Internet让人们得以共享全世界的信息资源,给人们带来便捷享受和新的思维方式。同时由于Internet的开放性,使得黑客和病毒可以大显身手,给互联网社会带来巨大危害。
Internet实际上是由众多的小的网络构成,对于每一个小的网络来说,自然存在内部和外部两个概念,即人们希望内部的网络资源受到保护,同时又可以共享外部网络的资源。而防火墙是在一个被认为是安全和可信的内部网和一个被认为不那么安全和可信的外部网之间提供的一个由软件和硬件设备共同组成的安全防御工具。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有很强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它只允许授权的数据通过,且本身也必须能够免于渗透,所以它能有效地监控内网和外网之间的任何活动,增强机构内部网络的安全性。
防火墙的主要功能有以下方面。
(1)访问控制:防火墙的主要功能是通过设置内部用户对外部网络特殊站点的访问策略,对整个网络进行访问控制。比如允许外部网络访问服务器的WWW服务,但无法访问它的Telnet服务。
(2)动态包过滤技术:根据所设置的安全规则动态维护通过防火墙的所有连接,对于每个连接的数据包的内容和服务进行过滤。
(3)部署NAT:利用NAT技术,将有限的公有IP地址动态或静态地与内部的私有IP地址进行映射,用以保护内部网络。
(4)控制不安全的服务:通过设置信任域与不信任域之间数据出入的策略,提高一个内部网络的安全性。还可以定义规则计划,使系统在某一时间可以自动启用和关闭访问策略。
(5)集中的安全保护:通过以防火墙为中心的安全方案配置,一个子网的所有或大部分需要改动的软件以及附加的安全软件(如口令、加密、身份认证、审计等)能集中地放在防火墙系统中。
(6)日志记录和统计:提供符合规则报文的信息、系统管理信息、系统故障信息的日志记录;对正常的网络使用情况做出统计。通过对统计结果的分析,可以使网络资源得到更好的使用。
(7)报警:可以将系统的告警通过发送邮件等方式通知网络管理员。(www.xing528.com)
1.屏蔽主机
屏蔽主机防火墙体由包过滤路由器和堡垒主机构成,实现了络层安全(包过滤)和应用层安全(代理服务),如图7-5所示。堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置,使得进出的所有信息必须通过堡垒主机。这种路由允许堡垒主机在外部流量代理到内部网络之前进行流量分析。
由于内部主机与堡垒主机处于同一个网络,安全策略可以设置内部系统是否允许直接访问Internet,也可以设置为要求内部系统使用堡垒主机上的代理服务来访问Internet。一般堡垒主机应至少有两个网卡,这样可以物理隔离子网。
图7-5 屏蔽主机防火墙
2.屏蔽子网
在内部网络和Internet之间建立一个子网作为防火墙,堡垒机放在该子网内,形成“非军事化区(DMZ)”,两个分组过滤路由器放在子网的两端,子网将Internet及内部网络隔离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础,如图7-6所示。
在定义了“非军事化区”后,屏蔽子网防火墙具有外部路由过滤、内部路由过滤和应用网关三道防线。外部路由过滤用于防止源路由攻击等外部攻击,并实现外部网络对子网的访问控制;内部路由过滤使得内部网络只能通过堡垒主机向外部网络发送数据;应用网关实现NAT和代理服务,使外部网络无法知道内部主机的IP地址和内部域名服务信息。
图7-6 屏蔽子网防火墙
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。