六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 > 防火墻的概念與技術(shù)說明

防火墻的概念與技術(shù)說明

時間: 若木635 分享

防火墻的概念與技術(shù)說明

  隨著計算機(jī)技術(shù)應(yīng)用的普及,各個組織機(jī)構(gòu)的運(yùn)行越來越依賴和離不開計算機(jī),各種業(yè)務(wù)的運(yùn)行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。企業(yè)計算機(jī)系統(tǒng)作為信息化程度較高、計算機(jī)網(wǎng)絡(luò)應(yīng)用情況比較先進(jìn)的一個特殊系統(tǒng),其業(yè)務(wù)也同樣地越來越依賴于計算機(jī)。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個重要話題。但是由于計算機(jī)系統(tǒng)的安全威脅,給組織機(jī)構(gòu)帶來了重大的經(jīng)濟(jì)損失,這種損失可分為直接損失和間接損失:直接損失是由此而帶來的經(jīng)濟(jì)損失,間接損失是由于安全而導(dǎo)致工作效率降低、機(jī)密情報數(shù)據(jù)泄露、系統(tǒng)不正常、修復(fù)系統(tǒng)而導(dǎo)致工作無法進(jìn)行等。間接損失往往是很難以數(shù)字來衡量的。在所有計算機(jī)安全威脅中,外部入侵和非法訪問是最為嚴(yán)重的事。

  一、防火墻概念

  Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場所,但也帶來了信息污染和信息破壞的危險, 人們?yōu)榱吮Wo(hù)其數(shù)據(jù)和資源的安全,部署了防火墻。防火墻本質(zhì)上是一種保護(hù)裝置,它保護(hù)數(shù)據(jù)、資源和用戶的聲譽(yù)。

  防火墻原是設(shè)計用來防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講,Internet防火墻服務(wù)也有類似目的,它防止Internet(或外部網(wǎng)絡(luò))上的危險(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。Internet(或外部網(wǎng)絡(luò))防火墻服務(wù)于多個目的:

  1、限制人們從一個特別的控制點(diǎn)進(jìn)入;

  2、防止入侵者接近你的其它防御設(shè)施;

  3、限定人們從一個特別的點(diǎn)離開;

  4、有效地阻止破壞者對你的計算機(jī)系統(tǒng)進(jìn)行破壞。

  防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)(或外部網(wǎng)絡(luò))的節(jié)點(diǎn)上。

  (一)防火墻的優(yōu)點(diǎn)

  1、防火墻能夠強(qiáng)化安全策略

  因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良,或違反規(guī)則的人,防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。

  2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動

  因為所有進(jìn)出信息都必須通過防火墻,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

  3、防火墻限制暴露用戶點(diǎn)

  防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段,這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進(jìn)行傳播。

  4、防火墻是一個安全策略的檢查站

  所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕于門外。

  (二)防火墻的不足

  防火墻的缺點(diǎn)主要表現(xiàn)在以下幾個方面。

  1、不能防范惡意的知情者

  防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息,但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部,防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù),破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅,只能要求加強(qiáng)內(nèi)部管理,如主機(jī)安全和用戶教育等。

  2、不能防范不通過它的連接

  防火墻能夠有效地防止通過它的傳輸信息,然而它卻不能防止不通過它而傳輸?shù)男畔?。例如,如果站點(diǎn)允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問,那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號入侵。

  3、不能防備全部的威脅

  防火墻被用來防備已知的威脅,如果是一個很好的防火墻設(shè)計方案,就可以防備新的威脅,但沒有一扇防火墻能自動防御所有新的威脅。

  4、防火墻不能防范病毒

  防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

  二、防火墻技術(shù)

  一提到網(wǎng)絡(luò)安全人們首先想到的是防火墻。防火墻系統(tǒng)針對的是來自系統(tǒng)外部的攻擊,一旦外部入侵者進(jìn)入了系統(tǒng),他們便不受任何阻擋。認(rèn)證手段也與此類似,一旦入侵者騙過了認(rèn)證系統(tǒng),便成為了內(nèi)部人員。

  防火墻的基本類型有:包過濾型、代理服務(wù)型和狀態(tài)包過濾型復(fù)合型。

  (一)包過濾型防火墻

  包過濾(Packet Filter)通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種保安機(jī)制,它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。

