发信人: y2kant(流野)
整理人: williamlong(2002-05-26 13:13:59), 站内信件
|
一、 防 火 墙
由 于Internet 的 迅 速 发 展, 提 供 了 发 布 信 息 和 检 索 信 息 的 场 所, 但 它 也 带 来 了 信 息 污 染 和 信 息 破 坏 的 危 险, 人 们 为 了 保 护 其 数 据 和 资 源 的 安 全, 出 现 了 防 火 墙。 防 火 墙 从 本 质 上 说 是 一 种 保 护 装 置。 它 保 护 的 是 数 据、 资 源 和 用 户 的 声 誉。
1. Internet 防 火 墙
防 火 墙 原 是 建 筑 物 大 厦 设 计 来 防 止 火 灾 从 大 厦 的 一 部 分 传 播 到 另 一 部 分 的 设 施。 从 理 论 上 讲Internet 防 火 墙 服 务 也 属 于 类 似 目 的。 它 防 止Internet 上 的 危 险( 病 毒、 资 源 盗 用 等) 传 播 到 你 的 网 络 内 部。 而 事 实 上Internet 防 火 墙 不 象 一 座 现 代 化 大 厦 中 的 防 火 墙, 更 象 北 京 故 宫 的 护 城 河。 它 服 务 于 多 个 目 的:
(1) 限 制 人 们 从 一 个 特 别 的 控 制 点 进 入;
(2) 防 止 侵 入 者 接 近 你 的 其 它 设 施;
(3) 限 定 人 们 从 一 个 特 别 的 点 离 开;
(4) 有 效 的 阻 止 破 坏 者 对 你 的 计 算 机 系 统 进 行 破 坏。
因 特 网 防 火 墙 常 常 被 安 装 在 受 保 护 的 内 部 网 络 连 接 到 因 特 网 的 点 上。
2. 防 火 墙 的 优 点
(1) 防 火 墙 能 强 化 安 全 策 略
因 为 Internet 上 每 天 都 有 上 百 万 人 在 那 里 收 集 信 息、 交 换 信 息, 不 可 避 免 地 会 出 现 个 别 品 德 不 良 的 人, 或 违 反 规 则 的 人, 防 火 墙 是 为 了 防 止 不 良 现 象 发 生 的“ 交 通 警 察”, 它 执 行 站 点 的 安 全 策 略, 仅 仅 容 许“ 认 可 的” 和 符 合 规 则 的 请 求 通 过。
(2) 防 火 墙 能 有 效 地 记 录 Internet 上 的 活 动
因 为 所 有 进 出 信 息 都 必 须 通 过 防 火 墙, 所 以 防 火 墙 非 常 适 用 收 集 关 于 系 统 和 网 络 使 用 和 误 用 的 信 息。 作 为 访 问 的 唯 一 点, 防 火 墙 能 在 被 保 护 的 网 络 和 外 部 网 络 之 间 进 行 记 录。
(3) 防 火 墙 限 制 暴 露 用 户 点
防 火 墙 能 够 用 来 隔 开 网 络 中 一 个 网 段 与 另 一 个 网 段。 这 样, 能 够 防 止 影 响 一 个 网 段 的 问 题 通 过 整 个 网 络 传 播。
(4) 防 火 墙 是 一 个 安 全 策 略 的 检 查 站
所 有 进 出 的 信 息 都 必 须 通 过 防 火 墙, 防 火 墙 便 成 为 安 全 问 题 的 检 查 点, 使 可 疑 的 访 问 被 拒 绝 于 门 外。
3. 防 火 墙 的 不 足 之 处
上 面 我 们 叙 述 了 防 火 墙 的 优 点, 但 它 还 是 有 缺 点 的, 主 要 表 现 在:
(1) 不 能 防 范 恶 意 的 知 情 者
