亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        關(guān)于計(jì)算機(jī)“防火墻”技術(shù)的簡略分析研究

        2012-01-13 02:34:34
        電子世界 2012年22期
        關(guān)鍵詞:子網(wǎng)堡壘網(wǎng)關(guān)

        1.引言

        網(wǎng)絡(luò)安全是一個(gè)不容忽視的問題,當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來的方便與快捷的同時(shí),也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全,當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí),可以在中間加入一個(gè)或多個(gè)中介系統(tǒng),防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊,非法訪問,并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。

        2.防火墻的定義

        Internet防火墻是一個(gè)或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。

        防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備,常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)連接的點(diǎn)上。Internet防火墻是由路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。安全策略應(yīng)告訴用戶應(yīng)有對(duì)的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。

        防火墻系統(tǒng)可以是路由器,也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)或網(wǎng)點(diǎn)與Internet的連接處,但是防火墻系統(tǒng)也可以位于等級(jí)較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。

        防火墻的局限性:

        1)不能防范惡意的知情者;

        2)不能防范不通過它的連接;

        3)不能防范全部的威脅;

        4)不能防范病毒。

        由此可見,要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用。

        3.防火墻的技術(shù)原理

        3.1 包過濾技術(shù)

        包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價(jià)格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。

        缺點(diǎn):

        1)過濾規(guī)則難以配置和測試;

        2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力;

        3)對(duì)一些協(xié)議,如UDP和RPC難以有效的過濾。

        3.2 代理技術(shù)

        代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信,但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后,會(huì)檢查用戶請(qǐng)求合法性。若合法,則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。

        優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,代理技術(shù)是一種更安全的技術(shù)。

        缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。

        3.3 狀態(tài)監(jiān)視技術(shù)

        這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號(hào)以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。

        圖1 包過濾防火墻

        圖2 雙宿主主機(jī)防火墻

        圖3 屏蔽主機(jī)網(wǎng)關(guān)防火墻

        圖4 屏蔽子網(wǎng)防火墻

        狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對(duì)各層進(jìn)行監(jiān)測,狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對(duì)用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。

        4.防火墻的體系結(jié)構(gòu)

        4.1 包過濾防火墻

        包過濾防火墻也稱作過濾過濾路由器,它是最基本、最簡單的一種防火墻,可以在一般的路由器上實(shí)現(xiàn),也可以在基于主機(jī)的路由器上實(shí)現(xiàn)。配置圖如圖1所示。

        內(nèi)部網(wǎng)絡(luò)的所有出入都必須通過過濾路由器,路由器審查每個(gè)數(shù)據(jù)包,根據(jù)過濾規(guī)則決定允許或拒絕數(shù)據(jù)包。

        優(yōu)點(diǎn):

        1)易實(shí)現(xiàn);

        2)不要求運(yùn)行的應(yīng)用程序做任何改動(dòng)或安裝特定的軟件,也無需對(duì)用戶進(jìn)行特定的培訓(xùn)。

        缺點(diǎn):

        1)依賴一個(gè)單一的設(shè)備來保護(hù)系統(tǒng),一旦該設(shè)備(過濾路由器)發(fā)生故障,則網(wǎng)絡(luò)門戶開放;

        2)很少或沒有日志記錄能力,當(dāng)網(wǎng)絡(luò)被入侵時(shí),無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網(wǎng)絡(luò)。

        4.2 雙宿主主機(jī)防火墻

        這種防火墻系統(tǒng)由一種特殊的主機(jī)來實(shí)現(xiàn)。這臺(tái)主機(jī)擁有兩個(gè)不同的網(wǎng)絡(luò)接口,一端接外部網(wǎng)絡(luò),一端接需要保護(hù)的內(nèi)部網(wǎng)絡(luò),并運(yùn)行代理服務(wù)器,故被稱為雙宿主主機(jī)防火墻。它不使用包過濾規(guī)則,而是在外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間設(shè)置一個(gè)網(wǎng)關(guān),隔斷IP層之間的直接傳輸。兩個(gè)網(wǎng)絡(luò)中的主機(jī)不能直接通信,兩個(gè)網(wǎng)絡(luò)之間的通信通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。如圖2所示。

        優(yōu)點(diǎn):

        1)網(wǎng)關(guān)將被保護(hù)的網(wǎng)絡(luò)與外界完全隔離開;

        2)提供日志,有助于發(fā)現(xiàn)入侵;

        3)內(nèi)部網(wǎng)絡(luò)的名字和IP地址對(duì)外界來說是不可見的。

        缺點(diǎn):代理服務(wù),代理服務(wù)器必須為每種應(yīng)用專門設(shè)計(jì),所有的服務(wù)依賴于網(wǎng)關(guān)提供的在某些要求靈活的場合不太適用。

