随着网络技术的发展,因特网已经走进千家万户。因而,网络的安全将成为人们最为关注的问题。目前,保护内部网免遭外部入侵的比较有效的方法为防火墙技术。
防火墙的基本概念
防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略。
一个有效的防火墙应该能够确保:所有从因特网流入或流向因特网的信息都将经过防火墙;所有流经防火墙的信息都应接受检查。
因特网防火墙的功能为:通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,应做日志登记;提供网络地址转换(NAT)功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶须,以使费用的耗费满足企业内部财政模式;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
防火墙的分类、作用
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(Proxy Service)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且代理服务器提供日志(Log)和审计(Audit)服务。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机(Bastion Host)提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙(Dual-Homed Host Firewall),它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙( Sceened HOst Firewall)是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器(Encryption Router),加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
| 共3页: 1 [2] [3] 下一页 | |||||
|
