浅谈防火墙技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统 。
根 据数据包 的来 源 、 目标 和端 口等 网络信 息进行 判 断 , 无法识 别基 于应用层 的 恶意 侵入 , 恶 意 的 Jv 如 aa小程 序 以及 电子 邮件 中附带 的病 毒 。
() 2 网络地址 转换—— N T A 网络地 址转换 是 一 种用 于 把 I P地址 转 换 成 临 时
服务 器来看 , 代理 服 务器 又 是 一 台真 正 的客 户机 。 当 客户机 需要使 用服 务器 上 的 数据 时 , 先将 数 据请 求 首 发给代 理服务 器 , 理 服务 器 再根 据 这 一请 求 向服 务 代
器索取数据 , 然后再 由代理服务器将数据传输给客户 机 。 由于 外部系 统与 内部服务 器之 间没有直 接的数据 通道 , 外部 的恶意 侵 害也 就很 难 伤 害到 企业 内部 网络
生 一个 映射记 录 , 统将 外 出 的源 地 址和 源 端 口映 射 系 为一个伪装 的地 址和 端 口, 这 个 伪装 的地址 和 端 口 让
通过 非安全 网卡 与外 部 网络 连接 , 样 对外 就 隐 藏 了 这 真实 的 内部 网络地址 。在 外部 网络通过 非安全 网卡访 Байду номын сангаас 内部 网络 时 , 它并 不知道 内部 网络 的连 接情况 , 而是
代 理型和监 测型 。
() 1 包过 滤型
只通过一 个 开 放 的 I 址 和 端 口来 请 求 访 问 , L P地 OM 防火墙根 据预先定 义好 的映射 规则来 判断这 个访 问是
否 安全 。
包 过滤 型产品是 防火墙 的初 级产 品 , 技术 依 据 其 是 网络 中的 分 包 传 输 技 术 。 网 络 上 的 数 据 都 是 以 “ ” 包 为单位 进行传输 的 , 数据 被 分割 成 为一 定大 小 的 数 据包 , 一个数 据包 中都 会包 含一些 特定信 息 , 每 如数 据 的源地址 、 目标 地 址 、 C / D T P U P源 端 口和 目标 端 口 等 。防火墙通 过读取数 据包 中的地 址信息来 判断 这些 “ ” 包 是否来 自可信 任 的安全 站 点 , 旦 发现 来 自危 险 一 站点 的数 据包 , 防火墙便 会将这 些数据 拒之 门外 。 包过滤 技术 的优点是 简单实 用 , 成本较 低 , 实现 在 应用 环境 比较 简单 的情 况 下 , 以 比较 小 的代 价 在一 能 定程度 上保证 系数安 全 。但 包过 滤技术 的缺陷也 是 明
《 中国有线电视 ̄ 00 0 ) 2 1(8
CHI NA Gr IL DI I A CABL Ⅳ E
⑥
文 章 编 号 :0 7— 0 2 2 1 )8— 9 6—0 10 7 2 ( 00 0 0 9 2
・点・ 经滴 验
中图 分 类 号 :N 1 .1 T 98 9
文 献 标 识 码 : B
显的 , 过滤技术 是一种 基于 网络层 的安全技 术 , 包 只能
() 3 代理 型 代理 型 防火墙 也称 为代 理 服 务器 , 的安全 性 要 它 高于包过 滤 型产 品 , 已经开 始 向应 用 层 发展 。从 客 并
户 机来看 , 代理 服务器 相 当于一 台真 正 的服 务器 ; 而从
根 据防火墙所 采 用 的技 术 不 同 , 们 可 以将 它 分 我 为 4种基 本类 型 : 过 滤 型 、 包 网络 地 址 转换 —— N T A 、
地址 的 内部访 问因特 网。它还 意味着用 户不需 要为其 网络 中第一 台机器取 得 注册 的 I P地址 。
在 内部 网络通过 安 全 网卡 访 问外 部 网络 时 , 产 将
的、 部 的 、 外 注册 的 I 址 标 准 。它允 许 具 有私 有 I P地 P 如果再 考虑到 格式转 换器和 画面分 割器显示 方式 带来
