三. 防火墻技術(shù)
盡管近年來各種網(wǎng)絡安全技術(shù)在不斷涌現(xiàn),但到目前為止防火墻仍是網(wǎng)絡系統(tǒng)安全保護中最常用的技術(shù)。據(jù)公安部計算機信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心對2000年所檢測的網(wǎng)絡安全產(chǎn)品的統(tǒng)計,在數(shù)量方面,防火墻產(chǎn)品占第一位,其次為網(wǎng)絡安全掃描和入侵檢測產(chǎn)品。
防火墻系統(tǒng)是一種網(wǎng)絡安全部件,它可以是硬件,也可以是軟件,也可能是硬件和軟件的結(jié)合,這種安全部件處于被保護網(wǎng)絡和其它網(wǎng)絡的邊界,接收進出被保護網(wǎng)絡的數(shù)據(jù)流,并根據(jù)防火墻所配置的訪問控制策略進行過濾或作出其它操作,防火墻系統(tǒng)不僅能夠保護網(wǎng)絡資源不受外部的侵入,而且還能夠攔截從被保護網(wǎng)絡向外傳送有價值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡與Internet之間的隔離,也可用于內(nèi)部網(wǎng)絡不同網(wǎng)段的隔離,后者通常稱為Intranet防火墻。
目前的防火墻系統(tǒng)根據(jù)其實現(xiàn)的方式大致可分為兩種,即包過濾防火墻和應用層網(wǎng)關(guān)。包過濾防火墻的主要功能是接收被保護網(wǎng)絡和外部網(wǎng)絡之間的數(shù)據(jù)包,根據(jù)防火墻的訪問控制策略對數(shù)據(jù)包進行過濾,只準許授權(quán)的數(shù)據(jù)包通行。防火墻管理員在配置防火墻時根據(jù)安全控制策略建立包過濾的準則,也可以在建立防火墻之后,根據(jù)安全策略的變化對這些準則進行相應的修改、增加或者刪除。每條包過濾的準則包括兩個部分:執(zhí)行動作和選擇準則,執(zhí)行動作包括拒絕和準許,分別表示拒絕或者允許數(shù)據(jù)包通行;選擇準則包括數(shù)據(jù)包的源地址和目的地址、源端口和目的端口、協(xié)議和傳輸方向等。建立包過濾準則之后,防火墻在接收到一個數(shù)據(jù)包之后,就根據(jù)所建立的準則,決定丟棄或者繼續(xù)傳送該數(shù)據(jù)包。這樣就通過包過濾實現(xiàn)了防火墻的安全訪問控制策略。
應用層網(wǎng)關(guān)位于TCP/IP協(xié)議的應用層,實現(xiàn)對用戶身份的驗證,接收被保護網(wǎng)絡和外部之間的數(shù)據(jù)流并對之進行檢查。在防火墻技術(shù)中,應用層網(wǎng)關(guān)通常由代理服務器來實現(xiàn)。通過代理服務器訪問Internet網(wǎng)絡服務的內(nèi)部網(wǎng)絡用戶時,在訪問Internet之前首先應登錄到代理服務器,代理服務器對該用戶進行身份驗證檢查,決定其是否允許訪問Internet,如果驗證通過,用戶就可以登錄到Internet上的遠程服務器。同樣,從Internet到內(nèi)部網(wǎng)絡的數(shù)據(jù)流也由代理服務器代為接收,在檢查之后再發(fā)送到相應的用戶。由于代理服務器工作于Internet應用層,因此對不同的Internet服務應有相應的代理服務器,常見的代理服務器有Web、Ftp、Telnet代理等。除代理服務器外,Socks服務器也是一種應用層網(wǎng)關(guān),通過定制客戶端軟件的方法來提供代理服務。
防火墻通過上述方法,實現(xiàn)內(nèi)部網(wǎng)絡的訪問控制及其它安全策略,從而降低內(nèi)部網(wǎng)絡的安全風險,保護內(nèi)部網(wǎng)絡的安全。但防火墻自身的特點,使其無法避免某些安全風險,例如網(wǎng)絡內(nèi)部的攻擊,內(nèi)部網(wǎng)絡與Internet的直接連接等。由于防火墻處于被保護網(wǎng)絡和外部的交界,網(wǎng)絡內(nèi)部的攻擊并不通過防火墻,因而防火墻對這種攻擊無能為力;而網(wǎng)絡內(nèi)部和外部的直接連接,如內(nèi)部用戶直接撥號連接到外部網(wǎng)絡,也能越過防火墻而使防火墻失效。
相關(guān)推薦:北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |