亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>防火墻知識(shí)>

      現(xiàn)階段的防火墻技術(shù)知識(shí)介紹

      時(shí)間: 曉斌668 分享

        Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能夠使機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性大大增強(qiáng)。要使一個(gè)防火墻有效,所有的Internet信息都必須經(jīng)過這一道防火墻,接受防火墻的安全檢查。只有授權(quán)的數(shù)據(jù)才能夠通過防火墻,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦發(fā)生被攻擊者現(xiàn)象時(shí),就不能為我們提供任何的保護(hù)了。――我們應(yīng)當(dāng)特別注意的是,Internet不只是由堡壘主機(jī)和路由器以及其他設(shè)備共同形成的防火墻,它本身還是一個(gè)重要的安全方式。下面就由學(xué)習(xí)啦小編跟大家說說現(xiàn)階段的防火墻技術(shù)知識(shí)有哪些。

        現(xiàn)階段的防火墻技術(shù)知識(shí)介紹一:

        一、防火墻功能

        總結(jié)來說,有這樣幾個(gè)功能:

        (一)將不可靠的服務(wù)與不合法的用戶清除。

        (二)訪問特殊的網(wǎng)站會(huì)有限制。

        (三)可以進(jìn)行互聯(lián)網(wǎng)的安全和預(yù)警的檢測(cè)。

        二、防火墻的技術(shù)

        根據(jù)層次可以將防火墻分成兩類,一個(gè)是報(bào)文過濾,另一個(gè)是應(yīng)用層網(wǎng)關(guān)。前者是于IP層進(jìn)行的,在是因特網(wǎng)時(shí),完全不能感受到它,操作十分簡(jiǎn)單。它有一個(gè)特別明顯的弱點(diǎn)就是不可以在用戶的級(jí)別中進(jìn)行過濾處理,也就是無法辨別不一樣的用戶,也不能阻止惡意盜取IP地址的行為。若是有人將自己的IP地址改成一個(gè)合法的地址,完全能夠輕松地躲過過濾的危機(jī)。

        這種過濾形式也可以用應(yīng)用層網(wǎng)關(guān)將弱點(diǎn)改善??梢岳枚喾N方式對(duì)應(yīng)用層進(jìn)行防火墻的設(shè)置,以下就是幾種常見的設(shè)計(jì)。

        (一)應(yīng)用代理服務(wù)器(Application Gateway Proxy)

        此類防火墻是在應(yīng)用層進(jìn)行保護(hù)的,主要就是檢查授權(quán)以及一些代理業(yè)務(wù)。如果外面的主機(jī)想要訪問這個(gè)網(wǎng)站,就一定要先在這里驗(yàn)證一下身份。只有驗(yàn)證合格之后,才會(huì)專門為用戶專門一個(gè)程序,將外面的主機(jī)連接進(jìn)來。整個(gè)過程中,防火墻完全可以攔截外部主機(jī)的訪問,也可以控制訪問的方式與時(shí)間。另外,受到了防火墻保護(hù)的內(nèi)部用戶如果需要連接到外部的主機(jī),也要經(jīng)過驗(yàn)證,才能執(zhí)行各項(xiàng)指令。

        這種防火墻有一個(gè)顯著的優(yōu)勢(shì),就是將內(nèi)部的IP地址掩藏起來,也能夠給個(gè)別的用戶訪問的權(quán)利。即使有人真的運(yùn)用了一個(gè)正常的IP地址,也無法經(jīng)過嚴(yán)格的認(rèn)證程序。這種方式在安全性上比報(bào)文過濾更出色。然而,這種方式也因此讓應(yīng)用網(wǎng)關(guān)無法保持透明度,用戶往往需要不斷認(rèn)證,有許多不方面的地方。另外,這種技術(shù)還要在每個(gè)網(wǎng)關(guān)都設(shè)置專門的訪問程序。

        (二)回路級(jí)代理服務(wù)器

        這就是人們常用的一般的服務(wù)器,可以進(jìn)行多項(xiàng)協(xié)議,卻無法解釋應(yīng)用協(xié)議,一定要以其它的方式來獲取信息。因此,這種服務(wù)器往往需要用戶程序進(jìn)行修改。

