星空（中国）官方网站-官方授权体育平台

　　防火墙技术专題Internet的迅速发展給現代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人們的生活，弥补了人們的精神空缺；而与此同步給人們带来了一种曰益严峻的問題――网络安全。网络的安全性成為當今最热门的话題之一，诸多企业為了保障自身服务器或数据安全都采用了防火墙。伴随科技的发展，防火墙也逐渐被大众所接受。本文讲述了防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺陷。一、防火墙的基本分类1．包過滤防火墙第一代防火墙和最基本形式防火墙检查每一种通過的网络包，或者丢弃，或者放行，取决于所建立的一套规则。這称為包過滤防火墙。本质上，包過滤防火墙是多址的，表明它有两個或两個以上网络适配器或接口。例如，作為防火墙的设备也許有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是作為“通信警察”，指导包和截住那些有危害的包。包過滤防火墙检查每一种传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然後，将這些信息与设置的规则相比较。假如已經设置了阻断telnet连接，而包的目的端口是23的话，那么该包就會被丢弃。假如容許传入Web连接，而目的端口為80，则包就會被放行。多种复杂规则的组合也是可行的。假如容許Web连接，但只针對特定的服务器，目的端口和目的地址两者必须与规则相匹配，才可以让该包通過。最终，可以确定當一种包抵达時，假如對该包没有规则被定义，接下来将會发生什么事情了。一般，為了安全起見，与传入规则不匹配的包就被丢弃了。假如有理由让该包通過，就要建立规则来处理它。建立包過滤防火墙规则的例子如下：1）對来自专用网络的包，只容許来自内部地址的包通過，由于其他包包括不對的的包頭部信息。這条规则可以防网络内部的任何人通過欺骗性的源地址发起袭击。并且，假如黑客對专用网络内部的机器具有了不知從何得来的访問权，這种過滤方式可以制止黑客從网络内部发起袭击。2）在公共网络，只容許目的地址為80端口的包通過。這条规则只容許传入的连接為Web连接。這条规则也容許与Web连接使用相似端口的连接，因此它并不是拾分安全。3）丢弃從公共网络传入的包，而這些包均有你的网络内的源地址，從而減少IP欺骗性的袭击。4）丢弃包括源路由信息的包，以減少源路由袭击。要记住，在源路由袭击中，传入的包包括路由信息，它覆盖了包通過网络应采获得正常路由，也許會绕過已經有的安全程序。通過忽视源路由信息，防火墙可以減少這种方式的袭击。2．状态/動态检测防火墙状态/動态检测防火墙，试图跟踪通過防火墙的网络连接和包，這样防火墙就可以使用一组附加的原则，以确定与否容許和拒绝通信。它是在使用了基本包過滤防火墙的通信上应用某些技术来做到這點的。當包過滤防火墙見到一种网络包，包是孤立存在的。它没有防火墙所关怀的历史或未来。容許和拒绝包的决定完全取决于包自身所包括的信息，如源地址、目的地址、端口号等。包中没有包括任何描述它在信息流中的位置的信息，则该包被认為是無状态的；它仅是存在而已。一种有状态包检查防火墙跟踪的不仅是包中包括的信息。為了跟踪包的状态，防火墙還记录有用的信息以协助识别包，例如已經有的网络连接、数据的传出祈求等。例如，假如传入的包包括视频数据流，而防火墙也許已經记录了有关信息，是有关位于特定IP地址的应用程序近来向发出包的源地址祈求视频信号的信息。假如传入的包是要传給发出祈求的相似系统，防火墙進行匹配，包就可以被容許通過。一种状态/動态检测防火墙可截断所有传入的通信，而容許所有传出的通信。由于防火墙跟踪内部出去的祈求，所有按规定传入的数据被容許通過，直到连接被关闭為止。只有未被祈求的传入通信被截断。假如在防火墙内正运行一台服务器，配置就會变得稍微复杂某些，但状态包检查是很有力和适应性的技术。例如，可以将防火墙配置成只容許從特定端口進入的通信，只可传到特定服务器。假如正在运行Web服务器，防火墙只将80端口传入的通信发到指定的Web服务器。