门外。但是防火墙针对的仅仅是内外访问外网和外网对内外的访问上安全的策略。但是当网络的内外主机出现中毒,内网网络安全出现问题是,这时防火墙是无法解决问题的。一个安全网络不仅要在出口上下功夫,我们还需要在内外安装IPS,IDS等内外安全设备,来补缺防火墙的局限性。