2.防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3.对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4.防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
1.5 防火墙所具有的基本特性
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图1.1可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。若图片无法显示请联系QQ752018766
图1.1
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。若图片无法显示请联系QQ752018766
图1.2
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。若图片无法显示请联系QQ752018766
图1.3
根据防火墙所采用的技术,防火墙主要分为分组过滤、应用代理、复合型这几大类。
(一)分组过滤型防火墙
包过滤是最简单的防火墙。数据分组过滤或包过滤,就是在网络中适当的位置,依据系统内设置的过滤规则,对数据包实施有选择的通过,包过滤原理和技术可以认为是各种网络防火墙的基础构件,防火墙经常利用包过滤路由器进行对IP 包过滤的工作,称为包过滤路由器。包过滤网关在收到数据包后,先扫描报文头,检查报文头中的类型TCP、UDP 等)源IP 地址、目的IP 地址和目的TCP/UDP 端口等域,然后将安全规则库中的规则应用到该报文头上,以决定是转发出去还是丢弃,管理员可以根据自己的安全规则来配置路由器。数据包过滤的优点有:一个数据包过滤路由器能协助保护整个网络;数据包过滤不要求任何自定义软件或客户机配置;许多路由器可以做数据包过滤。虽然数据包过滤有许多优点,但它也存在一些不足;当前的过滤工具不是完美的;一些协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些策略。
(二)应用代理型防火墙
应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。代理服务是运行在防火墙主机上的专门的应用程序或服务器程序,这些程序根据安全策略接受用户对网络服务的请求并将它们转发到实际的服务,由于代理提供替代连接并充当服务的网关,因而,代理有时被称为应用级网关。代理服务不允许通信直接经过外部网和内部网。所以跨越防火墙的网络通信链路分为两段:外部主机和代理服务器主机之间的连接,以及代理服务器主机和内部主机之间的连接。代理服务器检查来自代理客户的请求,根据安全策略认可和否认这些请求。代理服务器不仅仅能够转送用户的请求到真正的网络主机,代理服务器还能够控制用户能做什么,根据安全策略,请求可以被允许或拒绝。使用代理服务有很多优点:代理服务允许用户直接的使用网络服务。代理服务器能够优化日志服务。使用代理服务同时也存在着一些缺点:代理服务落后于非代理服务。对于每项服务代理可能要求不同的服务器。代理服务通常要求对客户、过程之一或对两者同时进行限制。代理服务对于一些服务是不适用的。代理服务不能保护所有协议的弱点。
(三)复合型防火墙
复合型防火墙将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。随着技术的发展,防火墙产品还在不断完善、发展,目前出现的
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>