国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) > 防火墻的概念與技術(shù)說(shuō)明

防火墻的概念與技術(shù)說(shuō)明

時(shí)間: 若木635 分享

防火墻的概念與技術(shù)說(shuō)明

  隨著計(jì)算機(jī)技術(shù)應(yīng)用的普及,各個(gè)組織機(jī)構(gòu)的運(yùn)行越來(lái)越依賴和離不開計(jì)算機(jī),各種業(yè)務(wù)的運(yùn)行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。企業(yè)計(jì)算機(jī)系統(tǒng)作為信息化程度較高、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用情況比較先進(jìn)的一個(gè)特殊系統(tǒng),其業(yè)務(wù)也同樣地越來(lái)越依賴于計(jì)算機(jī)。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個(gè)重要話題。但是由于計(jì)算機(jī)系統(tǒng)的安全威脅,給組織機(jī)構(gòu)帶來(lái)了重大的經(jīng)濟(jì)損失,這種損失可分為直接損失和間接損失:直接損失是由此而帶來(lái)的經(jīng)濟(jì)損失,間接損失是由于安全而導(dǎo)致工作效率降低、機(jī)密情報(bào)數(shù)據(jù)泄露、系統(tǒng)不正常、修復(fù)系統(tǒng)而導(dǎo)致工作無(wú)法進(jìn)行等。間接損失往往是很難以數(shù)字來(lái)衡量的。在所有計(jì)算機(jī)安全威脅中,外部入侵和非法訪問(wèn)是最為嚴(yán)重的事。

  一、防火墻概念

  Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場(chǎng)所,但也帶來(lái)了信息污染和信息破壞的危險(xiǎn), 人們?yōu)榱吮Wo(hù)其數(shù)據(jù)和資源的安全,部署了防火墻。防火墻本質(zhì)上是一種保護(hù)裝置,它保護(hù)數(shù)據(jù)、資源和用戶的聲譽(yù)。

  防火墻原是設(shè)計(jì)用來(lái)防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講,Internet防火墻服務(wù)也有類似目的,它防止Internet(或外部網(wǎng)絡(luò))上的危險(xiǎn)(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。Internet(或外部網(wǎng)絡(luò))防火墻服務(wù)于多個(gè)目的:

  1、限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入;

  2、防止入侵者接近你的其它防御設(shè)施;

  3、限定人們從一個(gè)特別的點(diǎn)離開;

  4、有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

  防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)(或外部網(wǎng)絡(luò))的節(jié)點(diǎn)上。

  (一)防火墻的優(yōu)點(diǎn)

  1、防火墻能夠強(qiáng)化安全策略

  因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良,或違反規(guī)則的人,防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點(diǎn)的安全策略,僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。

  2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動(dòng)

  因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

  3、防火墻限制暴露用戶點(diǎn)

  防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段,這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。

  4、防火墻是一個(gè)安全策略的檢查站

  所有進(jìn)出的信息都必須通過(guò)防火墻,防火墻便成為安全問(wèn)題的檢查點(diǎn),使可疑的訪問(wèn)被拒絕于門外。

  (二)防火墻的不足

  防火墻的缺點(diǎn)主要表現(xiàn)在以下幾個(gè)方面。

  1、不能防范惡意的知情者

  防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息,但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部,防火墻是無(wú)能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù),破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅,只能要求加強(qiáng)內(nèi)部管理,如主機(jī)安全和用戶教育等。

  2、不能防范不通過(guò)它的連接

  防火墻能夠有效地防止通過(guò)它的傳輸信息,然而它卻不能防止不通過(guò)它而傳輸?shù)男畔?。例如,如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn),那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。

  3、不能防備全部的威脅

  防火墻被用來(lái)防備已知的威脅,如果是一個(gè)很好的防火墻設(shè)計(jì)方案,就可以防備新的威脅,但沒(méi)有一扇防火墻能自動(dòng)防御所有新的威脅。

  4、防火墻不能防范病毒

  防火墻一般不能消除網(wǎng)絡(luò)上的病毒。

  二、防火墻技術(shù)

  一提到網(wǎng)絡(luò)安全人們首先想到的是防火墻。防火墻系統(tǒng)針對(duì)的是來(lái)自系統(tǒng)外部的攻擊,一旦外部入侵者進(jìn)入了系統(tǒng),他們便不受任何阻擋。認(rèn)證手段也與此類似,一旦入侵者騙過(guò)了認(rèn)證系統(tǒng),便成為了內(nèi)部人員。

  防火墻的基本類型有:包過(guò)濾型、代理服務(wù)型和狀態(tài)包過(guò)濾型復(fù)合型。

  (一)包過(guò)濾型防火墻

  包過(guò)濾(Packet Filter)通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾是一種保安機(jī)制,它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。

  網(wǎng)絡(luò)中的應(yīng)用雖然很多,但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn),這種做法主要是因?yàn)榫W(wǎng)絡(luò)要為多個(gè)系統(tǒng)提供共享服務(wù)。例如,文件傳輸時(shí),必須將文件分割為小的數(shù)據(jù)包,每個(gè)數(shù)據(jù)包單獨(dú)傳輸。每個(gè)數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)(內(nèi)容),還包括源地址、目標(biāo)地址等。