防 火 墙 可 以 禁 止 系 统 用 户 经 过 网 络 连 接 发 送 专 有 的 信 息, 但 用 户 可 以 将 数 据 复 制 到 磁 盘、 磁 带 上, 放 在 公 文 包 中 带 出 去。 如 果 入 侵 者 已 经 在 防 火 墙 内 部, 防 火 墙 是 无 能 为 力 的。 内 部 用 户 偷 窃 数 据, 破 坏 硬 件 和 软 件, 并 且 巧 妙 地 修 改 程 序 而 不 接 近 防 火 墙。 对 于 来 自 知 情 者 的 威 胁 只 能 要 求 加 强 内 部 管 理, 如 主 机 安 全 和 用 户 教 育 等。
(2) 不 能 防 范 不 通 过 它 的 连 接
防 火 墙 能 够 有 效 地 防 止 通 过 它 进 行 传 输 信 息, 然 而 不 能 防 止 不 通 过 它 而 传 输 的 信 息。 例 如, 如 果 站 点 允 许 对 防 火 墙 后 面 的 内 部 系 统 进 行 拨 号 访 问, 那 么 防 火 墙 绝 对 没 有 办 法 阻 止 入 侵 者 进 行 拨 号 入 侵。
(3) 不 能 防 备 全 部 的 威 胁
防 火 墙 被 用 来 防 备 已 知 的 威 胁, 如 果 是 一 个 很 好 的 防 火 墙 设 计 方 案, 可 以 防 备 新 的 威 胁, 但 没 有 一 个 防 火 墙 能 自 动 防 御 所 有 的 新 的 威 胁。
(4) 防 火 墙 不 能 防 范 病 毒
防 火 墙 不 能 消 除 网 络 上 的PC 机 的 病 毒。
二、 防 火 墙 体 系 结 构
目 前, 防 火 墙 的 体 系 结 构 一 般 有 以 下 几 种:
(1) 双 重 宿 主 主 机 体 系 结 构;
(2) 被 屏 蔽 主 机 体 系 结 构;
(3) 被 屏 蔽 子 网 体 系 结 构。
1. 双 重 宿 主 主 机 体 系 结 构
双 重 宿 主 主 机 体 系 结 构 是 围 绕 具 有 双 重 宿 主 的 主 机 计 算 机 而 构 筑 的, 该 计 算 机 至 少 有 两 个 网 络 接 口。 这 样 的 主 机 可 以 充 当 与 这 些 接 口 相 连 的 网 络 之 间 的 路 由 器; 它 能 够 从 一 个 网 络 到 另 一 个 网 络 发 送 IP 数 据 包。 然 而, 实 现 双 重 宿 主 主 机 的 防 火 墙 体 系 结 构 禁 止 这 种 发 送 功 能。 因 而,IP 数 据 包 从 一 个 网 络( 例 如, 因 特 网) 并 不 是 直 接 发 送 到 其 它 网 络( 例 如, 内 部 的、 被 保 护 的 网 络)。 防 火 墙 内 部 的 系 统 能 与 双 重 宿 主 主 机 通 信, 同 时 防 火 墙 外 部 的 系 统( 在 因 特 网 上) 能 与 双 重 宿 主 主 机 通 信, 但 是 这 些 系 统 不 能 直 接 互 相 通 信。 它 们 之 间 的 IP 通 信 被 完 全 阻 止。
双 重 宿 主 主 机 的 防 火 墙 体 系 结 构 是 相 当 简 单 的: 双 重 宿 主 主 机 位 于 两 者 之 间, 并 且 被 连 接 到 因 特 网 和 内 部 的 网 络。
2. 屏 蔽 主 机 体 系 结 构
双 重 宿 主 主 机 体 系 结 构 提 供 来 自 与 多 个 网 络 相 连 的 主 机 的 服 务( 但 是 路 由 关 闭), 而 被 屏 蔽 主 机 体 系 结 构 使 用 一 个 单 独 的 路 由 器 提 供 来 自 仅 仅 与 内 部 的 网 络 相 连 的 主 机 的 服 务。 在 这 种 体 系 结 构 中, 主 要 的 安 全 由 数 据 包 过 滤。