  網(wǎng)絡(luò)中的應(yīng)用雖然很多,但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn),這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。例如,文件傳輸時,必須將文件分割為小的數(shù)據(jù)包,每個數(shù)據(jù)包單獨(dú)傳輸。每個數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)(內(nèi)容),還包括源地址、目標(biāo)地址等。

  數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器,從源網(wǎng)絡(luò)到達(dá)目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處,然后路由器查詢自身的路由表,若有去往目的的路由,則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段;否則,將該包丟掉。與路由器不同的是,包過濾防火墻,除了判斷是否有到達(dá)目的網(wǎng)段的路由之外,還要根據(jù)一組包過濾規(guī)則決定是否將包轉(zhuǎn)發(fā)出去。

  1、工作機(jī)制

  包過濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)的是以下的判斷:

  對包的目的地址作出判斷

  對包的源地址作出判斷

  對包的傳送協(xié)議(端口號)作出判斷

  一般地,在進(jìn)行包過濾判斷時不關(guān)心包的具體內(nèi)容。包過濾只能讓我們進(jìn)行類似以下情況的操作,比如:不讓任何工作站從外部網(wǎng)用Telnet登錄、允許任何工作站使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。

  但包過濾不能允許我們進(jìn)行如下的操作,如:允許用戶使用FTP,同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用Telnet登錄而不允許其他用戶進(jìn)行這種操作。

  包過濾系統(tǒng)處于網(wǎng)絡(luò)的IP層和TCP層,而不是應(yīng)用層,所以它無法在應(yīng)用層的具體操作進(jìn)行任何過濾。以FTP為例,F(xiàn)TP文件傳輸協(xié)議應(yīng)用中包含許多具體的操作,如讀取操作、寫入操作、刪除操作等。再有,包過濾系統(tǒng)不能識別數(shù)據(jù)包中的用戶信息。

  2、性能特點(diǎn)

  因為包過濾防火墻工作在IP和TCP層,所以處理包的速度要比代理服務(wù)型防火墻快

  提供透明的服務(wù),用戶不用改變客戶端程序

  因為只涉及到TCP層,所以與代理服務(wù)型防火墻相比,它提供的安全級別很低

  不支持用戶認(rèn)證,包中只有來自哪臺機(jī)器的信息卻不包含來自哪個用戶的信息

  不提供日志功能

  包過濾防火墻的典型代表是早期的CISCO PIX防火墻。

  (二)代理服務(wù)型防火墻

  代理服務(wù)(Proxy Service)系統(tǒng)一般安裝并運(yùn)行在雙宿主機(jī)上。雙宿主機(jī)是一個被取消路由功能的主機(jī),與雙宿主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)洹_@與包過濾防火墻明顯不同,就邏輯拓?fù)涠?,代理服?wù)型防火墻要比包過濾型更安全。

  由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的,所以要實現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層,代理系統(tǒng)是客戶機(jī)和真實服務(wù)器之間的中介,代理系統(tǒng)完全控制客戶機(jī)和真實服務(wù)器之間的流量,并對流量情況加以記錄。目前,代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過濾功能。

  1、工作機(jī)制

  代理服務(wù)型防火墻按如下標(biāo)準(zhǔn)步驟對接收的數(shù)據(jù)包進(jìn)行處理:

  接收數(shù)據(jù)包

  檢查源地址和目標(biāo)地址

  檢查請求類型

  調(diào)用相應(yīng)的程序

  對請求進(jìn)行處理

  下面,我們以一個外部網(wǎng)絡(luò)的用戶通過Telnet訪問內(nèi)部網(wǎng)絡(luò)中的主機(jī)為例,詳細(xì)介紹這些標(biāo)準(zhǔn)步驟。

  接收數(shù)據(jù)包

  外部網(wǎng)絡(luò)的路由器將外部網(wǎng)絡(luò)主機(jī)對內(nèi)部網(wǎng)絡(luò)資源的請求路由至防火墻的外部網(wǎng)卡。同樣,內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過內(nèi)部網(wǎng)絡(luò)中的路由選擇信息將對外部網(wǎng)絡(luò)資源的請求路由至防火墻的內(nèi)部網(wǎng)卡。

  在本例中,當(dāng)外部網(wǎng)絡(luò)用戶通過Telnet請求對內(nèi)部網(wǎng)絡(luò)中的主機(jī)進(jìn)行訪問時,路由信息將該請求傳送至防火墻的外部網(wǎng)卡上。

