2011年軟件水平考試網絡工程師全面復習資料(28)
三. 防火墻技術
盡管近年來各種網絡安全技術在不斷涌現,但到目前為止防火墻仍是網絡系統安全保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網絡安全產品的統計,在數量方面,防火墻產品占第一位,其次為網絡安全掃描和入侵檢測產品。
防火墻系統是一種網絡安全部件,它可以是硬件,也可以是軟件,也可能是硬件和軟件的結合,這種安全部件處于被保護網絡和其它網絡的邊界,接收進出被保護網絡的數據流,并根據防火墻所配置的訪問控制策略進行過濾或作出其它操作,防火墻系統不僅能夠保護網絡資源不受外部的侵入,而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火墻系統可以用于內部網絡與Internet之間的隔離,也可用于內部網絡不同網段的隔離,后者通常稱為Intranet防火墻。
目前的防火墻系統根據其實現的方式大致可分為兩種,即包過濾防火墻和應用層網關。包過濾防火墻的主要功能是接收被保護網絡和外部網絡之間的數據包,根據防火墻的訪問控制策略對數據包進行過濾,只準許授權的數據包通行。防火墻管理員在配置防火墻時根據安全控制策略建立包過濾的準則,也可以在建立防火墻之后,根據安全策略的變化對這些準則進行相應的修改、增加或者刪除。每條包過濾的準則包括兩個部分:執行動作和選擇準則,執行動作包括拒絕和準許,分別表示拒絕或者允許數據包通行;選擇準則包括數據包的源地址和目的地址、源端口和目的端口、協議和傳輸方向等。建立包過濾準則之后,防火墻在接收到一個數據包之后,就根據所建立的準則,決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火墻的安全訪問控制策略。
應用層網關位于TCP/IP協議的應用層,實現對用戶身份的驗證,接收被保護網絡和外部之間的數據流并對之進行檢查。在防火墻技術中,應用層網關通常由代理服務器來實現。通過代理服務器訪問Internet網絡服務的內部網絡用戶時,在訪問Internet之前首先應登錄到代理服務器,代理服務器對該用戶進行身份驗證檢查,決定其是否允許訪問Internet,如果驗證通過,用戶就可以登錄到Internet上的遠程服務器。同樣,從Internet到內部網絡的數據流也由代理服務器代為接收,在檢查之后再發送到相應的用戶。由于代理服務器工作于Internet應用層,因此對不同的Internet服務應有相應的代理服務器,常見的代理服務器有Web、Ftp、Telnet代理等。除代理服務器外,Socks服務器也是一種應用層網關,通過定制客戶端軟件的方法來提供代理服務。
防火墻通過上述方法,實現內部網絡的訪問控制及其它安全策略,從而降低內部網絡的安全風險,保護內部網絡的安全。但防火墻自身的特點,使其無法避免某些安全風險,例如網絡內部的攻擊,內部網絡與Internet的直接連接等。由于防火墻處于被保護網絡和外部的交界,網絡內部的攻擊并不通過防火墻,因而防火墻對這種攻擊無能為力;而網絡內部和外部的直接連接,如內部用戶直接撥號連接到外部網絡,也能越過防火墻而使防火墻失效。
【編輯推薦】
