防火墻技術(shù)論文三篇
防火墻技術(shù)論文三篇
防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),下面就由學(xué)習(xí)啦小編為大家提供的論文。
防火墻技術(shù)論文一:
一、防火墻概述
防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法,實(shí)際上是一種隔離控制技術(shù)。在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信,以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它對兩個(gè)網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之問的通信是否被允許:其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò),未保護(hù)的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時(shí),首先要明確防火墻的缺省策略,是接受還是拒絕。如果缺省策略是接受,那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕,那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。
防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換,而允許那些可接受的通信。從邏輯上講,防火墻是分離器、限制器、分析器;從物理上講,防火墻由一組硬件設(shè)備(路由器、主計(jì)算機(jī)或者路由器、主計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合)和適當(dāng)?shù)能浖M成。
二、防火墻的基本類型
防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測。
1.包過濾
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。
包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
3.應(yīng)用代理
應(yīng)用代理完全接管了用戶與服務(wù)器的訪問,把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò),只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問Internet主機(jī),同時(shí)只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實(shí)際的應(yīng)用中,應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
4.狀態(tài)檢測
防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù),傳統(tǒng)上防火墻基本分為兩大類,即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻,這兩種防火墻由于其受限的地方,逐漸不能適應(yīng)當(dāng)前的需求,因此新一代的防火墻Stateful-inspection防火墻應(yīng)運(yùn)而生,這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn),又克服了傳統(tǒng)防火墻的缺點(diǎn),是一種革新式的防火墻。
Stateful-inspection防火墻是新一代的防火墻技術(shù),由Check Point公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包,然后分析這些數(shù)據(jù)包,并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較,從而得到該數(shù)據(jù)包的控制信息,來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同,Stateful-inspection防火墻使用用戶定義的過濾規(guī)則,不依賴預(yù)先的應(yīng)用信息,執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高,而且它不識別特定的應(yīng)用信息,因此不用對不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則,伸縮性好
三、防火墻的發(fā)展趨勢
1.新需求引發(fā)的技術(shù)走向
防火墻技術(shù)的發(fā)展離不開社會(huì)需求的變化,著眼未來,防火墻技術(shù)有的新需求如下:遠(yuǎn)程辦公的增長:企事業(yè)在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠(yuǎn)程訪問,做到更細(xì)粒度的訪問控制?,F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
2.黑客攻擊引發(fā)的技術(shù)走向
防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測:IT業(yè)界權(quán)威機(jī)構(gòu)Gagner認(rèn)為代理不是阻止未來黑客攻擊的關(guān)鍵,但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術(shù)方案需要增加簽名檢測等新的功能,以查找已經(jīng)的攻擊,并分辨出哪些是正常的數(shù)據(jù)流,哪些是異常數(shù)據(jù)流。協(xié)同性:從黑客攻擊事件分析,對外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為,這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同,共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。
現(xiàn)有防火墻技術(shù)仍無法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。攻擊時(shí)的變數(shù)太大,所以對網(wǎng)絡(luò)安全的需求對防火墻提出了更高的要求,在防火墻目前還不算長的生命周期中,雖然問題不斷,但是防火墻也從具有普通的過濾功能,逐步豐富了自身的功能,擔(dān)當(dāng)了更重的任務(wù)。未來,防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。
防火墻技術(shù)論文二:
一、前盲