  檢查源地址和目標(biāo)地址

  一旦防火墻接收到數(shù)據(jù)包,它必須確定如何處理該數(shù)據(jù)包。首先,防火墻檢查數(shù)據(jù)包中的源地址并確定該包是由哪塊網(wǎng)卡接收的。這樣做是為了確定數(shù)據(jù)包是否有IP地址欺騙的行為,例如,如果發(fā)現(xiàn)從外部網(wǎng)卡接收的一個數(shù)據(jù)包中的源地址屬于內(nèi)部網(wǎng)絡(luò)的地址范圍,則表明這是地址欺騙行為,防火墻將拒絕繼續(xù)對該包進(jìn)行處理并將此事件記錄到日志中。

  接下來,防火墻對包中的目標(biāo)地址進(jìn)行檢查并確定是否需要對該包做進(jìn)一步處理。這一點(diǎn)與包過濾類似,即檢查是否允許對目標(biāo)地址進(jìn)行訪問。

  本例中,Telnet的目標(biāo)地址是內(nèi)部網(wǎng)絡(luò)的某臺主機(jī),防火墻是通過外部網(wǎng)卡收到該Telnet請求的,且發(fā)現(xiàn)請求包中沒有地址欺騙行為,防火墻接收了該數(shù)據(jù)包。

  檢查請求類型

  防火墻檢查數(shù)據(jù)包的內(nèi)容(請求的服務(wù)端口號)并對照防火墻中已配置好的各種規(guī)則,以便確定是否向數(shù)據(jù)包提供相應(yīng)的服務(wù)。如果防火墻對所請求的端口號不提供服務(wù),則將這一企圖作為潛在的威脅記錄下來并拒絕該請求。

  本例中,數(shù)據(jù)包的內(nèi)容表明請求服務(wù)是Telnet,即請求端口號為23且防火墻的配置規(guī)則是支持這類請求的服務(wù)。

  調(diào)用相應(yīng)的程序

  由于防火墻對所請求的服務(wù)提供支持,所以防火墻利用其他配置信息將該服務(wù)請求傳送至相應(yīng)的代理服務(wù)。

  本例中,防火墻將Telnet請求傳送給Telnet代理進(jìn)行處理。

  對請求進(jìn)行處理

  現(xiàn)在代理服務(wù)以目的主機(jī)的身份并采用與應(yīng)用請求相同的協(xié)議對請求進(jìn)行響應(yīng)。應(yīng)用請求方認(rèn)為它是與目標(biāo)主機(jī)進(jìn)行對話。

  然后,代理服務(wù)通過另一塊網(wǎng)卡以自己真實的身份代替客戶方,向目標(biāo)主機(jī)發(fā)送應(yīng)用請求。如果應(yīng)用請求成功,則表明客戶端至目標(biāo)主機(jī)之間的應(yīng)用連接成功地建立了。注意,與包過濾防火墻不同,代理服務(wù)型防火墻是通過兩次連接實現(xiàn)客戶機(jī)至目標(biāo)主機(jī)之間的連接的,即客戶機(jī)至防火墻、防火墻至目標(biāo)主機(jī)。

  另外,通過對防火墻進(jìn)行適當(dāng)?shù)呐渲?,可以在防火墻替客戶機(jī)向目標(biāo)主機(jī)發(fā)送應(yīng)用請求之前對客戶方進(jìn)行身份驗證。驗證方法包括SecureID、S/Key、RADIUS等。

  本例中,客戶方現(xiàn)與防火墻建立Telnet連接,然后防火墻立即向客戶方發(fā)出身份驗證要求。若驗證通過,則防火墻替客戶方向目標(biāo)主機(jī)發(fā)送應(yīng)用請求;否則,防火墻斷開它與客戶方已建立的連接。

  2、性能特點(diǎn)

  提供的安全級別高于包過濾型防火墻

  代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機(jī)以保護(hù)內(nèi)部主機(jī)免受外部攻擊

  可以強(qiáng)制執(zhí)行用戶認(rèn)證

  代理工作在客戶機(jī)和真實服務(wù)器之間,完全控制會話,所以能提供較詳細(xì)的審計日志

  代理的速度比包過濾慢

  代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。

  隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展,不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展,基于上下文的動態(tài)包過濾防火墻就是對傳統(tǒng)的包過濾型和代理服務(wù)型防火墻進(jìn)行了技術(shù)更新。

132290