  數(shù)據(jù)包是通過(guò)互聯(lián)網(wǎng)絡(luò)中的路由器,從源網(wǎng)絡(luò)到達(dá)目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處,然后路由器查詢自身的路由表,若有去往目的的路由,則將該包發(fā)送到下一個(gè)路由器或直接發(fā)往下一個(gè)網(wǎng)段;否則,將該包丟掉。與路由器不同的是,包過(guò)濾防火墻,除了判斷是否有到達(dá)目的網(wǎng)段的路由之外,還要根據(jù)一組包過(guò)濾規(guī)則決定是否將包轉(zhuǎn)發(fā)出去。

  1、工作機(jī)制

  包過(guò)濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)的是以下的判斷:

  對(duì)包的目的地址作出判斷

  對(duì)包的源地址作出判斷

  對(duì)包的傳送協(xié)議(端口號(hào))作出判斷

  一般地,在進(jìn)行包過(guò)濾判斷時(shí)不關(guān)心包的具體內(nèi)容。包過(guò)濾只能讓我們進(jìn)行類似以下情況的操作,比如:不讓任何工作站從外部網(wǎng)用Telnet登錄、允許任何工作站使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。

  但包過(guò)濾不能允許我們進(jìn)行如下的操作,如:允許用戶使用FTP,同時(shí)還限制用戶只可讀取文件不可寫入文件、允許某個(gè)用戶使用Telnet登錄而不允許其他用戶進(jìn)行這種操作。

  包過(guò)濾系統(tǒng)處于網(wǎng)絡(luò)的IP層和TCP層,而不是應(yīng)用層,所以它無(wú)法在應(yīng)用層的具體操作進(jìn)行任何過(guò)濾。以FTP為例,F(xiàn)TP文件傳輸協(xié)議應(yīng)用中包含許多具體的操作,如讀取操作、寫入操作、刪除操作等。再有,包過(guò)濾系統(tǒng)不能識(shí)別數(shù)據(jù)包中的用戶信息。

  2、性能特點(diǎn)

  因?yàn)榘^(guò)濾防火墻工作在IP和TCP層,所以處理包的速度要比代理服務(wù)型防火墻快

  提供透明的服務(wù),用戶不用改變客戶端程序

  因?yàn)橹簧婕暗絋CP層,所以與代理服務(wù)型防火墻相比,它提供的安全級(jí)別很低

  不支持用戶認(rèn)證,包中只有來(lái)自哪臺(tái)機(jī)器的信息卻不包含來(lái)自哪個(gè)用戶的信息

  不提供日志功能

  包過(guò)濾防火墻的典型代表是早期的CISCO PIX防火墻。

  (二)代理服務(wù)型防火墻

  代理服務(wù)(Proxy Service)系統(tǒng)一般安裝并運(yùn)行在雙宿主機(jī)上。雙宿主機(jī)是一個(gè)被取消路由功能的主機(jī),與雙宿主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)?。這與包過(guò)濾防火墻明顯不同,就邏輯拓?fù)涠?,代理服?wù)型防火墻要比包過(guò)濾型更安全。

  由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的,所以要實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層,代理系統(tǒng)是客戶機(jī)和真實(shí)服務(wù)器之間的中介,代理系統(tǒng)完全控制客戶機(jī)和真實(shí)服務(wù)器之間的流量,并對(duì)流量情況加以記錄。目前,代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過(guò)濾功能。

  1、工作機(jī)制

  代理服務(wù)型防火墻按如下標(biāo)準(zhǔn)步驟對(duì)接收的數(shù)據(jù)包進(jìn)行處理:

  接收數(shù)據(jù)包

  檢查源地址和目標(biāo)地址

  檢查請(qǐng)求類型

  調(diào)用相應(yīng)的程序

  對(duì)請(qǐng)求進(jìn)行處理

  下面,我們以一個(gè)外部網(wǎng)絡(luò)的用戶通過(guò)Telnet訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)為例,詳細(xì)介紹這些標(biāo)準(zhǔn)步驟。

  接收數(shù)據(jù)包

  外部網(wǎng)絡(luò)的路由器將外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)資源的請(qǐng)求路由至防火墻的外部網(wǎng)卡。同樣,內(nèi)部網(wǎng)絡(luò)中的主機(jī)通過(guò)內(nèi)部網(wǎng)絡(luò)中的路由選擇信息將對(duì)外部網(wǎng)絡(luò)資源的請(qǐng)求路由至防火墻的內(nèi)部網(wǎng)卡。

  在本例中,當(dāng)外部網(wǎng)絡(luò)用戶通過(guò)Telnet請(qǐng)求對(duì)內(nèi)部網(wǎng)絡(luò)中的主機(jī)進(jìn)行訪問(wèn)時(shí),路由信息將該請(qǐng)求傳送至防火墻的外部網(wǎng)卡上。