隨著計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)中的應(yīng)用的不斷增多,計(jì)算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來越重要,部門能夠使用的安全設(shè)備和軟件的不斷增多,大量數(shù)據(jù)紛紛涌人事件日志,致使網(wǎng)絡(luò)管理員的工作難度越來越高,負(fù)擔(dān)越來越重。
二、防火墻技術(shù)
防火墻是一個(gè)由軟件和硬件設(shè)備組合而成,在網(wǎng)絡(luò)之間實(shí)施訪問控制的一個(gè)系統(tǒng),通過執(zhí)行訪問控制策略,限制兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動(dòng),通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。
網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問控制的設(shè)備,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
1.防火墻一般有三個(gè)特性:
所有的通信都經(jīng)過防火墻
防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量
防火墻能經(jīng)受的住對其本身的攻擊
我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖,防火墻可以是一臺有訪問控制策略的路由器(Route+ACL),一臺多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī),服務(wù)器等,被配置成保護(hù)指定網(wǎng)絡(luò),使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界,例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻,將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。
2.防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn):
機(jī)密性的風(fēng)險(xiǎn)
數(shù)據(jù)完整性的風(fēng)險(xiǎn)
用性的風(fēng)險(xiǎn)
3.防火墻的主要優(yōu)點(diǎn)如下:
防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安壘,并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。
防火墻可以限制某些特殊服務(wù)的訪問。
防火墻功能單一,不需要在安全性、可用性和功能上做取舍。
防火墻有審記和報(bào)警功能,有足夠的日志空間和記錄功能,可以延長安全響應(yīng)的周期。
4.防火墻也有許多弱點(diǎn):
不能防御已經(jīng)授權(quán)的訪問,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。
不能防御合法用戶惡意的攻擊,以及社交攻擊等非預(yù)期的威脅。
不能修復(fù)脆弱的管理措施和存在問題的安全策略。
不能防御不經(jīng)過防火墻的攻擊和威脅。
5.根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測型。
包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過濾技術(shù)的優(yōu)點(diǎn)是簡單、實(shí)用和成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
包過濾技術(shù)也有明顯的缺陷。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵人,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。
代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
監(jiān)測型
監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。
監(jiān)測型防火墻由于實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻:基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。
6.防火墻的不足
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文伴,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
這樣各單位均通過其他手段進(jìn)行安全強(qiáng)化,如:入侵監(jiān)測、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。
雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。
三、結(jié)束語
隨著事業(yè)的發(fā)展,各單位均意識到網(wǎng)絡(luò)安全的重要,逐步加強(qiáng)了網(wǎng)絡(luò)的監(jiān)管與防護(hù)工作,在備自的網(wǎng)絡(luò)邊界架設(shè)防火墻,定制策略進(jìn)行邊界防護(hù),防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊,起到一定的隔離作用。但是網(wǎng)絡(luò)的安全、設(shè)備的安全不是單純的增加設(shè)備或是安裝軟件就能萬事無憂了,更重要的還是使用人員的意識和素質(zhì),對于網(wǎng)絡(luò)安全來說,采取手段是必要的,但更重要的是人員的管理。
防火墻技術(shù)論文三:
1 概述
防火墻是網(wǎng)絡(luò)安全的第一道門戶,可以實(shí)現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間,或者內(nèi)部不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。狹義的防火墻是指安裝了防火墻的軟件或路由器系統(tǒng),而廣義的防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻一詞來自建筑物中的同名機(jī)構(gòu),從字面意思上說,它可以防止火災(zāi)從建筑物的一部分蔓延到其他部分。Internet防火墻也要起到同樣的作用,防止Internet上的不安全因素蔓延到自己企業(yè)或組織的內(nèi)部網(wǎng)。
2 防火墻功能
