网络安全过滤器和防火墙.docVIP

网络安全、过滤器和防火墙 摘要:本文是对网络安全和因特网解决方案的一般介绍；重点将放在路由过滤器和防火墙上。作为一个建立一个安全网络的指南，它不是很明确的；它的用途仅仅是一个总的概括。虽然一些网络IP的知识不是决定因素，但是它是基本因素。 关键词：网络安全；过滤器；防火墙 在最近的十年中，计算机的使用数量已经达到非常之多。在现在相当长的一段时间里，计算机在我们日常学习和生活方面已经成为一个决定性的因素，并且更重要的是应用到商业领域方面。回顾过去，计算机应用的增长是显著的，甚至在使用计算机进行对话方面将有一个更大的突破（虽然延迟）最传输控制协议TCP/IP(在最年内)越来越多的公司的网络/IP,这是一个运行在因特网上的主要协议。传输控制协议TCP/IP的出现，允许公司之间就像通过公共网络进行连接一样，通过私人网络建立互相连接。 这是一张非常具有代表性的图片：商业，政府和个体彼此沟通,则数据损失的危险高他们的目的是不同的一个公众的网络: 这是一个用传输控制协议TCP/IPTCP/IP协议的堆传输控制协议TCP/IPIP传输在各种不同形式的网络IP通讯在链路层上的传输提供了一个标准。这种标准为IP在各种不同类型已存在的连接上的传输提供了保障，最通常的是太网和点对点(PPP和SLIP)IP数据包被接收到，它则被传输到传输控制协议TCP/IPUDP, TCP和应用层）。当一个虚拟的个人网络被执行的时候,最低层的TCP/IP协议被用来执行一个已存在的TCP/IP连接。有很多种方法可以在提取和效率之间达到一个权衡。它的优点是数据的安全传递是一步一步实现的。因为一个虚拟个人网络可以让你实现对物理层的完全控制，它是受到网路设计者的完全控制的，设计者可以在物理层（虚拟层）邮件或新闻）(如IP,ICMP)，所有在虚拟个人网络上的任何种类的传输都将被加密。虚拟个人网络的主要优点是:它们允许分配个人私有的地址空间（你可以在同一个网路上同时连接多台电脑），并且可以允许数据包在一个专用的系统上进行加密和传输，以便在原机上减小负载。 包级别加密技术：另一种方法是在TCP/IP栈的更高层协议上加密。在安全保证，远程登陆加密和远程登陆协议（Kerberos，S/Key和DESlogin）等方面均采用了一些方法，这些是在栈的高层协议上加密的典型实例（应用层）。在高层协议上加密的优点是对一个虚拟个人网络进行处理的处理器是可以除去的，而当前应用软件的互用性是不受影响的，并且编译一个支持应用层加密的客户机程序比建立一个虚拟个人网络更加容易。从本质上说，在IP栈的任何层上加密都是可能的。尤其是允许在TCP层上加密，这一层对多数网络应用软件提供相当透明的传输加密技术。 这一点是值得注意的，这两种方法均可在主机执行协议的时候表现出冲击现象，并且在网络上其他机器连接这些主机的时候也可表现出冲击现象。在载入或转换一个数据包到一种新的CPU请求时间形式和已用的额外网络容量的时候，这种方式是相对简单的。加密技术是一个真正的处理器密集的程序，而且加密后的数据包应被填补成一个统一的长度，以保证一些运算法则的正确性。更深层一点的说就是这两种方法会给其他的领域（相关的安全和其他的方面—如地址分配，容错处理和负载平衡）路由器，防火墙和主: 路由器传输规则:任何一个规则都将在路由器和终端服务器（主机的主要目的是转寄其他主机传输的数据包）上进行传输并且根据数据包的特征确定相应规则。这不包括申请网关，但是包括地址的转换。 防火墙传输规则: 传输或过滤规则均通过申请网关或代理服务器执行的。 主机传输规则: 传输规则运行在数据包的目的地上。主机在与过滤路由器和防火墙的传输规则上起到越来越小的作用。 过滤器和路径列表 调节数据包以便其可以在两个站点之间传输，这是一个在表面上看来非常简单的概念，对任何一个路由器或防火墙来说，决定是否传送一个特定的站点的数据包不应该是并且不是困难的。不幸的是，大多数人连接到因特网的目的是以便他们可以和远程主机交换数据包。开展一个设计，这个设计允许正确的数据包在正确的时间内传输并且否定恶意的数据包，这是一个艰难的任务，这项研究超出了本文所讨论的范围。然而，一些基本的技术是值得讨论的。 限制内部路径，而非外部路径：几乎所有的数据包（除了那些在最低层上处理网络能动性的协议）都被送往UDP 或 TCP目的地上。典型的是，来自远程主机的数据包将试图到达我们已知的端口。这些端口将被应用软件所监控，这个应用软件将提供像是邮件传送，新闻组服务，时间申请检测，域名服务和各种不同的登录协议等服务。它对现代路由器或防火墙来说是微不足道的，仅仅允许这些不同类型的数据包传输到提供给定服务的特定机器上。将不被允许试图传递其他类型的数据包。这可以保护因特网内部的主机，但是仍然允许所有的数据包的传出。不幸的