**一、 防火墙
**
由于Internet的迅速发
信息破坏的危险, 人们为了
种保护装置。它保护的是数
| 展, 提供了发布信息和检索信息
保护其数据和资源的安全, 出现
据、资源和用户的声誉。
| 的场所, 但它也带来了信息污染和
了防火墙。防火墙从本质上说是一
---|---|---
1. Internet防火墙
防火墙原是建筑物大厦
讲Internet防火墙服务也属
到你的网络内部。而事实上
护城河。它服务于多个目的
| 设计来防止火灾从大厦的一部分
于类似目的。它防止Internet上
Internet防火墙不象一座现代化
:
| 传播到另一部分的设施。从理论上
的危险(病毒、资源盗用等)传播
大厦中的防火墙,更象北京故宫的
---|---|---
(1) 限制人们从一个特别的控制点进入;
(2) 防止侵入者接近你的其它防御设施;
(3) 限定人们从一个特别的点离开;
(4) 有效的阻止破坏者对你的计算机系统进行破坏。
因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上
2.防火墙的优点
(1) 防火墙能强化安全策略
因为Internet上每天都
德不良的人,或违反规则的
的安全策略,仅仅容许“认
| 有上百万人在那里收集信息、交
人,防火墙是为了防止不良现象
可的”和符合规则的请求通过。
| 换信息,不可避免地会出现个别品
发生的“交通警察”,它执行站点
---|---|---
(2) 防火墙能有效地记录Internet上的活动
因为所有进出信息都必须通过防火墙
用的信息。作为访问的唯一点,防火墙能
| ,所以防火墙非常适用收集关于系统和网络使用和误
在被保护的网络和外部网络之间进行记录。
---|---
(3) 防火墙限制暴露用户点
防火墙能够用来隔开网络中一个网段
通过整个网络传播。
| 与另一个网段。这样,能够防止影响一个网段的问题
---|---
(4) 防火墙是一个安全策略的检查站
所有进出的信息都必须
绝于门外。
| 通过防火墙,防火墙便成为安全
| 问题的检查点,使可疑的访问被拒
---|---|---
3.防火墙的不足之处
上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在:
(1) 不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连
磁带上,放在公文包中带出去。如果入侵
户偷窃数据,破坏硬件和软件,并且巧妙
只能要求加强内部管理,如主机安全和用
| 接发送专有的信息,但用户可以将数据复制到磁盘、
者已经在防火墙内部,防火墙是无能为力的。内部用
地修改程序而不接近防火墙。对于来自知情者的威胁
户教育等。
---|---
(2) 不能防范不通过它的连接
防火墙能够有效地防止
,如果站点允许对防火墙后
进行拨号入侵。
| 通过它进行传输信息,然而不能
面的内部系统进行拨号访问,那
| 防止不通过它而传输的信息。例如
么防火墙绝对没有办法阻止入侵者
---|---|---
(3) 不能防备全部的威胁
防火墙被用来防备已知
但没有一个防火墙能自动防
| 的威胁,如果是一个很好的防火
御所有的新的威胁。
| 墙设计方案,可以防备新的威胁,
---|---|---
(4) 防火墙不能防范病毒
防火墙不能消除网络上的PC机的病毒。
二、 防火墙体系结构
目前,防火墙的体系结构一般有以下几种:
(1) 双重宿主主机体系结构;
(2) 被屏蔽主机体系结构;
(3) 被屏蔽子网体系结构。
1. 双重宿主主机体系结构
双重宿主主机体系结构
网络接口。这样的主机可以
一个网络发送IP数据包。然
,IP数据包从一个网络(例
的网络)。防火墙内部的系
能与双重宿主主机通信,但
| 是围绕具有双重宿主的主机计算
充当与这些接口相连的网络之间
而,实现双重宿主主机的防火墙
如,因特网)并不是直接发送到
统能与双重宿主主机通信,同时
是这些系统不能直接互相通信。
| 机而构筑的,该计算机至少有两个
的路由器;它能够从一个网络到另
体系结构禁止这种发送功能。因而
其它网络(例如,内部的、被保护
防火墙外部的系统(在因特网上)
它们之间的IP通信被完全阻止。
---|---|---
双重宿主主机的防火墙体系结构是相
到因特网和内部的网络。
| 当简单的:双重宿主主机位于两者之间,并且被连接
---|---
2. 屏蔽主机体系结构
双重宿主主机体系结构提供来自与多
主机体系结构使用一个单独的路由器提供
系结构中,主要的安全由数据包过滤,其
| 个网络相连的主机的服务(但是路由关闭),而被屏蔽
来自仅仅与内部的网络相连的主机的服务。在这种体
结构如图3所示。
---|---
在屏蔽的路由器上的数
能连接到内部网络上的系统
定类型的连接被允许。任何
机上。因此,堡垒主机需要
| 据包过滤是按这样一种方法设置
的桥梁(例如,传送进来的电子
外部的系统试图访问内部的系统
拥有高等级的安全。
| 的: 即堡垒主机是因特网上的主机
邮件)。即使这样,也仅有某些确
或者服务将必须连接到这台堡垒主
---|---|---
数据包过滤也允许堡垒
策略决定)到外部世界。
| 主机开放可允许的连接(什么是
| “可允许”将由用户的站点的安全
---|---|---
在屏蔽的路由器中数据包过滤配置可以按下列之一执行:
•允许其它的内部主机为了某
据包过滤的服务)。
| 些服务与因特网上的主机连接(即允许那些已经由数
---|---
•不允许来自内
| 部主机的所有连接(强迫那些主
| 机经由堡垒主机使用代理服务)。
---|---|---
用户可以针对不同的服
而其它服务可以被允许仅仅
| 务混合使用这些手段;某些服务
间接地经过代理。这完全取决于
| 可以被允许直接经由数据包过滤,
用户实行的安全策略。
---|---|---
因为这种体系结构允许数据包从因特
包能到达内部网络的双重宿主主机体系结
体系结构在防备数据包从外部网络穿过内
出乎预料的,不大可能防备黑客侵袭)。
提供非常有限的服务组。多数情况下,被
有更好的安全性和可用性。
| 网向内部网的移动,所以,它的设计比没有外部数据
构似乎是更冒风险。话说回来,实际上双重宿主主机
部的网络也容易产生失败(因为这种失败类型是完全
进而言之,保卫路由器比保卫主机较易实现,因为它
屏蔽的主机体系结构提供比双重宿主主机体系结构具
---|---
然而,比较其它体系结
如果侵袭者没有办法侵入堡
络安全的东西存在的情况下
侵袭者是开放的。
| 构,如在下面要讨论的屏蔽子网
垒主机时,而且在堡垒主机和其
,路由器同样出现一个单点失效
| 体系结构也有一些缺点。主要的是
余的内部主机之间没有任何保护网
。如果路由器被损害,整个网络对
---|---|---