20110520 防火墙技术简介.docVIP

第 PAGE3 /  NUMPAGES 3 页 防火墙技术简介 防火墙概念  HYPERLINK /view/3067.htm \t _blank 防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。 一般而言，在内部网和外部网之间建设安全防范体系的第一项内容就是构筑一道防线，以抵御来自外部的绝大多数攻击，完成这项任务的网络边防产品我们称其为防火墙。 防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。 防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内特定的人访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别对信息进行安全（加密）处理等。 防火墙用途 类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。 防火墙通常是由软件系统和硬件设备组合而成，火墙通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如： 当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击； 当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术 3.1包过滤技术 在实际应用中，防火墙有时可能只是一个具备包过滤功能的简单路由器，用来支持Internet安全。这是实现企业内部网与Internet安全联接的一种简单方法，因为包过滤是路由器的固有属性。 包过滤型防火墙可以动态检查流过的TCP／IP报文头，检查报文头中的报文类型、源IP地址、目的IP地址、源端口号等，并根据事先定义的规则，决定哪些报文允许流过，哪些报文禁止通过。 包过滤是一种简单而有效的拦截数据包的方法，可以通过读出并拒绝那些不符合标准的包头来过滤掉不应入站的信息。包过滤器又称为筛选路由器，它通过将包头信息和管理员设定的规则表进行比较，发现不符合规则或不允许发送的某个包，路由器就将它丢弃。 但是，包过滤不能有效到足以保证站点的安全。目前，连接Internet的站点受到许多新的协议的威胁，有些协议能毫不费力地通过网络过滤器。例如，对于FTP协议，包过滤就不十分有效，因为为完成数据传输，FTP允许联接外部服务器并使联接返回到端口20。这甚至成为一条规则附加于路由器之上，即内部网络机器上的端口20可用于探查外部情况。因此，黑客们很容易“欺骗”这些路由器。但防火墙会使这些“欺骗”变得困难，甚至几乎不可能实现。 3.2代理服务器技术 由于包过滤并不总是十分有效，因此，在应用中，如果数据流的实际内容很重要，并且需要控制，就应使用代理服务。一个应用代理可以用来限制FTP用户，控制他们与Internet的通信，例如：可以使他们只能够从Internet上得到文件，而不能把文件上载到Internet上。 代理服务器在内部网和外部网之间充当“中间人”的作用。代理服务器允许直接从防火墙后访问Internet并允许进行信息交流。代理服务器软件可以独立地在一台机器上运行，或者与诸如包过滤器的其他软件一起运行。 代理服务器还用于控制出入Web站点或任何内部网络的访问。它可以对客户机和服务器访问加以限制，只允许他们访问预先选定的服务器或主机。可控制哪些站点允许用户访问，哪些站点不允许访问。 代理服务器还可以对不同的协议进行检查，以保护指令的完整性，滤去可疑的URL及其他的HTTP子集，以及不连贯的或形式错误的HTML指令。通过滤去已知的危险和陌生的数据和程序，使内部网的安全得到保障。 代理服务器的功能很强大，如果正确配置，代理服务器将非常安全。它们是站点忠实的“看门狗”，决不允许任何未授权的联接进入。 防火墙类型 防火墙类型大体上分为以下两类：网络层和应用层。但现在多数防火墙新产品都具有双重特性。 网络层这一类型的防火墙，通常使用简单的路由器，采用包过滤技术，检查个人的IP包并决定允许或不允许基于资源的服务、目的地址及使用端口，保护整个网络不受非法入侵。 网络层防火墙采