拒敵千里的防火墻
什么是防火墻?“建造起來用于防止火勢蔓延的墻壁”��。注意����,這并不是說把所有東西都從火中搶救出來���。真正的防火墻只是能延緩火勢在建筑物中的蔓延����。網絡中的防火墻更象一座裝有水力發電廠的大壩。大壩上十分嚴格地預留了一定數量的開口和溢流口����,可以使一定數量的水流通過規定通道���。原來我們希望建造網絡防火墻的真正目的就是這個�����?赡苣愕挠脩粼跍蕚渫ㄟ^網絡時也會這么說�����。我們還可以把網絡防火墻比喻成國際機場的護照檢查和海關。在你得到允許進出一個國家前����,必須通過一系列的檢查點�����。在網絡防火墻中����,每個包在得到許可繼續傳輸前也必須通過某些檢查點。
防火墻如何運作�?防火墻要檢驗每一個包�����,確定是否可以進出,如果防火墻拒絕其通過��,對不起�����,這個包將被摔到一邊�。
用更專業一點的話來講����,防火墻(Fire Wall)就是一個或一組網絡設備(計算機系統或路由器等),用來在兩個或多個網絡間加強訪問控制,其目的是保護一個網絡不受來自另一個網絡的攻擊��������?梢赃@樣理解��,相當于在網絡周圍挖了一條護城河�����,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查�����。
防火墻的組成可以這樣表示:防火墻=過濾器+安全策略(+網關)�。
一����、防火墻的實現方式
在邊界路由器上實現;
在一臺雙端口主機(dual-homed host)上實現�����;
在公共子網(該子網的作用相當于一臺雙端口主機)上實現����,在此子網上可建立含有停火區結構的防火墻��。
二��、防火墻的網絡結構
網絡的拓撲結構和防火墻的合理配置與防火墻系統的性能密切相關���,防火墻一般采用如下幾種結構��。
最簡單的防火墻結構
這種網絡結構能夠達到使受保護的網絡只能看到“橋頭堡主機”( 進出通信必經之主機),同時,橋頭堡主機不轉發任何TCP/IP通信包��,網絡中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持����。但它把整個網絡的安全性能全部托付于其中的單個安全單元����,而單個網絡安全單元又是攻擊者首選的攻擊對象�����,防火墻一旦破壞,橋頭堡主機就變成了一臺沒有尋徑功能的路由器���,系統的安全性不可靠。
單網端防火墻結構
其中屏蔽路由器的作用在于保護堡壘主機(應用網關或代理服務)的安全而建立起一道屏障���。在這種結構中可將堡壘主機看作是信息服務器,它是內部網絡對外發布信息的數據中心�����,但這種網絡拓撲結構仍把網絡的安全性大部分托付給屏蔽路由器�����。系統的安全性仍不十分可靠���。
增強型單網段防火墻的結構
為增強網段防火墻安全性����,在內部網與子網之間增設一臺屏蔽路由器�����,這樣整個子網與內外部網絡的聯系就各受控于一個工作在網絡級的路由器�,內部網絡與外部網絡仍不能直接聯系���,只能通過相應的路由器與堡壘主機通信��。
含“��;饏^”的防火墻結構
針對某些安全性特殊需要,可建立如下的防火墻網絡結構�����。網絡的整個安全特性分擔到多個安全單元���,在外�;饏^的子網上可聯接公共信息服務器�����,作為內外網絡進行信息交換的場所����。
[上一頁] [下一頁]
|
