|
3.2防火墙技术
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewell已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
•包过滤技术 包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
•应用网关技术 是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
•代理服务技术 代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
•限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
•后门服务的可能性 防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SLIP或PPP连接在本质上是基他网络的连接点和潜在后门。
•其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特络依木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。
3.3基于LAN的安全技术
从共享到交换,增强系统的扩展性
取消共享式HUB,代替为SWITCH,是系统的体系结构可扩充到每秒处理百万数据包。 |
|
|
|
|