的一 系列 重 要 的 附加 功 能 ( T l 、 频 显 示 、 警 如 ay 音 l 报
流, 这些“ 绿色” 的特点 , 利于灵活地配置机房设备 , 利 于改 善操作人 员 的工作 环 境 , 于系 统稳 定 可 靠地 连 利
续 运行 。
等) 性价 比的优 势更 加 明显 。据 测算 , , 新显 示 方 式整 体功耗约为传统监视器方式的一半 , 绿色环保符合潮
[ 收稿 日 : 1- - ] 期 2 0 3 2 0 02
《 中国有线 电视 }0 0年 第 0 21 8期
() 4 监测 型
金 晓祥 : 浅谈 防 火墙技 术
() 1 所有从 内到外 和从 外 到 内的数 据 包都 要 经 过 防火墙 ; ( ) 有 安 全 策 略 允 许 的 数 据 包 才 能 通 过 防 2 只 火墙 ;
监 测 型防火 墙是 新 一 代 的产 品 , 一 技 术 实 际 已 这 经 超越 了最 初 的防火 墙定 义 。监测 型 防火墙 能 够对 各
代 理型 防火 墙 的优 点 是安 全 性较 高 , 以针 对 应 可
用 层进行 侦测 和扫描 , 付 基 于应 用 层 的侵 入 和病 毒 对 都 十分有效 。其缺 点是对 系统 的整体性 能有较 大 的影 响, 而且代理 服务器 必须 针 对 客 户机 可 能产 生 的所 有
应 用 类 型 逐 一 进 行 设 置 , 大 增 加 了 系统 管 理 的 复 大 杂性 。
浅 谈 防火 墙 技 术
口金 晓祥 ( 台 广 视 江 东 市 播电 局, 苏东 2 0) 台2 2 40
“ 防火墙 ” 一种形 象 的说 法 , 是 其实 它是 一 种 由计
算机硬 件和软 件的组 合 , 使互 联 网与 内部 网之 间建 立 起 一个安 全 网关 (eui a w y , 而保 护 内部 网 scrygt a ) 从 t e 免 受 非 法 用 户 侵 入 , 就 是 一 个 把 互 联 网与 内部 网 也 ( 常指局域 或城域 网 ) 通 隔开的屏 障 。 1 防火 墙的技 术实现
根 据数据包 的来 源 、 目标 和端 口等 网络信 息进行 判 断 , 无法识 别基 于应用层 的 恶意 侵入 , 恶 意 的 Jv 如 aa小程 序 以及 电子 邮件 中附带 的病 毒 。
() 2 网络地址 转换—— N T A 网络地 址转换 是 一 种用 于 把 I P地址 转 换 成 临 时
服务 器来看 , 代理 服 务器 又 是 一 台真 正 的客 户机 。 当 客户机 需要使 用服 务器 上 的 数据 时 , 先将 数 据请 求 首 发给代 理服务 器 , 理 服务 器 再根 据 这 一请 求 向服 务 代
器索取数据 , 然后再 由代理服务器将数据传输给客户 机 。 由于 外部系 统与 内部服务 器之 间没有直 接的数据 通道 , 外部 的恶意 侵 害也 就很 难 伤 害到 企业 内部 网络
生 一个 映射记 录 , 统将 外 出 的源 地 址和 源 端 口映 射 系 为一个伪装 的地 址和 端 口, 这 个 伪装 的地址 和 端 口 让
通过 非安全 网卡 与外 部 网络 连接 , 样 对外 就 隐 藏 了 这 真实 的 内部 网络地址 。在 外部 网络通过 非安全 网卡访 Байду номын сангаас 内部 网络 时 , 它并 不知道 内部 网络 的连 接情况 , 而是
代 理型和监 测型 。
() 1 包过 滤型
只通过一 个 开 放 的 I 址 和 端 口来 请 求 访 问 , L P地 OM 防火墙根 据预先定 义好 的映射 规则来 判断这 个访 问是
否 安全 。
