立即登录 注册新帐号

http://www.chutianz.com - 楚天站长站

会员投稿 匿名投稿 投稿指南 RSS订阅 楚天站长站推荐:
搜索: 您的位置主页 > 服务器 > 安全防护 > 阅读资讯:网络世界分析:防火墙的来历及利用现状

网络世界分析:防火墙的来历及利用现状

2011-11-29 15:49:54 来源:www.chutianz.com 【 】 点击:我要投稿 发表评论

  防火墙技巧现状

  自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技巧得到了飞速的发展。第二代防火墙,也称代理服务器,它用来供给网络服务级的把持,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功效防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技巧的发展,新一代的功效更强盛、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了本来传统意义上防火墙的范畴,已经演变成一个全方位的安全技巧集成系统,我们称之为***防火墙,它可以抵抗目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。

  防火墙的定义和描写

  “防火墙”这个术语参考来自利用在建筑结构里的安全技巧。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,答应人们进进或离开大楼。因此,固然防火墙保护了人们的安全,但这个门在供给加强安全性的同时答应必要的拜访。

  在盘算机网络中,一个网络防火墙扮演着防御埋伏的恶意的运动的屏障,并可通过一个”门”来答应人们在你的安全网络和开放的不安全的网络之间通信。本来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到全部从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简略来说,今天防火墙的重要概念就是多个组件的利用。到现在你要准备实行你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

  防火墙的任务

  防火墙在实行安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起应用以满足公司安全目标的需求。防火墙要能确保满足以下四个目标

  实现一个公司的安全策略

  防火墙的重要意图是强迫履行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强迫这些策略。

  创立一个阻塞点

  防火墙在一个公司私有网络和分网问建立一个检查点。这种实现请求所有的流量都要通过这个检查点。一旦这些检查点明白地建立,防火墙设备就可以监督,过滤和检查所有进来和出往的流量。网络安全产业称这些检查点为阻塞点。通过强迫所有进出流量都通过这些检查点,网络治理员可以集中在较少的方来实现安全目标。假如没有这样一个供监督和把持信息的点,系统或安全治理员则要在大批的处所来进行监测。检查点的另一个名字叫做网络边界。

  记录Internet运动

  防火墙还能够强迫日志记录,并且供给警报功效。通过在防火墙上实现日志服务,安全治理员可以监督所有从外部网或互联网的拜访。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于治理员进行日志存档供给了更多的信息。

  限制网络***露

  防火墙在你的网络四周创立了一个保护的边界。并且对于公网暗躲了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功效和对网络加密来限制网络信息的***露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。

  防火墙术语

  在我们持续讨论防火墙技巧前,我们需要对一些重要的术语有一些熟悉

  网关

  网关是在两上设备之间供给转发服务的系统。网关的范畴可以从互联网利用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非经常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。

  电路级网关

  电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否正当,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还供给一个重要的安全功效:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的 IP地址,这个地址是由防火墙应用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当利用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的利益是当一次攻击产生时能供给容错功效。

  利用级网关

  利用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立接洽。利用级网关能够懂得利用层上的协议,能够做复杂一些的拜访把持,并做精致的注册。通常是在特别的服务器上安装软件来实现的。

  包过滤

  包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备答应或禁止包,典范的实行方法是通过尺度的路由器。包过滤是几种不同防火墙的类型之一,在本课后面我们将做具体地讨论。

  代理服务器

  代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个利用级的网关,固然电路级网关也可作为代理服务器的一种。

  网络地址翻译(NAT)

  网络地址说明是对Internet暗躲内部地址,防止内部地址公然。这一功效可以克服IP寻址方法的诸多限制,完善内部寻址模式。把未注册IP地址映射成正当地址,就可以对Internet进行拜访。对于NAT的另一个名字是IP地址暗躲。RFC1918概述了地址并且IANA建议应用内部地址机制,以下地址作为保留地址:

  10.0.0.0 - 10.255.255.255

  172.16.0.0 - 172.31.255.255

  192.168.0.0 - 192.168.255.255

  假如你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可应用。应用这些网络地址的一个利益就是在互联网上永远不会被路由。互联网上所有的路由器发明源或目标地址含有这些私有网络ID时都会主动地丢弃。

  堡垒主机

  堡垒主机是一种被强化的可以防御进攻的盘算机,被***露于因特网之上,作为进进内部网络的一个检查点,以达到把全部网络的安全标题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目标。从堡垒主机的定义我们可以看到,堡垒主机是网络中最轻易受到侵害的主机。所以堡垒主机也必需是自身保护最完善的主机。你可以应用单宿主堡垒主机。多数情况下,一个堡垒主机应用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来治理、把持和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个过程来供给对从公网到私有网络的特别协议路由,反之亦然。在一个利用级的网关里,你想应用的每一个利用程协议都需要一个过程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必需为每一个服务都供给一个守护过程。

感谢 的投稿 本文仅代表作者观点,与楚天站长站立场无关。

分享到:

数据统计中!!

tags::, , ,,防火墙,技巧,现状, , ,,

 责任编辑:毛新红
  • 上一篇:网络不再瘫痪 “ARP类病毒”的解决措施
  • 下一篇:解决Firefox无控制内存占用的标题
  • 评论总数: 条 [ 查看全部 ] 网友评论