发信人: HPVC()
整理人: ding(1999-12-13 18:56:19), 站内信件
|
(三)防火墙的构成
防火墙的主要组成部分有:
3.1 * 网络政策;
3.2 * 先进的验证工具;
3.3 * 包过滤;
3.4 * 应用网关;
3.1 网络政策
有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发
布专用的网络访问政策,它用来定义那些有受限制的网络许可或明确拒绝的服务,如何
使用这些服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问
,并过滤在高层政策所定义的服务。以下是这些政策的描述。
3.1.1 服务访问政策
服务访问政策应集中与上面定义的Internet专用的使用问题,或许也应集中与所
有的外部网络访问问题(即拨入政策以及SLIP和PPP连接)。这种政策应当是整个机构有关
保护机构信息资源政策的延伸。要使防火墙取得成功,服务访问政策必须既切合实际,
又稳妥可靠,而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策,
既能防护网络免受已知风险,而且仍能使用户利用网络资源。如果防火墙系统拒绝或限
制服务,那么,它通常需要服务访问政策有力量来防止防火墙的访问控制措施不会受到
带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。
防火墙可以实施各种不同的服务访问政策,但是,一个典型的政策可以不允许从
Internet访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet
进行某些访问,但是或许只许可访问经过选择的系统,如信息服务器和电子邮件服务器
。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策,
但是,这种访问只是在必要时,而且只能与先进的验证措施组合时才允许进行。
3.1.2 防火墙设计政策
防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则。一个人
不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题
的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一:
1. 拒绝访问除明确许可以外的任何一种服务;也即是拒绝一切未予特许的东西
2. 允许访问除明确拒绝以外的任何一种服务;也即是允许一切未被特别拒绝的东西
如果防火墙采取第一种安全控制的方针,那么,需要确定所有可以被提供的服务以及
它们的安全特性,然后,开放这些服务,并将所有其它未被列入的服务排斥在外,禁止
访问。如果防火墙采取第二中安全控制的方针,则正好相反,需要确定那些认为是不安全
的服务,禁止其访问;而其它服务则被认为是安全的,允许访问。
比较这两种政策,我们可以看到,第一种比较保守,遵循"我们所不知道的都会伤害
我们"的观点,因此能提供较高的安全性。但是,这样一来,能穿过防火墙为我们所用的
服务,无论在数量上还是类型上,都受到很大的限制。第二种则较灵活,虽然可以提供
较多的服务,但是,所存在的风险也比第一种大。对于第二种政策,还有一个因素值得
考虑,即受保护网络的规模。当受保护网络的规模越来越大时,对它进行完全监控就会
变得越来越难。因此,如果网络中某成员绕过防火墙向外提供以被防火墙所禁止的服务
,网络管理员就很难发现。For example : 有一用户,他有权不从标准的Telnet端口(po-
-rt 23)来提供Telnet服务,而是从另一个Port来提供此服务,由于标准的Telnet端口已
被防火墙所禁止,而另一Port没有被禁止。这样,虽然防火墙主观上想禁止提供Telnet
服务,但实际上却没有达到这种效果。因此,采用第二种政策的防火墙不仅要防止外部
人员的攻击,而且要防止内部成员不管是有意还是无意的攻击。
总的来说,从安全性的角度考虑,第一种政策更可取一些;而从灵活性和使用方
便性的角度考虑,则第二种政策更适合。
--
※ 来源:·Netease BBS bbs.nease.net·[FROM: gw.gznet.com]
|
|