教你Internet防火墙的技术 -pc6资讯

您的位置：首页 → 资讯 → 教你一招 → 教你Internet防火墙的技术

教你Internet防火墙的技术 时间：2009/12/5 11:03:00来源：本站整理作者：我要评论(0)

本篇教你Internet防火墙的技术：

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的?1.6?亿美元上升到今年的9.8亿美元。?

为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。?

2. Internet防火墙技术简介?

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:?

1)限定人们从一个特定的控制点进入;?

2)限定人们从一个特定的点离开;?

3)防止侵入者接近你的其他防御设施;?

4)有效地阻止破坏者对你的计算机系统进行破坏。?

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾。

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:?

●过滤进、出网络的数据;?

●管理进、出网络的访问行为;?

●封堵某些禁止行为;?

●记录通过防火墙的信息内容和活动;?

●对网络攻击进行检测和告警。?

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。?

3. 基于路由器的防火墙?

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:?

1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对组的过滤;?

2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;?

3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

三、应用网关技术

应用网关技术弥补网络层报文过滤防火墙的不足．应用网关防火墙是在应用层实现的。它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其它网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

应用网关防火墙有多种实现方法。代管型防火墙把一些不安全的服务，如：Telnet、FTP等，移放到防火墙主机上，使防火墙同时充当服务器，回应来自外部网络的服务请求；另一方面，当内部网络需要访问外部网络时，必须先登录到防火墙上，再向外发送请求。

应用代理网关类型的防火墙把内部网络与外部网络之间的联接一分为二：内部网络到代理防火墙的联接以及代理防火墙到外部网络的联接，其通信流程如下图所示：

应用代理网关程序运作于应用层，它可以设置用户身份认证要求，能够收集用户的注册信息、网络联接状况等状态信息，从而提供更有效的安全检测和更有价值的日志记录。

代理主要分为两类，一个是插件(Plug)式的代理，一种是通用型代理。插件式代理需要为每一种网络服务提供一个专门的驱动程序，其优点是可以为每一种服务定制安全规则，安全性能较好，而且管理员可以掌握系统目前提供服务的详细清单，不会存在可供利用而管理员注意力不集中的情况；缺点是比较烦琐，每增加一类服务，需要增加相应的代理插件，因此往往滞后。通用型代理(典型的有SOCKS)适用于多个协议，但是它不能解释协议，不能针对各个协议分别指定安全规则。

此外还有提供地址转换功能、提供安全的IP隧道等多种形式的应用网关防火墙。一般来说，应用网关防火墙由于要对数据报文进行拆包重组，引入较大延迟。

应用网关防火墙在网络拓扑上常常采取双穴主机网关形式。双穴主机不提供IP转发功能，它有两块网卡（NIC），分别与内、外部网络相连，两块网卡之间通过特殊的方式通信。双穴主机可以识别数据报文来自哪一块网卡，外部主机无法盗用内部网络的IP地址。但其弱点类似于堡垒主机，内部网络的安全程度依赖于单个主机的坚固程度，只是双网卡之间的通信方式会增加入侵的难度。有些三穴主机网关，各块网卡之间禁止IP路由，而以自定义的方式通信，并且其间通信的安全控制策略可以分别设置，这种方式也提供一个DMZ区。

四、结束语

实际上，构建防火墙很少采取单一技术和形式，而大多根据单位网络的特点和安全需求，结合使用多种技术和形式，如上面提到的壁垒主机和屏蔽子网，又如使用多个壁垒主机等。

如果把Web服务器放置在DMZ区。只允许其以特定的方式与位于内部网络的数据库服务器进行交互，比如Web服务器只能通过某个触发器程序访问数据库，而不是对它开放所有的SQL操作，这样即使Web服务器被侵入，入侵者还是无法随意操作数据库。

相关视频

microsoft edge防火墙在哪里设置

文章评论

查看所有0条评论>>