状态/動态检测防火墙可提供的其他某些额外的服务有：1）将某些类型的连接重定向到审核服务中去。例如，到专用Web服务器的连接，在Web服务器连接被容許之前，也許被发到SecutID服务器（用一次性口令来使用）。2）拒绝携带某些数据的网络通信，如带有附加可执行程序的传入電子消息，或包括ActiveX程序的Web页面。跟踪连接状态的方式取决于包通過防火墙的类型：1）TCP包。當建立起一种TCP连接時，通過的第一种包被標有包的SYN標志。一般状况下，防火墙丢弃所有外部的连接企图，除非已經建立起某条特定规则来处理它們。對内部的连接试图连到外部主机，防火墙注明连接包，容許响应及随即再两個系统之间的包，直到连接結束為止。在這种方式下，传入的包只有在它是响应一种已建立的连接時，才會被容許通過。2）UDP包。UDP包比TCP包简朴，由于它們不包括任何连接或序列信息。它們只包括源地址、目的地址、校验和携带的数据。這种信息的缺乏使得防火墙确定包的合法性很困难，由于没有打開的连接可运用，以测试传入的包与否应被容許通過。可是，假如防火墙跟踪包的状态，就可以确定。對传入的包，若它所使用的地址和UDP包携带的协议与传出的连接祈求匹配，该包就被容許通過。和TCP包同样，没有传入的UDP包會被容許通過，除非它是响应传出的祈求或已經建立了指定的规则来处理它。對其他种类的包，状况和UDP包类似。防火墙仔细地跟踪传出的祈求，记录下所使用的地址、协议和包的类型，然後對照保留過的信息查對传入的包，以保证這些包是被祈求的。3．应用程序代理防火墙应用程序代理防火墙实际上并不容許在它连接的网络之间直接通信。相反，它是接受来自内部网络特定顾客应用程序的通信，然後建立于公共网络服务器單独的连接。网络内部的顾客不直接与外部的服务器通信，因此服务器不能直接访問内部网的任何一部分。此外，假如不為特定的应用程序安装代理程序代码，這种服务是不會被支持的，不能建立任何连接。這种建立方式拒绝任何没有明确配置的连接，從而提供了额外的安全性和控制性。例如，一种顾客的Web浏览器也許在80端口，但也常常也許是在1080 端口，连接到了内部网络 的HTTP 代理防火墙。防火墙然後會接受這個连接 祈求，并把它转到所祈求的Web 服务器。 這种连接和转移對该顾客来說是透明的，由 于它完全是由代理防火墙自動处理的。 代理防火墙一般支持的某些常見的应用程序 有： HTTP HTTPS/SSL SMTP POP3 IMAP NNTP TELNET FTP IRC 应用程序代理防火墙可以配置成容許来自内 部网络的任何连接，它也可以配置成规定顾客认 证後才建立连接。规定认证的方式由只為已知的 顾客建立连接的這种限制，為安全性提供了额外 的保证。假如网络受到危害，這個特性使得從内 部发動袭击的也許性大大減少。 4．NAT 讨论到防火墙的主題，就一定要提到有一种 路由器，尽管從技术上讲它主线不是防火墙。网 络地址转换(NAT)协议将内部网络的多种IP 地址转 换到一种公共地址发到Internet 上。 NAT 常常用于小型办公室、家庭等网络，多种 顾客分享單一的IP 地址，并為Internet 连接提供 某些安全机星空体育官方入口 星空体育官网制。 當内部顾客与一种公共主机通信時，NAT 追踪 是哪一种顾客作的祈求，修改传出的包，這样包 就像是来自單一的公共IP 地址，然後再打開连接。 一旦建立了连接，在内部计算机和Web 站點之间来 回流動的通信就都是透明的了。 當從公共网络传来一种未經祈求的传入连接 時，NAT 有一套规则来决定怎样处理它。假如没有 事先定义好的规则，NAT 只是简朴的丢弃所有未經 祈求的传入连接，就像包過滤防火墙所做的那样。 可是，就像對包過滤防火墙同样，你可以将 NAT 配置為接受某些特定端口传来的传入连接，并 将它們送到一种特定的主机地址。 5．個人防火墙 目前网络上流传著诸多的個人防火墙软件， 它是应用程序级的。個人防火墙是一种可以保护 個人计算机系统安全的软件，它可以直接在顾客 的计算机上运行，使用与状态/動态检测防火墙相 似的方式，保护一台计算机免受袭击。