本質(zhì)上來講,防火墻被認(rèn)為是兩個(gè)網(wǎng)絡(luò)間的隔斷,只允許所選定的一些形式的通信通過。防火墻另外一個(gè)重要特征是它自身抵抗攻擊的能力:防火墻自身應(yīng)當(dāng)不易被攻入,因?yàn)楣ト敕阑饓徒o攻擊者進(jìn)入內(nèi)部網(wǎng)一個(gè)立足點(diǎn)。從安全需求來看,理想的防火墻應(yīng)具備以下功能:
1)能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。
2)能夠通過識別、認(rèn)證和授權(quán)對進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制。
3)能夠封堵安全策略禁止的業(yè)務(wù)。
4)能夠?qū)徲?jì)跟蹤通過的信息內(nèi)容和活動(dòng)。
5)能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測和報(bào)警。
6)能夠?qū)π枰C艿男畔⑦M(jìn)行授權(quán)的加密和解密。
7)能夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn)。
通過選擇優(yōu)秀的防火墻產(chǎn)品,制定合理的安全策略,內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到攻擊。但是需要指出的是,當(dāng)前流行的許多錯(cuò)誤概念和觀點(diǎn)經(jīng)常誤導(dǎo)用戶。那就是過分夸大某些產(chǎn)品的功能,認(rèn)為所有的網(wǎng)絡(luò)安全問題可以通過簡單地配置防火墻來達(dá)到。雖然當(dāng)單位將其網(wǎng)絡(luò)互聯(lián)時(shí),防火墻是網(wǎng)絡(luò)安全的重要一環(huán),但并非全部。許多危險(xiǎn)是在防火墻能力范圍之外的。
3 防火墻的結(jié)構(gòu)
3.1 包過濾性防火墻
說明:對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,并按照一定的安全策略對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。
優(yōu)點(diǎn):處理速度快、費(fèi)用低、對用戶透明。
缺點(diǎn):維護(hù)比較困難,只能阻止少部分IP欺騙,不支持有效地用戶認(rèn)證,日志功能有限。過濾規(guī)則增加會(huì)大大降低吞吐量,無法對信息提供全面控制。
3.2 雙宿網(wǎng)關(guān)防火墻
說明:由一臺至少裝有兩塊網(wǎng)卡的堡壘主機(jī)作為防火墻,位于內(nèi)外網(wǎng)絡(luò)之間,分別與內(nèi)外網(wǎng)絡(luò)相離,實(shí)現(xiàn)物理上的隔開。服務(wù)方式,一是用戶直接登錄到雙宿主機(jī)上,二是在雙宿主機(jī)運(yùn)行代理服務(wù)器。
優(yōu)點(diǎn):安全性比屏蔽路由器高。
缺點(diǎn):入侵者一旦得到雙宿主機(jī)的訪問權(quán),內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵,因此需要具有強(qiáng)大的身份認(rèn)證系統(tǒng),才能阻擋來自外部的不可信網(wǎng)絡(luò)的非法入侵。
3.3 屏蔽主機(jī)防火墻
說明:強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接,不讓他們直接與內(nèi)部主機(jī)相連接。它是由包過濾路由器和堡壘主機(jī)組成的。
優(yōu)點(diǎn):實(shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全,因此安全等級比屏蔽路由器要高。
缺點(diǎn):堡壘主機(jī)可能被繞過,堡壘主機(jī)與其他內(nèi)部主機(jī)之間沒有任何保護(hù)網(wǎng)絡(luò)安全的物質(zhì)存在,一旦被攻破,內(nèi)網(wǎng)就將完全暴露。
3.4 屏蔽子網(wǎng)防火墻
說明:用了兩個(gè)屏蔽路由器和一個(gè)堡壘主機(jī),也稱為“單DMZ”防火墻結(jié)構(gòu)。
優(yōu)點(diǎn):在定義了“非軍事區(qū)(DMZ)”網(wǎng)絡(luò)后,它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能,這也是最安全的防火墻系統(tǒng)。
缺點(diǎn):通常情況下的屏蔽子網(wǎng)防火墻比較小,處于internet
和內(nèi)部網(wǎng)絡(luò)之間。一般情況下,將其配置成使用internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)對其訪問會(huì)受限制的系統(tǒng),例如:堡壘主機(jī)、信息服務(wù)器、modem組以及其他公用服務(wù)器。
3.5 其他防火墻結(jié)構(gòu)
在實(shí)際應(yīng)用中,經(jīng)常在前四種基本結(jié)構(gòu)的基礎(chǔ)上進(jìn)行組合。
1)合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ結(jié)構(gòu)):由雙穴堡壘主機(jī)執(zhí)行原來外部路由器的功能,但會(huì)缺乏專用路由器的靈活性和性能,出了需注意保護(hù)堡壘主機(jī)外,與屏蔽子網(wǎng)防火墻結(jié)構(gòu)相比沒有明顯弱點(diǎn)。
2)合并內(nèi)部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ):這種結(jié)構(gòu)并不提倡,因?yàn)橐坏┍局鳈C(jī)被入侵,內(nèi)部網(wǎng)絡(luò)沒有安全保護(hù)。
3)合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu):只有當(dāng)擁有功能強(qiáng)大的路由器的時(shí)候,才考慮合并內(nèi)、外路由器。這種結(jié)構(gòu)與屏蔽主機(jī)結(jié)構(gòu)一樣,路由器容易受到傷害。
4)兩個(gè)堡壘主機(jī)和兩個(gè)非軍事結(jié)構(gòu):也就是使用兩臺雙穴主機(jī),設(shè)立兩個(gè)非軍事區(qū),從而將網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)、內(nèi)DMZ、外DMZ四個(gè)部分。通常將不是很機(jī)密的服務(wù)器放在內(nèi)DMZ網(wǎng)絡(luò)上,有機(jī)密信息的敏感主機(jī)放在內(nèi)部網(wǎng)絡(luò)中。另外值得一提的是,在這種結(jié)構(gòu)中,可以在外部DMZ放置一些公共信息服務(wù)主機(jī)(如FTP、WWW),而堡壘主機(jī)對這些主機(jī)不予信任,這類主機(jī)稱為“犧牲主機(jī)”。