亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) > 防火墻技術(shù)論文三篇

      防火墻技術(shù)論文三篇

      時(shí)間: 曉斌668 分享

      防火墻技術(shù)論文三篇

        防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),下面就由學(xué)習(xí)啦小編為大家提供的論文。

        防火墻技術(shù)論文一:

        一、防火墻概述

        防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)的方法,實(shí)際上是一種隔離控制技術(shù)。在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問(wèn),也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。通過(guò)限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信,以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它對(duì)兩個(gè)網(wǎng)絡(luò)之問(wèn)傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來(lái)決定網(wǎng)絡(luò)之問(wèn)的通信是否被允許:其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò),未保護(hù)的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時(shí),首先要明確防火墻的缺省策略,是接受還是拒絕。如果缺省策略是接受,那么沒(méi)有顯式拒絕的數(shù)據(jù)包可以通過(guò)防火墻;如果缺省策略是拒絕,那么沒(méi)有顯式接受的數(shù)據(jù)包不能通過(guò)防火墻。顯然后者的安全性更高。

        防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來(lái)阻止所有網(wǎng)絡(luò)問(wèn)不受歡迎的信息交換,而允許那些可接受的通信。從邏輯上講,防火墻是分離器、限制器、分析器;從物理上講,防火墻由一組硬件設(shè)備(路由器、主計(jì)算機(jī)或者路由器、主計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合)和適當(dāng)?shù)能浖M成。

        二、防火墻的基本類型

        防火墻的基本類型包括包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測(cè)。

        1.包過(guò)濾

        包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。

        包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

        但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。

        2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

        網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

        在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問(wèn)是安全的,可以接受訪問(wèn)請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問(wèn)是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

        3.應(yīng)用代理

        應(yīng)用代理完全接管了用戶與服務(wù)器的訪問(wèn),把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來(lái)。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò),只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問(wèn)Internet主機(jī),同時(shí)只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過(guò)應(yīng)用代理。在實(shí)際的應(yīng)用中,應(yīng)用代理的功能是由代理服務(wù)器來(lái)完成的。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

        4.狀態(tài)檢測(cè)

        防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),傳統(tǒng)上防火墻基本分為兩大類,即包過(guò)濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻,這兩種防火墻由于其受限的地方,逐漸不能適應(yīng)當(dāng)前的需求,因此新一代的防火墻Stateful-inspection防火墻應(yīng)運(yùn)而生,這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn),又克服了傳統(tǒng)防火墻的缺點(diǎn),是一種革新式的防火墻。

        Stateful-inspection防火墻是新一代的防火墻技術(shù),由Check Point公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較,從而得到該數(shù)據(jù)包的控制信息,來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同,Stateful-inspection防火墻使用用戶定義的過(guò)濾規(guī)則,不依賴預(yù)先的應(yīng)用信息,執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高,而且它不識(shí)別特定的應(yīng)用信息,因此不用對(duì)不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則,伸縮性好

        三、防火墻的發(fā)展趨勢(shì)

        1.新需求引發(fā)的技術(shù)走向

        防火墻技術(shù)的發(fā)展離不開(kāi)社會(huì)需求的變化,著眼未來(lái),防火墻技術(shù)有的新需求如下:遠(yuǎn)程辦公的增長(zhǎng):企事業(yè)在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠(yuǎn)程訪問(wèn),做到更細(xì)粒度的訪問(wèn)控制?,F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過(guò)防火墻,這樣可以確保信息的保密性,又能成為識(shí)別入侵行為的手段。

        2.黑客攻擊引發(fā)的技術(shù)走向

        防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測(cè):IT業(yè)界權(quán)威機(jī)構(gòu)Gagner認(rèn)為代理不是阻止未來(lái)黑客攻擊的關(guān)鍵,但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測(cè)的技術(shù)方案需要增加簽名檢測(cè)等新的功能,以查找已經(jīng)的攻擊,并分辨出哪些是正常的數(shù)據(jù)流,哪些是異常數(shù)據(jù)流。協(xié)同性:從黑客攻擊事件分析,對(duì)外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為,這就需要將防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒檢測(cè)技術(shù)有效協(xié)同,共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。

