添加33字节、
2013年5月5日 (日) 08:03 以下行是添加(+)和删除(-)的内容:
2.3.6 防火墙技术(Fire Wall) 防火墙技术,是保护内部网络系统不受外部侵犯的最主要技术之一。在Internet中防火墙技术是指在企业内部网络(Intranet)和外部网络(Internet)之间设置一个或多个电子屏障来提供网络安全环境。其目的是阻止对企业内部网络信息资源的非法访问;也可以使用防火墙阻止内部信息从公司的网络上被非法窃取。 2.3.6 防火墙技术(Fire Wall) 防火墙可以是一套用于安全控制的软件系统,也可以是固化有安全控制软件的硬件设备。 防火墙技术是保护内部网络系统不受外部侵犯的最主要技术之一。在Internet中防火墙技术是指在企业内部网络(Intranet)和外部网络(Internet)之间设置一个或多个电子屏障来提供网络安全环境。其目的是阻止对企业内部网络信息资源的非法访问;也可以使用防火墙阻止内部信息从公司的网络上被非法窃取。 防火墙可以是一套用于安全控制的软件系统,也可以是固化有安全控制软件的硬件设备。 防火墙主要有以下功能: 防火墙主要有以下功能:1)保护易受攻击的服务。防火墙能过滤那些不安全的服务(如Finger,NFS等)。只有预先被允许的服务才能通过防火墙,防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。这样就降降低了受到非法攻击的危险,大大提高了网络的安全性。# '''保护易受攻击的服务''' 防火墙能过滤那些不安全的服务(如Finger,NFS等)。只有预先被允许的服务才能通过防火墙,防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。这样就降降低了受到非法攻击的危险,大大提高了网络的安全性。# '''控制对特殊网站的访问''' 这是防火墙最基本的功能。如有些主机允许被外部网络访问,而有些则要被保护起来,防止不必要的访问。例如,在内联网中通常只有E-Mail服务器、FTP服务器和www服务器允许被外部网访问,而对内部网络的其他主机的访问则被禁止。# '''集中化的安全管理''' 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。# '''对网络存取访问进行记录和监测''' 将防火墙系统作为企业内部网络与外部网络连接的唯一通道,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的告警,并提供网络是否受到监测和攻击的详细信息。 2)控制对特殊网站的访问。这是防火墙最基本的功能。如有些主机允许被外部网络访问,而有些则要被保护起来,防止不必要的访问。例如,在内联网中通常只有E-Mail服务器、FTP服务器和www服务器允许被外部网访问,而对内部网络的其他主机的访问则被禁止。 一般讲,企业内联网常采用局域网技术,外部网络常为广域网,用路由器来互连内联网和外部网络,因此路由器所在的位置也应是防火墙的位置;有时,路由器中也集成了防火墙的功能。 3)集中化的安全管理。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。 4)对网络存取访问进行记录和监测。将防火墙系统作为企业内部网络与外部网络连接的唯一通道,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的告警,并提供网络是否受到监测和攻击的详细信息。 一般讲,企业内联网常采用局域网技术,外部网络常为广域网,用路由器来互连内联网和外部网络,因此路由器所在的位置也应是防火墙的位置;有时,路由器中也集成了防火墙的功能。(见图2-13)。 根据防火墙所采用的技术不同,可以将它分为两种基本类型:包过滤型、代理型。 根据防火墙所采用的技术不同,可以将它分为两种基本类型:包过滤型、代理型。 1)包过滤型防火墙 包过滤型是目前使用最为广泛的防火墙,其原理很简单:根据数据包的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过,满足过滤逻辑的数据包才被转发,否则丢弃。 包过滤软件通常集成到路由器上,允许用户根据某种安全策略进行设置。提供包过滤功能的路由器可以通过分析IP地址和端口号来决定是否转发一个分组。例如:可以建立一个对应端口号为23的防火墙过滤器来阻止向内部计算机上发送远程登录分组;建立一个对应端口号为21的防火墙过滤器来阻止外部用户向内部计算机发送文件传输分组(FTP)等。 基于分组过滤的防火墙的安全性依赖于用户制定的安全策略,用户可以按照两种策略来设置系统:“不允许的就是禁止的”和“不禁止的就是允许的”。 包过滤技术的优点是简单实用,实现成本较低,在应付环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 2)代理型防火墙 代理型防火墙也可以称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机看,代理服务器相当于一台真正的服务器:而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器,如FTP代理服务器、TELNET代理服务器等。 目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。 代理型防火墙的工作过程如图2-14所示,标号表示服务的顺序。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用层安全逐一进行设置,大大增加了系统管理的复杂性。1)包过滤型防火墙上述防火墙类型的不同组合,可以形成各种不同的防火墙应用系统,如单一包过滤防火墙系统、双宿主网关防火墙系统、主机过滤防火墙系统和子网过滤防火墙系统等,网络管理员应遵循既能保护内部网络的安全而又不影响网络使用的原则,选择适用于自己网络需求的防火墙配置。 包过滤型防火墙,是目前使用最为广泛的防火墙,其原理很简单:根据数据包的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过,满足过滤逻辑的数据包才被转发,否则丢弃。 包过滤软件通常集成到路由器上,允许用户根据某种安全策略进行设置。提供包过滤功能的路由器可以通过分析IP地址和端口号来决定是否转发一个分组。例如:可以建立一个对应端口号为23的防火墙过滤器来阻止向内部计算机上发送远程登录分组;建立一个对应端口号为21的防火墙过滤器来阻止外部用户向内部计算机发送文件传输分组(FTP)等。 基于分组过滤的防火墙的安全性依赖于用户制定的安全策略,用户可以按照两种策略来设置系统:“不允许的就是禁止的”和“不禁止的就是允许的”。 包过滤技术的优点是简单实用,实现成本较低,在应付环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 2)代理型防火墙 代理型防火墙,也可称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机看,代理服务器相当于一台真正的服务器:而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器,如FTP代理服务器、TELNET代理服务器等。 目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。 [[文件:94407.gif|center|代理型防火墙工作过程 图示]]<br><center>代理型防火墙工作过程 图示</center> 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用层安全逐一进行设置,大大增加了系统管理的复杂性。 上述防火墙类型的不同组合,可以形成各种不同的防火墙应用系统,如单一包过滤防火墙系统、双宿主网关防火墙系统、主机过滤防火墙系统和子网过滤防火墙系统等,网络管理员应遵循既能保护内部网络的安全而又不影响网络使用的原则,选择适用于自己网络需求的防火墙配置。