防火墙的构筑及配置

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防火墙的构筑及配置

施建强

一、防火墙的类型

目前,比较成熟的防火墙技术主要有以下两种:包过滤技术和代理服务技术。与之相对应出现了构造防火墙的两种基本原则:屏蔽路由器和代理服务器。

1.屏蔽路由器(Screening Router)

屏蔽路由器一般是一个多口IP路由器,用于在内部和外部的主机之间发送数据包,它不但对数据包进行路由发送,还依据一定的安全规则检查数据包,决定是否发送。它依据的规则由站点的安全策略决定,这些规则可根据IP包中信息:IP源地址、IP目的地址、协议、ICP或UDP源端口等进行设置,也可根据路由器知道的信息如数据包到达端口、出去端口进行设置。这些规则由屏蔽路由器强制设置,也称它为包过滤规则。

2.代理服务器(Proxy Server)

代理服务器是运行在防火墙主机上的专门应用程序或服务器程序。这些程序接受用户对Internet 服务的请求,并按照相应的安全策略将这些请求转发到实际的服务。代理服务器为一个特定的服务提供替代连接,充当服务的网关,因此又称为应用级网关。

二、防火墙的体系结构

实际构筑防火墙时,一般是使用多种不同部件的组合,每个部件有其解决问题的重点。由于整个网络的拓扑结构、应用和协议的需要不同,防火墙的配置和实现方式也千差万别。以下是几种常用的防火墙实现方式及其优缺点。

1.筛选路由器

(Screening router)

筛选路由器通常又称包过滤(Packet filter)防火墙。它一般作用在网络层(IP层),对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包作允许拒绝的决定。采用这种技术的防火墙优点在于速度快、实现方便但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。

2.双宿主主机(双宿网关)(Dual-Homed Host)

双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外网络之间的IP

数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。主机结构采用主机取代路由器执行安全控制功能,受保护网除了看到堡垒主机外,不能看到其他任何系统。同时堡垒主机不转发TCP/IP通信报文,网络中的所有服务都必须由此主机的相应代理程序来支持。

双宿主机是唯一隔开内部网和外部因特网之间的屏障,如果入侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。

3.屏蔽主机网关(Screened Host Gateway)

屏蔽主机网关结构中提供安全保护的主机仅仅与内部网相连,还有一台单独的过滤路由器,这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机,其结构如图1所示。该防火墙系统提供的安全等级比包过滤防火墙系统要高。

过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果遭到破坏,则数据包就不会被路由到堡垒主机上。

4.被屏蔽子网(Screened Subnet)

增加一个把内部网与互联网隔离的周边网络(也称为非军事区DMZ),从而进一步实现屏蔽主机的安全性,通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。典型的屏蔽子网如图2所示,其结构有两个屏蔽路由器,分别位于周边网与内部网、周边网与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两个路由器,因而不存在危害内部网的单一入口点。

三、选购防火墙的基本原则

选择防火墙时,主要有如下原则值得考虑:

1.支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略。

2.本身支持安全策略,而不是添加上去的。

3.如果组织机构的安全策略发生改变,可以加入新的服务。

4.有先进的认证手段或有挂钩程序,可以安装先进的认证方法。

5.如果需要,可以运用过滤技术和禁止服务。

6.可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上。

7.拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

依据以上原则,企业构筑并使用了一种防火墙体系,还应定期对防火墙和相应的操作系统用补丁程序进行升级,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。

四、设置防火墙时应注意的问题

1.设置的密码绝对不能采用常用单词或人名生日等,长度应尽量地长。

2.绝对不能使用系统默认值。

3.注意调整安全级别。

4.设置读写权限时要当心。

随着网络攻击手段和信息安全技术的发展,新一代防火墙功能更强大、安全性更强。这个阶段的防火墙已经超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙。新一代防火墙技术采用了一些主动的网络安全技术,比如网络安全性分析、网络信息安全检测等等,因此可以抵御目前常见的网络攻击手段:IP地址欺骗、特洛伊木马攻击、Internet 蠕虫、口令探寻攻击、邮件攻击等等。

所谓的网络安全是一种相对的安全,并没有绝对的安全网络,网络安全系数越高,就需要付出越高的代价。增加网络安全的措施不可避免地要耗费网络资源或者限制资源的使用,这对网络服务的高效、灵活是一种抑制。因此对网络安全的追求必须在与网络服务高效灵活和应用成本之间寻求一个最佳平衡点。

相关文档
最新文档