三. 防火墻技術(shù)
盡管近年來各種網(wǎng)絡(luò)安全技術(shù)在不斷涌現(xiàn),但到目前為止防火墻仍是網(wǎng)絡(luò)系統(tǒng)安全保護(hù)中最常用的技術(shù)。據(jù)公安部計(jì)算機(jī)信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心對(duì)2000年所檢測的網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)計(jì),在數(shù)量方面,防火墻產(chǎn)品占第一位,其次為網(wǎng)絡(luò)安全掃描和入侵檢測產(chǎn)品。
防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件,它可以是硬件,也可以是軟件,也可能是硬件和軟件的結(jié)合,這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的邊界,接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流,并根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或作出其它操作,防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入,而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離,也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離,后者通常稱為Intranet防火墻。
目前的防火墻系統(tǒng)根據(jù)其實(shí)現(xiàn)的方式大致可分為兩種,即包過濾防火墻和應(yīng)用層網(wǎng)關(guān)。包過濾防火墻的主要功能是接收被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)包,根據(jù)防火墻的訪問控制策略對(duì)數(shù)據(jù)包進(jìn)行過濾,只準(zhǔn)許授權(quán)的數(shù)據(jù)包通行。防火墻管理員在配置防火墻時(shí)根據(jù)安全控制策略建立包過濾的準(zhǔn)則,也可以在建立防火墻之后,根據(jù)安全策略的變化對(duì)這些準(zhǔn)則進(jìn)行相應(yīng)的修改、增加或者刪除。每條包過濾的準(zhǔn)則包括兩個(gè)部分:執(zhí)行動(dòng)作和選擇準(zhǔn)則,執(zhí)行動(dòng)作包括拒絕和準(zhǔn)許,分別表示拒絕或者允許數(shù)據(jù)包通行;選擇準(zhǔn)則包括數(shù)據(jù)包的源地址和目的地址、源端口和目的端口、協(xié)議和傳輸方向等。建立包過濾準(zhǔn)則之后,防火墻在接收到一個(gè)數(shù)據(jù)包之后,就根據(jù)所建立的準(zhǔn)則,決定丟棄或者繼續(xù)傳送該數(shù)據(jù)包。這樣就通過包過濾實(shí)現(xiàn)了防火墻的安全訪問控制策略。
應(yīng)用層網(wǎng)關(guān)位于TCP/IP協(xié)議的應(yīng)用層,實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證,接收被保護(hù)網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對(duì)之進(jìn)行檢查。在防火墻技術(shù)中,應(yīng)用層網(wǎng)關(guān)通常由代理服務(wù)器來實(shí)現(xiàn)。通過代理服務(wù)器訪問Internet網(wǎng)絡(luò)服務(wù)的內(nèi)部網(wǎng)絡(luò)用戶時(shí),在訪問Internet之前首先應(yīng)登錄到代理服務(wù)器,代理服務(wù)器對(duì)該用戶進(jìn)行身份驗(yàn)證檢查,決定其是否允許訪問Internet,如果驗(yàn)證通過,用戶就可以登錄到Internet上的遠(yuǎn)程服務(wù)器。同樣,從Internet到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流也由代理服務(wù)器代為接收,在檢查之后再發(fā)送到相應(yīng)的用戶。由于代理服務(wù)器工作于Internet應(yīng)用層,因此對(duì)不同的Internet服務(wù)應(yīng)有相應(yīng)的代理服務(wù)器,常見的代理服務(wù)器有Web、Ftp、Telnet代理等。除代理服務(wù)器外,Socks服務(wù)器也是一種應(yīng)用層網(wǎng)關(guān),通過定制客戶端軟件的方法來提供代理服務(wù)。
防火墻通過上述方法,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的訪問控制及其它安全策略,從而降低內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。但防火墻自身的特點(diǎn),使其無法避免某些安全風(fēng)險(xiǎn),例如網(wǎng)絡(luò)內(nèi)部的攻擊,內(nèi)部網(wǎng)絡(luò)與Internet的直接連接等。由于防火墻處于被保護(hù)網(wǎng)絡(luò)和外部的交界,網(wǎng)絡(luò)內(nèi)部的攻擊并不通過防火墻,因而防火墻對(duì)這種攻擊無能為力;而網(wǎng)絡(luò)內(nèi)部和外部的直接連接,如內(nèi)部用戶直接撥號(hào)連接到外部網(wǎng)絡(luò),也能越過防火墻而使防火墻失效。
相關(guān)推薦:北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |