WEB开发网
开发学院网络安全防火墙 防火墙路由、专业防火墙应用对比分析 阅读

防火墙路由、专业防火墙应用对比分析

 2007-07-23 12:46:21 来源:WEB开发网   
核心提示:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!一、两种设备产生和存在的背景不同1、两种设备产生的根源不同路由器的产生是基于对网络数据包路由而产生的,防火墙路由、专业防火墙应用对比分析,路由器需要完成的是将不同网络的数据

用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

一、两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。

防火墙根本的的目的是:保证任何非允许的数据包“不通”。

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。

针对现在的配置,存在的安全脆弱性如下:

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)

存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测 TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。

1 2 3  下一页

Tags:防火墙 路由 专业

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接