在 屏 蔽 的 路 由 器 上 的 数 据 包 过 滤 是 按 这 样 一 种 方 法 设 置 的: 即 堡 垒 主 机 是 因 特 网 上 的 主 机 能 连 接 到 内 部 网 络 上 的 系 统 的 桥 梁( 例 如, 传 送 进 来 的 电 子 邮 件)。 即 使 这 样, 也 仅 有 某 些 确 定 类 型 的 连 接 被 允 许。 任 何 外 部 的 系 统 试 图 访 问 内 部 的 系 统 或 者 服 务 将 必 须 连 接 到 这 台 堡 垒 主 机 上。 因 此, 堡 垒 主 机 需 要 拥 有 高 等 级 的 安 全。
数 据 包 过 滤 也 允 许 堡 垒 主 机 开 放 可 允 许 的 连 接( 什 么 是“ 可 允 许” 将 由 用 户 的 站 点 的 安 全 策 略 决 定) 到 外 部 世 界。
在 屏 蔽 的 路 由 器 中 数 据 包 过 滤 配 置 可 以 按 下 列 之 一 执 行:
· 允 许 其 它 的 内 部 主 机 为 了 某 些 服 务 与 因 特 网 上 的 主 机 连 接( 即 允 许 那 些 已 经 由 数 据 包 过 滤 的 服 务)。
· 不 允 许 来 自 内 部 主 机 的 所 有 连 接( 强 迫 那 些 主 机 经 由 堡 垒 主 机 使 用 代 理 服 务)。
用 户 可 以 针 对 不 同 的 服 务 混 合 使 用 这 些 手 段; 某 些 服 务 可 以 被 允 许 直 接 经 由 数 据 包 过 滤, 而 其 它 服 务 可 以 被 允 许 仅 仅 间 接 地 经 过 代 理。 这 完 全 取 决 于 用 户 实 行 的 安 全 策 略。
因 为 这 种 体 系 结 构 允 许 数 据 包 从 因 特 网 向 内 部 网 的 移 动, 所 以, 它 的 设 计 比 没 有 外 部 数 据 包 能 到 达 内 部 网 络 的 双 重 宿 主 主 机 体 系 结 构 似 乎 是 更 冒 风 险。 话 说 回 来, 实 际 上 双 重 宿 主 主 机 体 系 结 构 在 防 备 数 据 包 从 外 部 网 络 穿 过 内 部 的 网 络 也 容 易 产 生 失 败( 因 为 这 种 失 败 类 型 是 完 全 出 乎 预 料 的, 不 大 可 能 防 备 黑 客 侵 袭)。 进 而 言 之, 保 卫 路 由 器 比 保 卫 主 机 较 易 实 现, 因 为 它 提 供 非 常 有 限 的 服 务 组。 多 数 情 况 下, 被 屏 蔽 的 主 机 体 系 结 构 提 供 比 双 重 宿 主 主 机 体 系 结 构 具 有 更 好 的 安 全 性 和 可 用 性。
然 而, 比 较 其 它 体 系 结 构, 如 在 下 面 要 讨 论 的 屏 蔽 子 网 体 系 结 构 也 有 一 些 缺 点。 主 要 的 是 如 果 侵 袭 者 没 有 办 法 侵 入 堡 垒 主 机 时, 而 且 在 堡 垒 主 机 和 其 余 的 内 部 主 机 之 间 没 有 任 何 保 护 网 络 安 全 的 东 西 存 在 的 情 况 下, 路 由 器 同 样 出 现 一 个 单 点 失 效。 如 果 路 由 器 被 损 害, 整 个 网 络 对 侵 袭 者 是 开 放 的。
----
孔子云:“何‘流’之有!”
其实,我也不想叫“流野”,只是叫的人多了,也就变成了“流”。
<img src=http://uh1.gz.163.com photo?name=y2kant alt=大家好!!多多关照!> |
|