一般，這 些防火墙是安装在计算机网络接口的较低级别上， 使得它們可以监视传入传出网卡的所有网络通信。 一旦安装上個人防火墙，就可以把它设置成 “學习模式”，這样的话，對碰到的每一种新的 网络通信，個人防火墙都會提醒顾客一次，問询 怎样处理那种通信。然後個人防火墙便记住响应 方式，并应用于後来碰到的相似那种网络通信。 例如，假如顾客已經安装了一台個人Web 服务 器，個人防火墙也許将第一种传入的Web 连接作上 標志，并問询顾客与否容許它通過。顾客也許容 許所有的Web 连接、来自某些特定IP 地址范围的 连接等，個人防火墙然後把這条规则应用于所有 传入的Web 连接。 基本上，你可以将個人防火墙想象成在顾客 计算机上建立了一种虚拟网络接口。不再是计算 机的操作系统直接通過网卡進行通信，而是以操 作系统通過和個人防火墙對话，仔细检查网络通 信，然後再通過网卡通信。 二、各类防火墙的优缺陷 1．包過滤防火墙 使用包過滤防火墙的長处包括： 1）防火墙對每条传入和传出网络的包实行低 水平控制。 2）每個IP 包的字段都被检查，例如源地址、 目的地址、协议、端口等。防火墙将基于這些信 息应用過滤规则。 3）防火墙可以识别和丢弃带欺骗性源IP 地址 的包。 4）包過滤防火墙是两個网络之间访問的唯一 来源。由于所有的通信必须通過防火墙，绕過是 困难的。 5）包過滤一般被包括在路由器数据包中，因 此不必额外的系统来处理這個特性。 使用包過滤防火墙的缺陷包括： 1）配置困难。由于包過滤防火墙很复杂，人 們常常會忽视建立某些必要的规则，或者錯误配 置了已經有的规则，在防火墙上留下漏洞。然而， 在市場上，許多新版本的防火墙對這個缺陷正在 作改善，如開发者实現了基于图形化顾客界面 (GUI)的配置和更直接的规则定义。 2）為特定服务開放的端口存在著危险，也許 會被用于其他传播。例如，Web 服务器默认端口為 80，而计算机上又安装了RealPlayer，那么它會 搜寻可以容許连接到RealAudio 服务器的端口，而 不管這個端口与否被其他协议所使用， RealPlayer 恰好是使用80 端口而搜寻的。就這样 無意中，RealPlayer 就运用了Web 服务器的端口。 3）也許尚有其他措施绕過防火墙進入网络， 例如拨入连接。但這個并不是防火墙自身的缺陷， 而是不应當在网络安全上單纯依赖防火墙的原因。 2．状态/動态检测防火墙 状态/動态检测防火墙的長处有： 1）检查IP 包的每個字段的能力，并遵從基于 包中信息的過滤规则。 2）识别带有欺骗性源IP 地址包的能力。 3）包過滤防火墙是两個网络之间访問的唯一 来源。由于所有的通信必须通過防火墙，绕過是 困难的。 3）基于应用程序信息验证一种包的状态的能 力， 例如基于一种已經建立的FTP 连接，容許返 回的FTP 包通過。 4）基于应用程序信息验证一种包状态的能力， 例如容許一种先前认证過的连接继续与被授予的 服务通信。 5）记录有关通過的每個包的详细信息的能力。 基本上，防火墙用来确定包状态的所有信息都可 以被记录，包括应用程序對包的祈求，连接的持 续時间，内部和外部系统所做的连接祈求等。 状态/動态检测防火墙的缺陷： 状态/動态检测防火墙唯一的缺陷就是所有這 些记录、测试和分析工作也許會导致网络连接的 某种迟滞，尤其是在同步有許多连接激活的時候， 或者是有大量的過滤网络通信的规则存在時。可

　　【电子书】2024年 武汉理工大学613法学专题(经济法学)考研精品资料

　　【电子书】2024年 武汉理工大学613法学专题(国际法学)考研精品资料

　　【电子书】2024年 武汉理工大学613法学专题(知识产权法学)考研精品资料

　　【复试】2024年 湖北文理学院050106中国现当代文学《中国现当代文学专题》考研复试精品资料

　　【电子书】2024年 武汉大学853戏剧影视专题考研精品资料【第1册,共2册】

　　【电子书】2024年 中山大学815民商法学专题考研精品资料【第2册共2册】

　　【电子书】2024年 宁波大学851汉语言文学方向专题考研精品资料【第1册,共2册】