通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户,销售商,移动用户,异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和即时比分间谍的入侵。因此企业必须加筑安全的"战壕",而这个"战壕"就是防火墙。
一、防火墙的基本知识
1、防火墙的概念:指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许,拒绝,监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2、防火墙的作用:网络安全的屏障 ,强化网络安全策略 ,对网络存取和访问进行监控审计 ,防止内部信息的外泄。
3、防火墙的种类 :
分组过滤(Packet filtering)
应用代理(Application Proxy)或应用网关(Application Gateway)
二、 防火墙的相关技术
1、包过滤技术 :是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择的控制与操作 。
2、网络地址转换技术 :网络地址转换(NAT)是一种用于把内部IP地址转换成临时的,外部的,注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每台机器取得注册的IP地址。
3、应用代理或代理服务器 :应用代理或代理服务器(Application Level Proxy or Proxy Server)是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再回送给用户。
4、IP通道(IP Tunnels):如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
5、隔离域名服务器(Split Domain Name Server )这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
6、邮件技术(Mail Forwarding):当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
三、 防火墙的结构
1、包过滤防火墙
包过滤防火墙在小型,不复杂网络结构中最常使用,也非常容易安装。然而,与其他防火墙结构相比,用户需承受它的更多的缺点。通常,在Internet连接处安装包过滤路由器,在路由器中配置包过滤规则来阻塞或过滤报文的协议和地址。一般站点系统可直接访问Internet,而从Internet到站点系统的多数访问被阻塞。无任怎样,路由器可根据策略有选择地允许访问系统和服务,通常有内在危险的NIS,NFS和Xwindows服务被阻塞。
2、双宿主网关防火墙
双宿主网关防火墙是包过滤防火墙技术较好的替代结构,它由一个带有两个网络连接口的主机系统组成。一般情况下,这种主机可以充当与这台主机相连的网络之间的路由器。它将一个网络的数据包在无安全控制下传递到另一个网络。如果将这种双宿主机安装到防火墙中作为一个双宿网关防火墙,它首先使得IP包的转发功能失效。除此之外,包过滤路由器能被放置在Internet的连接处提供附加的保护,它创建一个内部的,屏蔽的子网。
3、过滤主机防火墙
过滤主机防火墙由一个包过滤路由器和一个位于路由器旁边保护子网的应用网关组成。应用网关仅需要一个网络借接口,它的代理服务能传递存在的Telnet,FTP和其他服务到站点系统。路由器过滤存在内在危险的协议到达应用网关和站点系统。
4、过滤子网防火墙
过滤子网防火墙是双宿主网关和过滤主机防火墙的一种变化形式,它能在一个分割的系统上放置防火墙的每一个组件。虽然在一定程度上牺牲了简单性,但获得了较高的吞吐量和灵活性。并且由于防火墙的每一个组件仅需要实现一个特定的任务,这使得系统配置不是很复杂。该结构中两个路由器用来创建一个内部的过滤子网,这个子网包含应用网关,当然它也能包含信息服务器,调制解调器和其他需要进行访问控制的系统。
5、调制解调器池
许多站点允许遍布在各点的调制解调器通过站点拨号访问,这是一个潜在的"后门",它能使防火墙提供的保护失效。处理调制解调器的一种较好方法是把它们集中在一个调制解调器池中,然后通过池进行安全连接。
调制解调器池可由连接到终端服务器的多个调制解调器组成,终端服务器是把调制解调器连接到网络的专用计算机。拨号用户首先连接到终端服务器,然后通过它连接到其他主机系统。有些终端服务器提供了安全机制,它能限制对特殊系统的连接,或要求用户使用一个认证令牌进行身份认证。当然终端服务器也是一个连接调制解调器的主机系统。
账号+密码登录
还没有账号?
立即注册