網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。
防火墻能增強機構內部網(wǎng)絡的安全性。防火墻系統(tǒng)決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數(shù)據(jù)通過,而且防火墻本身也必須能夠免于滲透。
防火墻的五大功能
一般來說,防火墻具有以下幾種功能:
1.允許網(wǎng)絡管理員定義一個中心點來防止非法用戶進入內部網(wǎng)絡。
2.可以很方便地監(jiān)視網(wǎng)絡的安全性,并報警。
3.可以作為部署NAT(Network Address Translation,網(wǎng)絡地址變換)的地點,利用NAT技術,將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據(jù)本機構的核算模式提供部門級的計費。
兩種防火墻技術的對比
包過濾防火墻
優(yōu)點
價格較低
性能開銷小,處理速度較快
缺點
定義復雜,容易出現(xiàn)因配置不當帶來問題
允許數(shù)據(jù)包直接通過,容易造成數(shù)據(jù)驅動式攻擊的潛在危險
代理防火墻
內置了專門為了提高安全性而編制的Proxy應用程序,能夠透徹地理解相關服務的命令,對來往的數(shù)據(jù)包進行安全化處理
速度較慢,不太適用于高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的應用
5.可以連接到一個單獨的網(wǎng)段上,從物理上和內部網(wǎng)段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發(fā)布內部信息的地點。從技術角度來講,就是所謂的停火區(qū)(DMZ)。
防火墻的兩大分類
盡管防火墻的發(fā)展經(jīng)過了上述的幾代,但是按照防火墻對內外來往數(shù)據(jù)的處理方法,大致可以將防火墻分為兩大體系:包過濾防火墻和代理防火墻(應用層網(wǎng)關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
1.包過濾防?
第一代:靜態(tài)包過濾
這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”,即明確允許那些管理員希望通過的數(shù)據(jù)包,禁止其他的數(shù)據(jù)包。
圖1 簡單包過濾防火墻
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發(fā)展,這正是網(wǎng)絡迅速走向進步的催化劑。