        4.3 屏蔽主機(jī)網(wǎng)關(guān)防火墻

        它由一臺(tái)過濾路由器和一臺(tái)堡壘主機(jī)組成。在這種配置下,堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上,過濾路由器則放置在內(nèi)部網(wǎng)路和外部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)的主機(jī)只能訪問該堡壘主機(jī),而不能直接訪問內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。內(nèi)部網(wǎng)絡(luò)在向外通信時(shí),必須先到堡壘主機(jī),由該堡壘主機(jī)決定是否允許訪問外部網(wǎng)絡(luò)。這樣堡壘主機(jī)成為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一通道。如圖3所示。

        優(yōu)點(diǎn):

        1)配置更為靈活,它可以通過配置過濾路由器將某些通信直接傳到內(nèi)部網(wǎng)絡(luò)的其它站點(diǎn)而不是堡壘主機(jī);

        2)包過濾路由器的規(guī)則較簡單。

        缺點(diǎn):一旦堡壘主機(jī)被攻破,內(nèi)部網(wǎng)絡(luò)將完全暴露。

        4.4 屏蔽子網(wǎng)防火墻

        屏蔽子網(wǎng)防火墻在屏蔽主機(jī)網(wǎng)關(guān)防火墻的配置上加上另一個(gè)包過濾路由器,如圖4所示。

        在屏蔽主機(jī)網(wǎng)關(guān)防火墻中,堡壘主機(jī)最易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的,入侵者只要破壞了這一層的保護(hù),那么入侵也就成功了。屏蔽子網(wǎng)防火墻被憑就是在被屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器的安全機(jī)制,這臺(tái)路由器的意義就在于它能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng),從而使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。用子網(wǎng)來隔離堡壘主機(jī)與內(nèi)部網(wǎng),就能減輕入侵者沖開堡壘主機(jī)后而給內(nèi)部網(wǎng)帶來的沖擊力。

        優(yōu)點(diǎn):提供多層保護(hù),一個(gè)入侵者必須通過兩個(gè)路由器和一個(gè)應(yīng)用網(wǎng)關(guān),是目前最為安全的防火墻系統(tǒng)。

        缺點(diǎn):

        1)價(jià)格較貴;

        2)整個(gè)系統(tǒng)的配置較為困難。

        該防火墻適合大、中型企業(yè),以及對(duì)安全性要求高的單位。

        [1]陳莉.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)研究[J].中國科技信息,2005(23):25.

        [2]張景田.計(jì)算機(jī)網(wǎng)絡(luò)安全技淺析[J].統(tǒng)計(jì)與查詢,2005(4):31.

        [3]史忠植.高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.

        [4]張漢文.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范問題初探[J].信息安全與通信保密,2005(10):40.

        [5]Eric Maiwald,Wi1liEducation,Security Planning&Disaster Recovery,2003,Posts&Telecommunications Press.

        [6]John Viega,Gary McGraw,構(gòu)建安全的軟件[M].鐘向群,王鵬譯清華大學(xué)出版社,2003,04.

        猜你喜歡
        子網(wǎng)堡壘網(wǎng)關(guān)
        一種簡單子網(wǎng)劃分方法及教學(xué)案例*
        開心堡壘2
        開心堡壘
        開心堡壘
        最后的堡壘T-84
        基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
        子網(wǎng)劃分問題研究及應(yīng)用
        子網(wǎng)劃分的簡易方法
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        應(yīng)對(duì)氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        国产做a爱片久久毛片a片| 精品少妇人妻av一区二区蜜桃 | 亚洲一区有码在线观看| 久久日韩精品一区二区| 欧美xxxx做受欧美| 内射交换多p国产| 人妻无码中文专区久久AV| 日韩av一区二区蜜桃| 久久久久亚洲av综合波多野结衣| 激情综合色五月丁香六月亚洲| 2021av在线| 天堂影院久久精品国产午夜18禁 | 日韩精品无码一区二区三区| 国产又爽又粗又猛的视频| 国产精品区一区二区三在线播放| 人妻少妇偷人精品久久人妻 | 久热国产vs视频在线观看| 亚洲国产毛片| 亚洲福利第一页在线观看| 亚洲一区二区三区偷拍厕所| 国产午夜精品一区二区| 国产精品亚洲欧美天海翼| 一级午夜理论片日本中文在线| 少妇被猛烈进入到喷白浆| 日出水了特别黄的视频| 国内精品久久久久久久亚洲| 亚洲一区二区三区色偷偷| 亚洲 欧美 日韩 国产综合 在线| 日本夜爽爽一区二区三区| 素人系列免费在线观看| 国产成人一区二区三区乱| 中国女人做爰视频| 国产精品九九九久久九九| 亚洲视频在线免费观看一区二区| 精品国产一区二区三区2021| 大伊香蕉在线精品视频75| 国产精品无码久久AⅤ人妖| 风骚人妻一区二区三区| 国产又爽又粗又猛的视频| 亚洲av人妖一区二区三区| 你懂的视频网站亚洲视频|