鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 病毒查杀 > >

防火墙及其他- 2

来源:互联网 作者:佚名 时间:2015-10-08 09:41
防火墙技术 古时候 人们常在寓所之间砌起一道砖墙 一旦火灾发生 它能够防止火势蔓 延到别的寓所。自然 这种墙因此而得名“防火墙”。 现在 如果一个网络接到了Internet上面 它的用户就可以访问外部世界并与 之通信。但同时 外部世界也同样可以访问该网络并与
防火墙技术

古时候 人们常在寓所之间砌起一道砖墙 一旦火灾发生 它能够防止火势蔓
延到别的寓所。自然 这种墙因此而得名“防火墙”。

现在 如果一个网络接到了Internet上面 它的用户就可以访问外部世界并与
之通信。但同时 外部世界也同样可以访问该网络并与之交互。为安全起见
可以在该网络和Internet之间插入一个中介系统 竖起一道安全屏障。这道屏
障的作用是阻断来自外部通过网络对本网络的威胁和入侵 提供扼守本网络的
安全和审计的唯一关卡。这种中介系统也叫做“防火墙” 或“防火墙系统”。

简言之 一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不
那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。在使用
防火墙的决定背后 潜藏着这样的推理: 假如没有防火墙 一个网络就暴露在
不那么安全的Internet诸协议和设施面前 面临来自Internet其他主机的探测
和攻击的危险。在一个没有防火墙的环境里 网络的安全性只能体现为每一个
主机的功能 在某种意义上 所有主机必须通力合作 才能达到较高程度的安
全性。网络越大 这种较高程度的安全性越难管理。随着安全性问题上的失误
和缺陷越来越普遍 对网络的入侵不仅来自高超的攻击手段 也有可能来自配
置上的低级错误或不合适的口令选择。因此 防火墙的作用是防止不希望的、
未授权的通信进出被保护的网络 迫使单位强化自己的网络安全政策。

一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端
口的IP路由器 它通过对每一个到来的IP包依据一组规则进行检查来判断是否
对之进行转发。屏蔽路由器从包头取得信息 例如协议号、收发报文的IP地址
和端口号 连接标志以至另外一些IP选项 对IP包进行过滤。

代理服务器是防火墙系统中的一个服务器进程 它能够代替网络用户完成特定
的TCP/IP功能。一个代理服务器本质上是一个应用层的网关 一个为特定网络
应用而连接两个网络的网关。用户就一项TCP/IP应用 比如Telnet或者ftp
同代理服务器打交道 代理服务器要求用户提供其要访问的远程主机名。当用
户答复并提供了正确的用户身份及认证信息后 代理服务器连通远程主机 为
两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及
认证信息可用于用户级的认证。最简单的情况是: 它只由用户标识和口令构成。
但是 如果防火墙是通过Internet可访问的 我们推荐使用更强的认证机制
比如一次性口令或挑战-回应式系统。

屏蔽路由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则
比较困难、屏蔽路由器的管理成本、还有用户级身份认证的缺乏。路由器生产
商们正在着手解决这些问题。特别值得注意的是 它们正在开发编辑包过滤规
则的图形用户界面。他们也在制订标准的用户级身份认证协议 来提供远程身
份认证拨入用户服务(REDIUS)。

代理服务器的优点是用户级的身份认证、日志记录和帐号管理。其缺点关系到
这样一个事实: 要想提供全面的安全保证 就要对每一项服务都建立对应的应
用层网关。这个事实严重地限制了新应用的采纳。最近 一个名叫SOCKS的包罗
万象的代理服务器问世了。SOCKS主要由一个运行在防火墙系统上的代理服务器
软件包和一个链接到各种网络应用程序的库函数包组成。这样的结构有利于新
应用的挂接。

屏蔽路由器和代理服务器通常组合在一起构成混合系统 其中屏蔽路由器主要
用来防止IP欺骗攻击。目前最广泛采用的配置是Dual-homed防火墙 被屏蔽主
机型防火墙 以及被屏蔽子网型防火墙。
网友评论
<