全面認(rèn)識(shí)防火墻技術(shù)
時(shí)間:2010-03-06 點(diǎn)擊:
次 來(lái)源:互聯(lián)網(wǎng) 作者:佚名 - 小 + 大
一���、防火墻的基本概念
古時(shí)候,人們常在寓所之間砌起一道磚墻�,一旦火災(zāi)發(fā)生�����,它能夠防止火勢(shì)蔓延到別的寓所。現(xiàn)在�,如果一個(gè)網(wǎng)絡(luò)接到了Internet上面,它的用戶就可以訪問(wèn)外部世界并與之通信。但同時(shí)���,外部世界也同樣可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見,可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)���,豎起一道安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵, 提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡�����,它的作用與古時(shí)候的防火磚墻有類似之處���,因此我們把這個(gè)屏障就叫做“防火墻”�����。
在電腦中�����,防火墻是一種裝置,它是由軟件或硬件設(shè)備組合而成,通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間�����,限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)以及管理內(nèi)部用戶訪問(wèn)外界的權(quán)限�����。換言之�����,防火墻是一個(gè)位于被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)與一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間的一個(gè)封鎖工具�。防火墻是一種被動(dòng)的技術(shù),因?yàn)樗僭O(shè)了網(wǎng)絡(luò)邊界的存在�����,它對(duì)內(nèi)部的非法訪問(wèn)難以有效地控制�����。因此防火墻只適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)�����,例如企業(yè)內(nèi)部的局域網(wǎng)絡(luò)等�����。
二、防火墻的基本準(zhǔn)則
1.過(guò)濾不安全服務(wù)
基于這個(gè)準(zhǔn)則,防火墻應(yīng)封鎖所有信息流,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開放�,對(duì)不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中���。這是一種非常有效實(shí)用的方法�,可以造成一種十分安全的環(huán)境���,因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才能允許用戶使用�����。
2.過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)
基于這個(gè)準(zhǔn)則�����,防火墻應(yīng)先允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)���,然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽���。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境�����,網(wǎng)絡(luò)管理員可以針對(duì)不同的服務(wù)面向不同的用戶開放�,也就是能自由地設(shè)置各個(gè)用戶的不同訪問(wèn)權(quán)限�。
三、防火墻的基本措施
防火墻安全功能的實(shí)現(xiàn)主要采用兩種措施���。
1.代理服務(wù)器(適用于撥號(hào)上網(wǎng))
這種方式是內(nèi)部網(wǎng)絡(luò)與Internet不直接通訊,內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)用戶與代理服務(wù)器采用一種通訊方式�,即提供內(nèi)部網(wǎng)絡(luò)協(xié)議(NetBIOS�、TCP/IP)�����,代理服務(wù)器與Internet之間的通信采取的是標(biāo)準(zhǔn)TCP/IP網(wǎng)絡(luò)通信協(xié)議�����,防火墻內(nèi)外的計(jì)算機(jī)的通信是通過(guò)代理服務(wù)器來(lái)中轉(zhuǎn)實(shí)現(xiàn)的,結(jié)構(gòu)如下所示:
內(nèi)部網(wǎng)絡(luò)→代理服務(wù)器→Internet
這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離�,由于代理服務(wù)器兩端采用的是不同的協(xié)議標(biāo)準(zhǔn)�����,所以能夠有效地阻止外界直接非法入侵。
代理服務(wù)器通常由性能好���、處理速度快、容量大的計(jì)算機(jī)來(lái)充當(dāng)�,在功能上是作為內(nèi)部網(wǎng)絡(luò)與Internet的連接者�,它對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)像一臺(tái)真正的服務(wù)器一樣�����,而對(duì)于互聯(lián)網(wǎng)上的服務(wù)器來(lái)說(shuō),它又是一臺(tái)客戶機(jī)���。當(dāng)代理服務(wù)器接受到用戶的請(qǐng)求以后,會(huì)檢查用戶請(qǐng)求的站點(diǎn)是否符合設(shè)定要求�,如果允許用戶訪問(wèn)該站點(diǎn)的話���,代理服務(wù)器就會(huì)和那個(gè)站點(diǎn)連接�,以取回所需信息再轉(zhuǎn)發(fā)給用戶�����。
另外�����,代理服務(wù)器還能提供更為安全的選項(xiàng)�,例如它可以實(shí)施較強(qiáng)的數(shù)據(jù)流的監(jiān)控�����、過(guò)濾�����、記錄和報(bào)告功能,還可以提供極好的訪問(wèn)控制���、登錄能力以及地址轉(zhuǎn)換能力。但是這種防火墻措施�����,在內(nèi)部網(wǎng)絡(luò)終端機(jī)很多的情況下���,效率必然會(huì)受到影響�,代理服務(wù)器負(fù)擔(dān)很重���,并且許多訪問(wèn)Internet的客戶軟件在內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)中無(wú)法正常訪問(wèn)Internet�����。
2.路由器和過(guò)濾器
這種結(jié)構(gòu)由路由器和過(guò)濾器共同完成對(duì)外界計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的限制�,也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問(wèn)Internet�����。路由器只對(duì)過(guò)濾器上的特定端口上的數(shù)據(jù)通訊加以路由�����,過(guò)濾器的主要功能就是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),依照IP(Internet Protocol)包信息為基礎(chǔ),根據(jù)IP源地址、IP目標(biāo)地址���、封裝協(xié)議端口號(hào),確定它是否允許該數(shù)據(jù)包通過(guò)�����。這種防火墻措施最大的優(yōu)點(diǎn)就是它對(duì)于用戶來(lái)說(shuō)是透明的�,也就是說(shuō)不須用戶輸入賬號(hào)和密碼來(lái)登錄,因此速度比代理服務(wù)器快,且不容易出現(xiàn)瓶頸現(xiàn)象���。然而其缺點(diǎn)也是很明顯的,就是沒有用戶的使用記錄,這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)非法入侵的攻擊記錄�����。
|
手機(jī)版
熱門文章 
最新文章 
推薦閱讀 
貴公網(wǎng)安備52010302003427號(hào)