        現(xiàn)有防火墻技術(shù)仍無(wú)法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。攻擊時(shí)的變數(shù)太大,所以對(duì)網(wǎng)絡(luò)安全的需求對(duì)防火墻提出了更高的要求,在防火墻目前還不算長(zhǎng)的生命周期中,雖然問(wèn)題不斷,但是防火墻也從具有普通的過(guò)濾功能,逐步豐富了自身的功能,擔(dān)當(dāng)了更重的任務(wù)。未來(lái),防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

        防火墻技術(shù)論文二:

        一、前盲

        隨著計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)中的應(yīng)用的不斷增多,計(jì)算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來(lái)越重要,部門(mén)能夠使用的安全設(shè)備和軟件的不斷增多,大量數(shù)據(jù)紛紛涌人事件日志,致使網(wǎng)絡(luò)管理員的工作難度越來(lái)越高,負(fù)擔(dān)越來(lái)越重。

        二、防火墻技術(shù)

        防火墻是一個(gè)由軟件和硬件設(shè)備組合而成,在網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制的一個(gè)系統(tǒng),通過(guò)執(zhí)行訪問(wèn)控制策略,限制兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動(dòng),通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。

        網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的設(shè)備,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

        1.防火墻一般有三個(gè)特性:

        所有的通信都經(jīng)過(guò)防火墻

        防火墻只放行經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量

        防火墻能經(jīng)受的住對(duì)其本身的攻擊

        我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖,防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器(Route+ACL),一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī),服務(wù)器等,被配置成保護(hù)指定網(wǎng)絡(luò),使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界,例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻,將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

        2.防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn):

        機(jī)密性的風(fēng)險(xiǎn)

        數(shù)據(jù)完整性的風(fēng)險(xiǎn)

        用性的風(fēng)險(xiǎn)

        3.防火墻的主要優(yōu)點(diǎn)如下:

        防火墻可以通過(guò)執(zhí)行訪問(wèn)控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安壘,并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。

        防火墻可以限制某些特殊服務(wù)的訪問(wèn)。

        防火墻功能單一,不需要在安全性、可用性和功能上做取舍。

        防火墻有審記和報(bào)警功能,有足夠的日志空間和記錄功能,可以延長(zhǎng)安全響應(yīng)的周期。

        4.防火墻也有許多弱點(diǎn):

        不能防御已經(jīng)授權(quán)的訪問(wèn),以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。

        不能防御合法用戶惡意的攻擊,以及社交攻擊等非預(yù)期的威脅。

        不能修復(fù)脆弱的管理措施和存在問(wèn)題的安全策略。

        不能防御不經(jīng)過(guò)防火墻的攻擊和威脅。

        5.根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測(cè)型。

        包過(guò)濾型

        包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單、實(shí)用和成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

        包過(guò)濾技術(shù)也有明顯的缺陷。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵人,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。

        網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT

        網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

        代理型

        代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

        監(jiān)測(cè)型

        監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。

        監(jiān)測(cè)型防火墻由于實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻:基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

        6.防火墻的不足

        雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文伴,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

        這樣各單位均通過(guò)其他手段進(jìn)行安全強(qiáng)化,如:入侵監(jiān)測(cè)、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。

        雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

        三、結(jié)束語(yǔ)