        這種服務(wù)器也被稱為套接字服務(wù)器,意味著這是一個(gè)以國(guó)際標(biāo)準(zhǔn)為準(zhǔn)神的一種技術(shù)。如果受到了保護(hù)的客戶機(jī)要跟外面的網(wǎng)絡(luò)進(jìn)行信息的交流,只有防火墻上面的服務(wù)器對(duì)用戶進(jìn)行各項(xiàng)的認(rèn)證之后,沒有問題,才能讓套接字服務(wù)器跟外面的服務(wù)器進(jìn)行連接。站在用戶的位置上,看到的保護(hù)網(wǎng)與外面的網(wǎng)絡(luò)進(jìn)行信息交流的時(shí)候完全是透明的,根本感受不到有一層防火墻,就因?yàn)樗械挠脩舳疾槐氐卿涍M(jìn)入防火墻。然而,在客戶端使用的用戶所用的軟件一定要適應(yīng) “Socketsified API”,受到保護(hù)的用戶在進(jìn)入公共網(wǎng)的時(shí)候所用的IP地址全都是屬于防火墻的。

        (三)IP通道(IP Tunnels)

        有時(shí)會(huì)有這樣的情況出現(xiàn),一個(gè)公司有多個(gè)分公司,利用互聯(lián)網(wǎng)互相傳遞信息。這時(shí)候,就能夠利用IP Tunnels來阻礙網(wǎng)上的黑客對(duì)信息的攔截,這樣就形成了一個(gè)互聯(lián)網(wǎng)上的虛擬企業(yè)系統(tǒng)。

        假如分公司的網(wǎng)絡(luò)中的一臺(tái)主機(jī)要傳遞報(bào)文給另一個(gè)分公司,這個(gè)報(bào)文在通過本網(wǎng)的防火墻的時(shí)候,會(huì)先判斷一下報(bào)文是不是發(fā)到同一個(gè)系統(tǒng)中的分公司的。如果是,就再添上一個(gè)爆頭,這樣就形成了到另一個(gè)分公司防火墻的報(bào)文。原先發(fā)出報(bào)文的IP地址也會(huì)加入數(shù)據(jù)系統(tǒng)一起加密傳送到另一個(gè)分公司的防火墻。;另一個(gè)分公司的防火墻在接收到這則報(bào)文以后,會(huì)再判斷其IP地址是不是同一個(gè)公司系統(tǒng)之內(nèi)的。如果是,就將報(bào)頭去除,再進(jìn)行解密,傳輸?shù)骄W(wǎng)絡(luò)中。從網(wǎng)絡(luò)上看,就是兩方的防火墻在進(jìn)行信息交流。如果有黑客進(jìn)行偽裝的報(bào)文傳送,就會(huì)因?yàn)椴荒苓M(jìn)行解密而被傳送失敗。

        (四)網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT Network Address Translate)

        如果受到保護(hù)的網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)上,用戶訪問互聯(lián)網(wǎng)的時(shí)候,就必須用合法的IP地址。然而,合法的互聯(lián)網(wǎng)地址數(shù)量是有限的,并且受到保護(hù)的網(wǎng)絡(luò)一般也都有獨(dú)到的網(wǎng)絡(luò)地址方案。網(wǎng)絡(luò)地址轉(zhuǎn)換器是將一個(gè)合法的網(wǎng)絡(luò)地址集團(tuán)安裝到防火墻上面。如果內(nèi)網(wǎng)的用戶想要訪問互聯(lián)網(wǎng),防火墻就會(huì)自動(dòng)從準(zhǔn)備好的地址集團(tuán)中給用戶挑選一個(gè)還沒有分配的地址,這個(gè)用戶可以利用這一地址傳遞信息。另外,一些內(nèi)網(wǎng)的服務(wù)器,如Web,轉(zhuǎn)換器可以給它分配一個(gè)固定的地址來使用。外網(wǎng)的用戶也可以在經(jīng)過了防火墻驗(yàn)證之后訪問到內(nèi)網(wǎng)的信息。此類技術(shù)可以讓主機(jī)多、IP地址少的問題得到緩解,在外網(wǎng)也無法獲取內(nèi)網(wǎng)的IP地址,更加安全可靠。

        (五)隔離域名服務(wù)器(Split Domain Name Sever)

        此類技術(shù)是利用防火墻來分離受到了保護(hù)的網(wǎng)絡(luò)所擁有的域名服務(wù)器與外網(wǎng)的域名服務(wù)器的,這樣外網(wǎng)的域名服務(wù)器只可以見到防火墻上的IP地址,不能看到受到了保護(hù)的網(wǎng)絡(luò)的信息,如此就能夠讓受到了保護(hù)的網(wǎng)絡(luò)擁有的IP地址得到保護(hù)。

        (六)郵件轉(zhuǎn)發(fā)技術(shù)(Mail forwarding)

