« | August 2025 | » | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | | | | | |
| 公告 |
戒除浮躁,读好书,交益友 |
Blog信息 |
blog名称:邢红瑞的blog 日志总数:523 评论数量:1142 留言数量:0 访问次数:9692780 建立时间:2004年12月20日 |

| |
[UTM]浅谈防火墙 原创空间, 软件技术, 电脑与网络
邢红瑞 发表于 2006/6/22 11:05:44 |
Internet的设计本身毫无安全性可言,人们着眼于如何将入侵者阻挡在机构的网络之外。防火墙因此诞生了,指的是隔离在本地网络与外界网络之间的一道防御系统,可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、通过限制网络互相访问来保护内部网络。一个防火墙是一个软件和硬件的组合,它决定什么样的信息可以被允许通过某一个网络。防火墙通常和路由器结合使用以在不同的网络之间建立安全边界。以下我们介绍几种常见的防火墙类型。1 包过滤防火墙包过滤防火墙检查每一个通过它的网络包头,并根据包头中的信息来决定是否允许这个包的转发。包过滤防火墙的功能十分有限,因为它不会去检查应用层的信息,也不会去跟踪信息交换的状态。但功能简单的特性同时也决定了它是所有防火墙技术中性能最好的。在实际应用中,包过滤防火墙常常会改变包头中的地址信息从而使转发的包看起来像是来自于不同的计算机。这种改变技术叫做网络地址转换(NAT),这种方法可以用来对不信任的网络隐藏本地网络的配置信息。2 链路型防火墙链路型防火墙只转发连接请求包和已经建立的连接的包。这种防火墙跟踪每一个信息交换连接的状态,并根据预设的安全策略来决定哪些连接是被允许的。它比包过滤防火墙要复杂,也常常和NAT技术结合使用。3 应用层防火墙这种防火墙检查所有网络包的内容并且工作在OSI七层协议模型的应用层。在这种防火墙看来,它接受和转发的不是单个的网络包而是完整的信息流。它会将网络上传递的信息完整地提取出来,然后根据预设的安全策略来决定是否转发,或者是否更改后转发。应用层防火墙通常以具备特殊用途的软件形式出现,并且常常使用代理服务器模式而不允许网络信息直接通过。有些企业级的病毒防火墙也是应用层防火墙的实现。应用层防火墙通常具有很强的日志记录和审计功能,所以它们可以和入侵检测系统结合使用来提供攻击行为的纪录。应用层防火墙的功能最复杂,性能开销也最大。有关日志记录和审计的I/O能力对应用层防火墙来说至关重要。4 动态包过滤防火墙除了安全策略设置外,动态包过滤防火墙使用一个数据库来决定是否允许信息通过。它会记录发出的包的特性,以便核对接收到的包是否能与合理的连接请求过程吻合。这种防火墙能够有效地抵御端口扫描。典型的防火墙应该具有以下三个方面的基本特性:1 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。 防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。2 只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。最早的防火墙是具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。 |
|
|