        隨著事業(yè)的發(fā)展,各單位均意識(shí)到網(wǎng)絡(luò)安全的重要,逐步加強(qiáng)了網(wǎng)絡(luò)的監(jiān)管與防護(hù)工作,在備自的網(wǎng)絡(luò)邊界架設(shè)防火墻,定制策略進(jìn)行邊界防護(hù),防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊,起到一定的隔離作用。但是網(wǎng)絡(luò)的安全、設(shè)備的安全不是單純的增加設(shè)備或是安裝軟件就能萬(wàn)事無(wú)憂了,更重要的還是使用人員的意識(shí)和素質(zhì),對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō),采取手段是必要的,但更重要的是人員的管理。

        防火墻技術(shù)論文三:

        1 概述

        防火墻是網(wǎng)絡(luò)安全的第一道門(mén)戶,可以實(shí)現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間,或者內(nèi)部不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問(wèn)控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。狹義的防火墻是指安裝了防火墻的軟件或路由器系統(tǒng),而廣義的防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻一詞來(lái)自建筑物中的同名機(jī)構(gòu),從字面意思上說(shuō),它可以防止火災(zāi)從建筑物的一部分蔓延到其他部分。Internet防火墻也要起到同樣的作用,防止Internet上的不安全因素蔓延到自己企業(yè)或組織的內(nèi)部網(wǎng)。

        2 防火墻功能

        本質(zhì)上來(lái)講,防火墻被認(rèn)為是兩個(gè)網(wǎng)絡(luò)間的隔斷,只允許所選定的一些形式的通信通過(guò)。防火墻另外一個(gè)重要特征是它自身抵抗攻擊的能力:防火墻自身應(yīng)當(dāng)不易被攻入,因?yàn)楣ト敕阑饓徒o攻擊者進(jìn)入內(nèi)部網(wǎng)一個(gè)立足點(diǎn)。從安全需求來(lái)看,理想的防火墻應(yīng)具備以下功能:

        1)能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。

        2)能夠通過(guò)識(shí)別、認(rèn)證和授權(quán)對(duì)進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問(wèn)控制。

        3)能夠封堵安全策略禁止的業(yè)務(wù)。

        4)能夠?qū)徲?jì)跟蹤通過(guò)的信息內(nèi)容和活動(dòng)。

        5)能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)和報(bào)警。

        6)能夠?qū)π枰C艿男畔⑦M(jìn)行授權(quán)的加密和解密。

        7)能夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn)。

        通過(guò)選擇優(yōu)秀的防火墻產(chǎn)品,制定合理的安全策略,內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到攻擊。但是需要指出的是,當(dāng)前流行的許多錯(cuò)誤概念和觀點(diǎn)經(jīng)常誤導(dǎo)用戶。那就是過(guò)分夸大某些產(chǎn)品的功能,認(rèn)為所有的網(wǎng)絡(luò)安全問(wèn)題可以通過(guò)簡(jiǎn)單地配置防火墻來(lái)達(dá)到。雖然當(dāng)單位將其網(wǎng)絡(luò)互聯(lián)時(shí),防火墻是網(wǎng)絡(luò)安全的重要一環(huán),但并非全部。許多危險(xiǎn)是在防火墻能力范圍之外的。

        3 防火墻的結(jié)構(gòu)

        3.1 包過(guò)濾性防火墻

        說(shuō)明:對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。

        優(yōu)點(diǎn):處理速度快、費(fèi)用低、對(duì)用戶透明。

        缺點(diǎn):維護(hù)比較困難,只能阻止少部分IP欺騙,不支持有效地用戶認(rèn)證,日志功能有限。過(guò)濾規(guī)則增加會(huì)大大降低吞吐量,無(wú)法對(duì)信息提供全面控制。

        3.2 雙宿網(wǎng)關(guān)防火墻

        說(shuō)明:由一臺(tái)至少裝有兩塊網(wǎng)卡的堡壘主機(jī)作為防火墻,位于內(nèi)外網(wǎng)絡(luò)之間,分別與內(nèi)外網(wǎng)絡(luò)相離,實(shí)現(xiàn)物理上的隔開(kāi)。服務(wù)方式,一是用戶直接登錄到雙宿主機(jī)上,二是在雙宿主機(jī)運(yùn)行代理服務(wù)器。

