防火墙系列连载之一—防火墙的基本概念
2007-11-11 07:04:03 来源:WEB开发网核心提示:一、 防火墙由于Internet的迅速发信息破坏的危险, 人们为了种保护装置,它保护的是数展, 提供了发布信息和检索信息保护其数据和资源的安全, 出现据、资源和用户的声誉,防火墙系列连载之一—防火墙的基本概念,的场所, 但它也带来了信息污染和了防火墙,防火墙从本质上说是一1. Internet防火墙防火墙原是建筑物大厦
一、 防火墙
由于Internet的迅速发 信息破坏的危险, 人们为了 种保护装置。它保护的是数 | 展, 提供了发布信息和检索信息 保护其数据和资源的安全, 出现 据、资源和用户的声誉。 | 的场所, 但它也带来了信息污染和 了防火墙。防火墙从本质上说是一 |
1. Internet防火墙 |
防火墙原是建筑物大厦 讲Internet防火墙服务也属 到你的网络内部。而事实上 护城河。它服务于多个目的 | 设计来防止火灾从大厦的一部分 于类似目的。它防止Internet上 Internet防火墙不象一座现代化 : | 传播到另一部分的设施。从理论上 的危险(病毒、资源盗用等)传播 大厦中的防火墙,更象北京故宫的 |
(1) 限制人们从一个特别的控制点进入; |
(2) 防止侵入者接近你的其它防御设施; |
(3) 限定人们从一个特别的点离开; |
(4) 有效的阻止破坏者对你的计算机系统进行破坏。 |
因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上 |
2.防火墙的优点 |
(1) 防火墙能强化安全策略 |
因为Internet上每天都 德不良的人,或违反规则的 的安全策略,仅仅容许“认 | 有上百万人在那里收集信息、交 人,防火墙是为了防止不良现象 可的”和符合规则的请求通过。 | 换信息,不可避免地会出现个别品 发生的“交通警察”,它执行站点 |
(2) 防火墙能有效地记录Internet上的活动 |
因为所有进出信息都必须通过防火墙 用的信息。作为访问的唯一点,防火墙能 | ,所以防火墙非常适用收集关于系统和网络使用和误 在被保护的网络和外部网络之间进行记录。 |
(3) 防火墙限制暴露用户点 |
防火墙能够用来隔开网络中一个网段 通过整个网络传播。 | 与另一个网段。这样,能够防止影响一个网段的问题 |
(4) 防火墙是一个安全策略的检查站 |
所有进出的信息都必须 绝于门外。 | 通过防火墙,防火墙便成为安全 | 问题的检查点,使可疑的访问被拒 |
3.防火墙的不足之处 |
上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在: |
(1) 不能防范恶意的知情者 |
防火墙可以禁止系统用户经过网络连 磁带上,放在公文包中带出去。如果入侵 户偷窃数据,破坏硬件和软件,并且巧妙 只能要求加强内部管理,如主机安全和用 | 接发送专有的信息,但用户可以将数据复制到磁盘、 者已经在防火墙内部,防火墙是无能为力的。内部用 地修改程序而不接近防火墙。对于来自知情者的威胁 户教育等。 |
(2) 不能防范不通过它的连接 |
防火墙能够有效地防止 ,如果站点允许对防火墙后 进行拨号入侵。 | 通过它进行传输信息,然而不能 面的内部系统进行拨号访问,那 | 防止不通过它而传输的信息。例如 么防火墙绝对没有办法阻止入侵者 |
(3) 不能防备全部的威胁 |
防火墙被用来防备已知 但没有一个防火墙能自动防 | 的威胁,如果是一个很好的防火 御所有的新的威胁。 | 墙设计方案,可以防备新的威胁, |
(4) 防火墙不能防范病毒 |
防火墙不能消除网络上的PC机的病毒。 |
二、 防火墙体系结构 |
目前,防火墙的体系结构一般有以下几种: |
(1) 双重宿主主机体系结构; |
(2) 被屏蔽主机体系结构; |
(3) 被屏蔽子网体系结构。 |
1. 双重宿主主机体系结构 |
双重宿主主机体系结构 网络接口。这样的主机可以 一个网络发送IP数据包。然 ,IP数据包从一个网络(例 的网络)。防火墙内部的系 能与双重宿主主机通信,但 | 是围绕具有双重宿主的主机计算 充当与这些接口相连的网络之间 而,实现双重宿主主机的防火墙 如,因特网)并不是直接发送到 统能与双重宿主主机通信,同时 是这些系统不能直接互相通信。 | 机而构筑的,该计算机至少有两个 的路由器;它能够从一个网络到另 体系结构禁止这种发送功能。因而 其它网络(例如,内部的、被保护 防火墙外部的系统(在因特网上) 它们之间的IP通信被完全阻止。 |
双重宿主主机的防火墙体系结构是相 到因特网和内部的网络。 | 当简单的:双重宿主主机位于两者之间,并且被连接 |
2. 屏蔽主机体系结构 |
双重宿主主机体系结构提供来自与多 主机体系结构使用一个单独的路由器提供 系结构中,主要的安全由数据包过滤,其 | 个网络相连的主机的服务(但是路由关闭),而被屏蔽 来自仅仅与内部的网络相连的主机的服务。在这种体 结构如图3所示。 |
在屏蔽的路由器上的数 能连接到内部网络上的系统 定类型的连接被允许。任何 机上。因此,堡垒主机需要 | 据包过滤是按这样一种方法设置 的桥梁(例如,传送进来的电子 外部的系统试图访问内部的系统 拥有高等级的安全。 | 的: 即堡垒主机是因特网上的主机 邮件)。即使这样,也仅有某些确 或者服务将必须连接到这台堡垒主 |
数据包过滤也允许堡垒 策略决定)到外部世界。 | 主机开放可允许的连接(什么是 | “可允许”将由用户的站点的安全 |
在屏蔽的路由器中数据包过滤配置可以按下列之一执行: |
•允许其它的内部主机为了某 据包过滤的服务)。 | 些服务与因特网上的主机连接(即允许那些已经由数 |
•不允许来自内 | 部主机的所有连接(强迫那些主 | 机经由堡垒主机使用代理服务)。 |
用户可以针对不同的服 而其它服务可以被允许仅仅 | 务混合使用这些手段;某些服务 间接地经过代理。这完全取决于 | 可以被允许直接经由数据包过滤, 用户实行的安全策略。 |
因为这种体系结构允许数据包从因特 包能到达内部网络的双重宿主主机体系结 体系结构在防备数据包从外部网络穿过内 出乎预料的,不大可能防备黑客侵袭)。 提供非常有限的服务组。多数情况下,被 有更好的安全性和可用性。 | 网向内部网的移动,所以,它的设计比没有外部数据 构似乎是更冒风险。话说回来,实际上双重宿主主机 部的网络也容易产生失败(因为这种失败类型是完全 进而言之,保卫路由器比保卫主机较易实现,因为它 屏蔽的主机体系结构提供比双重宿主主机体系结构具 |
然而,比较其它体系结 如果侵袭者没有办法侵入堡 络安全的东西存在的情况下 侵袭者是开放的。 | 构,如在下面要讨论的屏蔽子网 垒主机时,而且在堡垒主机和其 ,路由器同样出现一个单点失效 | 体系结构也有一些缺点。主要的是 余的内部主机之间没有任何保护网 。如果路由器被损害,整个网络对 |
更多精彩
赞助商链接