        如果防火墻運(yùn)用了以上說的幾類技術(shù)形式而讓外網(wǎng)只能夠了解到防火墻上的IP地址和域名的時(shí)候,那些外網(wǎng)傳遞過來的郵件也只能發(fā)送到防火墻。防火墻會(huì)對(duì)郵件進(jìn)行來源檢測(cè),如果其來源的地址是合法的,也是符合傳遞要求的,防火墻才會(huì)轉(zhuǎn)換郵件,傳送到內(nèi)網(wǎng)的郵件服務(wù)器,再轉(zhuǎn)發(fā)到目標(biāo)主機(jī)上。

        現(xiàn)階段的防火墻技術(shù)知識(shí)介紹二:

        21世紀(jì)全世界的計(jì)算機(jī)不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

        一、防火墻的分類

        根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

        (一)包過濾型

        包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。

        (二)網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

        網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。

        (三)代理型

        代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。

        (四)監(jiān)測(cè)型

        監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。

        二、現(xiàn)代企業(yè)面臨的安全風(fēng)險(xiǎn)

        現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴主要來自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用,同樣的,網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營(yíng)區(qū)域。

        (一)網(wǎng)絡(luò)內(nèi)部

        網(wǎng)絡(luò)內(nèi)部,即面向企業(yè)內(nèi)部員工的工作站,我們不能保證用戶每一次操作都是正確與安全的,絕大情況下,他們僅知道如何去使用面前的計(jì)算機(jī)來完成屬于自己的本職工作。

        (二)混合性威脅

        用多種方法和技術(shù)來傳播和實(shí)施的攻擊或威脅,因而必須有多種方法來保護(hù)和壓制這種攻擊或威脅。如:CodeRed.CodeRedII.CodeBlue.Nimda.

        三、利用防火墻解決企業(yè)中存在的安全風(fēng)險(xiǎn)

        通過在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒,防火墻,入侵檢測(cè),補(bǔ)丁管理與系統(tǒng)監(jiān)控,我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅,分析面對(duì)的風(fēng)險(xiǎn),靈活適當(dāng)?shù)恼{(diào)整安全管理策略。更重要的就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層,匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。

        如果部署安全策略,在提高安全性的同時(shí),勢(shì)必會(huì)影響其可用性。這個(gè)矛盾是不可調(diào)和的。關(guān)鍵區(qū)域的防火墻主要是面對(duì)內(nèi)部用戶,保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅,也要提供諸如NAT服務(wù),出站控制,遠(yuǎn)程用戶和移動(dòng)用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域,提供深層次的檢測(cè)與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測(cè),將會(huì)大大影響設(shè)備的性能。

        如今的防火墻的功能越來越強(qiáng)大,這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection(狀態(tài)檢測(cè)技術(shù))和WebIntelligence(Web智能技術(shù))來簡(jiǎn)單介紹下對(duì)于防火墻的智能防御與Web安全保護(hù)。簡(jiǎn)單來說,狀態(tài)檢測(cè)技術(shù)工作在OSI參考模型的DataLink與Network層之間,數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中,在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查。防火墻會(huì)生成一個(gè)會(huì)話的狀態(tài)表,InspectEngine檢測(cè)引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。狀態(tài)檢測(cè)對(duì)流量的控制效率是很高的,同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小??梢员WC整個(gè)防火墻快速,有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。

        CheckPoint的WebIntelligence,有一種名為MaliciousCodeProt-ector(可疑代碼防護(hù)器)來提供對(duì)應(yīng)用層的保護(hù)。如何去判斷上述的一些威脅呢?MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼,模擬行來判斷攻擊,將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行,檢測(cè)是否對(duì)虛擬系統(tǒng)造成威脅,最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢(shì)是可以非常精確的阻止已知和未知攻擊,并且誤報(bào)率相當(dāng)?shù)汀?/p>

        四、結(jié)語(yǔ)

        一個(gè)好的防火墻應(yīng)該具有高度安全性、高透明性和高網(wǎng)絡(luò)性能。此外,人們也在開展其他計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究,隨著Internet在我國(guó)的迅速發(fā)展,防火墻技術(shù)引起了各方面的廣泛關(guān)注。一方面在對(duì)國(guó)外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤,另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的,是在路由器上采用分組過濾技術(shù)提供安全保證,對(duì)其它方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個(gè)發(fā)展階段,仍有許多問題有待解決。因此,密切關(guān)注防火墻的最新發(fā)展,對(duì)推動(dòng)Internet在我國(guó)的健康發(fā)展有著重要的意義。

      387683