        優(yōu)點(diǎn):安全性比屏蔽路由器高。

        缺點(diǎn):入侵者一旦得到雙宿主機(jī)的訪問(wèn)權(quán),內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵,因此需要具有強(qiáng)大的身份認(rèn)證系統(tǒng),才能阻擋來(lái)自外部的不可信網(wǎng)絡(luò)的非法入侵。

        3.3 屏蔽主機(jī)防火墻

        說(shuō)明:強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接,不讓他們直接與內(nèi)部主機(jī)相連接。它是由包過(guò)濾路由器和堡壘主機(jī)組成的。

        優(yōu)點(diǎn):實(shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全,因此安全等級(jí)比屏蔽路由器要高。

        缺點(diǎn):堡壘主機(jī)可能被繞過(guò),堡壘主機(jī)與其他內(nèi)部主機(jī)之間沒(méi)有任何保護(hù)網(wǎng)絡(luò)安全的物質(zhì)存在,一旦被攻破,內(nèi)網(wǎng)就將完全暴露。

        3.4 屏蔽子網(wǎng)防火墻

        說(shuō)明:用了兩個(gè)屏蔽路由器和一個(gè)堡壘主機(jī),也稱為“單DMZ”防火墻結(jié)構(gòu)。

        優(yōu)點(diǎn):在定義了“非軍事區(qū)(DMZ)”網(wǎng)絡(luò)后,它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能,這也是最安全的防火墻系統(tǒng)。

        缺點(diǎn):通常情況下的屏蔽子網(wǎng)防火墻比較小,處于internet

        和內(nèi)部網(wǎng)絡(luò)之間。一般情況下,將其配置成使用internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)對(duì)其訪問(wèn)會(huì)受限制的系統(tǒng),例如:堡壘主機(jī)、信息服務(wù)器、modem組以及其他公用服務(wù)器。

        3.5 其他防火墻結(jié)構(gòu)

        在實(shí)際應(yīng)用中,經(jīng)常在前四種基本結(jié)構(gòu)的基礎(chǔ)上進(jìn)行組合。

        1)合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ結(jié)構(gòu)):由雙穴堡壘主機(jī)執(zhí)行原來(lái)外部路由器的功能,但會(huì)缺乏專用路由器的靈活性和性能,出了需注意保護(hù)堡壘主機(jī)外,與屏蔽子網(wǎng)防火墻結(jié)構(gòu)相比沒(méi)有明顯弱點(diǎn)。

        2)合并內(nèi)部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ):這種結(jié)構(gòu)并不提倡,因?yàn)橐坏┍局鳈C(jī)被入侵,內(nèi)部網(wǎng)絡(luò)沒(méi)有安全保護(hù)。

        3)合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu):只有當(dāng)擁有功能強(qiáng)大的路由器的時(shí)候,才考慮合并內(nèi)、外路由器。這種結(jié)構(gòu)與屏蔽主機(jī)結(jié)構(gòu)一樣,路由器容易受到傷害。

        4)兩個(gè)堡壘主機(jī)和兩個(gè)非軍事結(jié)構(gòu):也就是使用兩臺(tái)雙穴主機(jī),設(shè)立兩個(gè)非軍事區(qū),從而將網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)、內(nèi)DMZ、外DMZ四個(gè)部分。通常將不是很機(jī)密的服務(wù)器放在內(nèi)DMZ網(wǎng)絡(luò)上,有機(jī)密信息的敏感主機(jī)放在內(nèi)部網(wǎng)絡(luò)中。另外值得一提的是,在這種結(jié)構(gòu)中,可以在外部DMZ放置一些公共信息服務(wù)主機(jī)(如FTP、WWW),而堡壘主機(jī)對(duì)這些主機(jī)不予信任,這類主機(jī)稱為“犧牲主機(jī)”。

      383849