包 过滤 型产品是 防火墙 的初 级产 品 , 技术 依 据 其 是 网络 中的 分 包 传 输 技 术 。 网 络 上 的 数 据 都 是 以 “ ” 包 为单位 进行传输 的 , 数据 被 分割 成 为一 定大 小 的 数 据包 , 一个数 据包 中都 会包 含一些 特定信 息 , 每 如数 据 的源地址 、 目标 地 址 、 C / D T P U P源 端 口和 目标 端 口 等 。防火墙通 过读取数 据包 中的地 址信息来 判断 这些 “ ” 包 是否来 自可信 任 的安全 站 点 , 旦 发现 来 自危 险 一 站点 的数 据包 , 防火墙便 会将这 些数据 拒之 门外 。 包过滤 技术 的优点是 简单实 用 , 成本较 低 , 实现 在 应用 环境 比较 简单 的情 况 下 , 以 比较 小 的代 价 在一 能 定程度 上保证 系数安 全 。但 包过 滤技术 的缺陷也 是 明
《 中国有线电视 ̄ 00 0 ) 2 1(8
CHI NA Gr IL DI I A CABL Ⅳ E
⑥
文 章 编 号 :0 7— 0 2 2 1 )8— 9 6—0 10 7 2 ( 00 0 0 9 2
・点・ 经滴 验
中图 分 类 号 :N 1 .1 T 98 9
文 献 标 识 码 : B
显的 , 过滤技术 是一种 基于 网络层 的安全技 术 , 包 只能
() 3 代理 型 代理 型 防火墙 也称 为代 理 服 务器 , 的安全 性 要 它 高于包过 滤 型产 品 , 已经开 始 向应 用 层 发展 。从 客 并
户 机来看 , 代理 服务器 相 当于一 台真 正 的服 务器 ; 而从
根 据防火墙所 采 用 的技 术 不 同 , 们 可 以将 它 分 我 为 4种基 本类 型 : 过 滤 型 、 包 网络 地 址 转换 —— N T A 、
地址 的 内部访 问因特 网。它还 意味着用 户不需 要为其 网络 中第一 台机器取 得 注册 的 I P地址 。
在 内部 网络通过 安 全 网卡 访 问外 部 网络 时 , 产 将
的、 部 的 、 外 注册 的 I 址 标 准 。它允 许 具 有私 有 I P地 P 如果再 考虑到 格式转 换器和 画面分 割器显示 方式 带来
的一 系列 重 要 的 附加 功 能 ( T l 、 频 显 示 、 警 如 ay 音 l 报
流, 这些“ 绿色” 的特点 , 利于灵活地配置机房设备 , 利 于改 善操作人 员 的工作 环 境 , 于系 统稳 定 可 靠地 连 利
续 运行 。
等) 性价 比的优 势更 加 明显 。据 测算 , , 新显 示 方 式整 体功耗约为传统监视器方式的一半 , 绿色环保符合潮
[ 收稿 日 : 1- - ] 期 2 0 3 2 0 02
《 中国有线 电视 }0 0年 第 0 21 8期
() 4 监测 型
金 晓祥 : 浅谈 防 火墙技 术
() 1 所有从 内到外 和从 外 到 内的数 据 包都 要 经 过 防火墙 ; ( ) 有 安 全 策 略 允 许 的 数 据 包 才 能 通 过 防 2 只 火墙 ;
监 测 型防火 墙是 新 一 代 的产 品 , 一 技 术 实 际 已 这 经 超越 了最 初 的防火 墙定 义 。监测 型 防火墙 能 够对 各
代 理型 防火 墙 的优 点 是安 全 性较 高 , 以针 对 应 可
用 层进行 侦测 和扫描 , 付 基 于应 用 层 的侵 入 和病 毒 对 都 十分有效 。其缺 点是对 系统 的整体性 能有较 大 的影 响, 而且代理 服务器 必须 针 对 客 户机 可 能产 生 的所 有
应 用 类 型 逐 一 进 行 设 置 , 大 增 加 了 系统 管 理 的 复 大 杂性 。
浅 谈 防火 墙 技 术
口金 晓祥 ( 台 广 视 江 东 市 播电 局, 苏东 2 0) 台2 2 40
“ 防火墙 ” 一种形 象 的说 法 , 是 其实 它是 一 种 由计
算机硬 件和软 件的组 合 , 使互 联 网与 内部 网之 间建 立 起 一个安 全 网关 (eui a w y , 而保 护 内部 网 scrygt a ) 从 t e 免 受 非 法 用 户 侵 入 , 就 是 一 个 把 互 联 网与 内部 网 也 ( 常指局域 或城域 网 ) 通 隔开的屏 障 。 1 防火 墙的技 术实现