網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體�����,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機����、存儲資源��、數據資源、信息資源、知識資源�、專家資源����、大型數據庫��、網絡��、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。
防火墻能增強機構內部網絡的安全性���。防火墻系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身也必須能夠免于滲透�����。
防火墻的五大功能
一般來說��,防火墻具有以下幾種功能:
1.允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡���。
2.可以很方便地監視網絡的安全性�,并報警���。
3.可以作為部署NAT(Network Address Translation����,網絡地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題�����。
4.是審計和記錄Internet使用費用的一個最佳地點�����。網絡管理員可以在此向管理部門提供Internet連接的費用情況���,查出潛在的帶寬瓶頸位置�����,并能夠依據本機構的核算模式提供部門級的計費��。
兩種防火墻技術的對比
包過濾防火墻
優點
價格較低
性能開銷小����,處理速度較快
缺點
定義復雜����,容易出現因配置不當帶來問題
允許數據包直接通過,容易造成數據驅動式攻擊的潛在危險
代理防火墻
內置了專門為了提高安全性而編制的Proxy應用程序���,能夠透徹地理解相關服務的命令,對來往的數據包進行安全化處理
速度較慢�,不太適用于高速網(ATM或千兆位以太網等)之間的應用
5.可以連接到一個單獨的網段上����,從物理上和內部網段隔開��,并在此部署WWW服務器和FTP服務器�,將其作為向外部發布內部信息的地點�。從技術角度來講,就是所謂的�����;饏^(DMZ)����。
防火墻的兩大分類
盡管防火墻的發展經過了上述的幾代,但是按照防火墻對內外來往數據的處理方法����,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應用層網關防火墻)�����。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表���,后者以美國NAI公司的Gauntlet防火墻為代表。
1.包過濾防?
第一代:靜態包過濾
這種類型的防火墻根據定義好的過濾規則審查每個數據包�,以便確定其是否與某一條包過濾規則匹配�����。過濾規則基于數據包的報頭信息進行制訂��。報頭信息中包括IP源地址、IP目標地址����、傳輸協議(TCP�����、UDP、ICMP等等)��、TCP/UDP目標端口��、ICMP消息類型等����。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”�,即明確允許那些管理員希望通過的數據包,禁止其他的數據包���。
圖1 簡單包過濾防火墻
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此����,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......����,各項技術都需要適時應勢�,對應發展�,這正是網絡迅速走向進步的催化劑。