  檢查源地址和目標(biāo)地址

  一旦防火墻接收到數(shù)據(jù)包,它必須確定如何處理該數(shù)據(jù)包。首先,防火墻檢查數(shù)據(jù)包中的源地址并確定該包是由哪塊網(wǎng)卡接收的。這樣做是為了確定數(shù)據(jù)包是否有IP地址欺騙的行為,例如,如果發(fā)現(xiàn)從外部網(wǎng)卡接收的一個(gè)數(shù)據(jù)包中的源地址屬于內(nèi)部網(wǎng)絡(luò)的地址范圍,則表明這是地址欺騙行為,防火墻將拒絕繼續(xù)對(duì)該包進(jìn)行處理并將此事件記錄到日志中。

  接下來(lái),防火墻對(duì)包中的目標(biāo)地址進(jìn)行檢查并確定是否需要對(duì)該包做進(jìn)一步處理。這一點(diǎn)與包過(guò)濾類似,即檢查是否允許對(duì)目標(biāo)地址進(jìn)行訪問(wèn)。

  本例中,Telnet的目標(biāo)地址是內(nèi)部網(wǎng)絡(luò)的某臺(tái)主機(jī),防火墻是通過(guò)外部網(wǎng)卡收到該Telnet請(qǐng)求的,且發(fā)現(xiàn)請(qǐng)求包中沒(méi)有地址欺騙行為,防火墻接收了該數(shù)據(jù)包。

  檢查請(qǐng)求類型

  防火墻檢查數(shù)據(jù)包的內(nèi)容(請(qǐng)求的服務(wù)端口號(hào))并對(duì)照防火墻中已配置好的各種規(guī)則,以便確定是否向數(shù)據(jù)包提供相應(yīng)的服務(wù)。如果防火墻對(duì)所請(qǐng)求的端口號(hào)不提供服務(wù),則將這一企圖作為潛在的威脅記錄下來(lái)并拒絕該請(qǐng)求。

  本例中,數(shù)據(jù)包的內(nèi)容表明請(qǐng)求服務(wù)是Telnet,即請(qǐng)求端口號(hào)為23且防火墻的配置規(guī)則是支持這類請(qǐng)求的服務(wù)。

  調(diào)用相應(yīng)的程序

  由于防火墻對(duì)所請(qǐng)求的服務(wù)提供支持,所以防火墻利用其他配置信息將該服務(wù)請(qǐng)求傳送至相應(yīng)的代理服務(wù)。

  本例中,防火墻將Telnet請(qǐng)求傳送給Telnet代理進(jìn)行處理。

  對(duì)請(qǐng)求進(jìn)行處理

  現(xiàn)在代理服務(wù)以目的主機(jī)的身份并采用與應(yīng)用請(qǐng)求相同的協(xié)議對(duì)請(qǐng)求進(jìn)行響應(yīng)。應(yīng)用請(qǐng)求方認(rèn)為它是與目標(biāo)主機(jī)進(jìn)行對(duì)話。

  然后,代理服務(wù)通過(guò)另一塊網(wǎng)卡以自己真實(shí)的身份代替客戶方,向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求。如果應(yīng)用請(qǐng)求成功,則表明客戶端至目標(biāo)主機(jī)之間的應(yīng)用連接成功地建立了。注意,與包過(guò)濾防火墻不同,代理服務(wù)型防火墻是通過(guò)兩次連接實(shí)現(xiàn)客戶機(jī)至目標(biāo)主機(jī)之間的連接的,即客戶機(jī)至防火墻、防火墻至目標(biāo)主機(jī)。

  另外,通過(guò)對(duì)防火墻進(jìn)行適當(dāng)?shù)呐渲茫梢栽诜阑饓μ婵蛻魴C(jī)向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求之前對(duì)客戶方進(jìn)行身份驗(yàn)證。驗(yàn)證方法包括SecureID、S/Key、RADIUS等。

  本例中,客戶方現(xiàn)與防火墻建立Telnet連接,然后防火墻立即向客戶方發(fā)出身份驗(yàn)證要求。若驗(yàn)證通過(guò),則防火墻替客戶方向目標(biāo)主機(jī)發(fā)送應(yīng)用請(qǐng)求;否則,防火墻斷開它與客戶方已建立的連接。

  2、性能特點(diǎn)

  提供的安全級(jí)別高于包過(guò)濾型防火墻

  代理服務(wù)型防火墻可以配置成唯一的可被外部看見(jiàn)的主機(jī)以保護(hù)內(nèi)部主機(jī)免受外部攻擊

  可以強(qiáng)制執(zhí)行用戶認(rèn)證

  代理工作在客戶機(jī)和真實(shí)服務(wù)器之間,完全控制會(huì)話,所以能提供較詳細(xì)的審計(jì)日志

  代理的速度比包過(guò)濾慢

  代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。

  隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展,不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展,基于上下文的動(dòng)態(tài)包過(guò)濾防火墻就是對(duì)傳統(tǒng)的包過(guò)濾型和代理服務(wù)型防火墻進(jìn)行了技術(shù)更新。

132290