|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 基本的防火墻設計 在設計Internet防火墻時,網絡管理員必須做出幾個決定: · 防火墻的姿態(Stance) · 機構的整體安全政策 · 防火墻的經濟費用 · 防火墻系統的組件或構件 防火墻的姿態 防火墻的姿態從根本上闡述了一個機構對安全的看法。Internet防火墻可能會扮演兩種截然相反的姿態: · 拒絕沒有特別允許的任何事情。這種姿態假定防火墻應該阻塞所有的信息,而每一種所期望的服務或應用都是實現在case-by-case的基礎上。這是一個受推薦的方案。其建立的是一個非常安全的環境,因為只有審慎選擇的服務才被支持。當然這種方案也有缺點,就是不易使用,因為限制了提供給用戶們的選擇范圍。 · 允許沒有特別拒絕的任何事情。這種姿態假定防火墻應該轉發所有的信息,任何可能存在危害的服務都應在case-by-case的基礎上關掉。這種方案建立的是一個非常靈活的環境,能提供給用戶更多的服務。缺點是,由于將易使用這個特點放在了安全性的前面,網絡管理員處于不斷的響應當中,因此,隨著網絡規模的增大,很難保證網絡的安全。 機構的安全策略 如前所述,Internet防火墻并不是獨立的,它是機構總體安全策略的一部分。機構總體安全策略定義了安全防御的方方面面。為確保成功,機構必須知道其所有保護的是什么。安全策略必須建立在精心進行的安全分析、風險評估以及商業需求分析基礎之上。如果機構沒有詳盡的安全策略,無論如何精心構建的防火墻都會被繞過去,從而整個內部網絡都暴露在攻擊面下。 機構能夠負擔起什么樣的防火墻?簡單的包過濾防火墻的費用最低,因為機構至少需要一個路由器才能連入Internet,并且包過濾功能包括在標準的路由器配置中。商業的防火墻系統提供了附加的安全功能,而費用在$4,000到$30,000之間,具體價格要看系統的復雜性和要保護的系統的數量。如果一個機構有自己的專業人員,也可以構建自己的防火墻系統,但是仍舊有開發時間和部署防火墻系統等的費用問題。還有,防火墻系統需要管理,一般性的維護、軟件升級、安全上的補漏、事故處理等,這些都要產生費用。 圖4 包過濾路由器
防火墻系統的組成 在確定了防火墻的姿態、安全策略、以及預算問題之后,就能夠確定防火墻系統的特定組件。典型的防火墻有一個或多個構件組成: · 包過濾路由器 · 應用層網關(或代理服務器) · 電路層網關 在后面我們將討論每一種構件,并描述其如何一起構成一個有效的防火墻系統。 構件:包過濾路由器 包過濾路由器(圖4)對所接收的每個數據包做允許拒絕的決定。路由器審查每個數據報以便確定其是否與某一條包過濾規則匹配。過濾規則基于可以提供給IP轉發過程的包頭信息。包頭信息中包括IP源地址、IP目標端F地址、內裝協(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口如果有匹配并且規則允許該數據包,那么該數據包就會按照路由表中的信息被轉發。如果匹配并且規則拒絕該數據包,那么該數據包就會被丟棄。如果沒有匹配規則,用戶配置的缺省參數會決定是轉發還是丟棄數據包。 與服務相關的過濾 包過濾路由器使得路由器能夠根據特定的服務允許或拒絕流動的數據,因為多數的服務收聽者都在已知的TCP/UDP端口號上。例如,Telnet服務器在TCP的23號端口上監聽遠地連接,而SMTP服務器在TCP的25號端口上監聽人連接。為了阻塞所有進入的Telnet連接,路由器只需簡單的丟棄所有TCP端口號等于23的數據包。為了將進來的Telnet連接限制到內部的數臺機器上,路由器必須拒絕所有TCP端口號等于23并且目標IP地址不等于允許主機的IP地址的數據包。 一些典型的過濾規則包括: · 允許進入的Telne會話與指定的內部主機連接 · 允許進入的FTP會話與指定的內部主機連接 · 允許所有外出的Telne會話 · 允許所有外出的FTP會話 · 拒絕所有來自特定的外部主機的數據包 與服務無關的過濾 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
