資源描述:
《防火墻在網(wǎng)絡(luò)安全訪問(wèn)控制中的應(yīng)用選擇》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1��、萬(wàn)方數(shù)據(jù)sYssEcuR���。TY系統(tǒng)安全I(xiàn)65防火墻在網(wǎng)絡(luò)安全訪問(wèn)控制中的應(yīng)用選擇吳子勤劉笑軍滕建明(蚌埠坦克學(xué)院訓(xùn)練部安徽蚌埠233050)摘要:隨著Internet的應(yīng)用日益普及��,針對(duì)網(wǎng)絡(luò)的攻擊頻率和密度也在顯著增長(zhǎng)�,這給網(wǎng)絡(luò)安全帶來(lái)了越來(lái)越多的隱患����。我們可以通過(guò)很多網(wǎng)絡(luò)工具�����、設(shè)備和策略來(lái)保護(hù)不可信任的網(wǎng)絡(luò)�。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇���。它設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障,防止不可預(yù)料的�����、潛在的破壞侵入用戶網(wǎng)絡(luò)�;在開放和封閉的界面上構(gòu)造一個(gè)保護(hù)層,屬于內(nèi)部范圍的業(yè)務(wù)�����,依照協(xié)議在授權(quán)許可下進(jìn)行���;外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)受到的限制
2�、�。關(guān)鍵詞:防火墻;網(wǎng)絡(luò)安全�;訪問(wèn)控制�;應(yīng)用選擇1引言過(guò)去�,許多內(nèi)聯(lián)網(wǎng)訪問(wèn)Internet的基本方法是將本系統(tǒng)的內(nèi)部網(wǎng)直接接入Internet,這樣內(nèi)部網(wǎng)的每臺(tái)計(jì)算機(jī)都可以獲得完全的InternetfJ艮務(wù)�。這樣的連接在給用戶帶來(lái)方便的同時(shí)也使網(wǎng)絡(luò)入侵者有機(jī)可乘。內(nèi)部網(wǎng)的主機(jī)將毫無(wú)保護(hù)地暴露在Internet中�����,因此�,分布在世界各地的任何一臺(tái)Internet主機(jī)都可以直接對(duì)其進(jìn)行訪問(wèn),從而在安全上帶來(lái)極大的危險(xiǎn)��。并且����,入侵者的行動(dòng)通常都是很難被察覺的����,因此安全問(wèn)題已經(jīng)成為各內(nèi)部網(wǎng)接入Internet之前必須要考慮的問(wèn)題之一。目前��,以防火墻為
3�����、代表的被動(dòng)防衛(wèi)型安全保障技術(shù)已經(jīng)被證明是~種較有效的防止外部入侵的措施�。從本質(zhì)上,Internet的安全性可以通過(guò)提供以下兩方面的安全服務(wù)來(lái)達(dá)到:一是訪問(wèn)控制服務(wù)�,用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用���;二是通信安全服務(wù)��,用來(lái)提供認(rèn)證、數(shù)據(jù)機(jī)要性����、完整性和各通信端的不可否認(rèn)性服務(wù)��。這兩種服務(wù)的實(shí)現(xiàn)����,主要依賴于防火墻技術(shù)和加密技術(shù)�。防火墻的概念實(shí)際上是借用了建筑學(xué)上的一個(gè)術(shù)語(yǔ)����。建筑學(xué)中的防火墻是用來(lái)防止大火從建筑的一部分蔓延到另一部分而設(shè)置的阻擋機(jī)構(gòu)����。計(jì)算機(jī)網(wǎng)絡(luò)上的防火墻是用來(lái)防止來(lái)自互聯(lián)網(wǎng)的破壞�,如黑客攻擊�、資源被盜用或文件被篡改等波及內(nèi)
4、部網(wǎng)絡(luò)的危害���。防火墻的實(shí)質(zhì)就是限制數(shù)據(jù)流通和允許數(shù)據(jù)流通。因此防火墻有兩種對(duì)立的安全策略:(1)允許沒有特別拒絕的事情��。這種情況下防火墻只拒絕了規(guī)定的對(duì)象�����,不屬于拒絕范圍以內(nèi)的任何情況都被允許���。這種策略對(duì)數(shù)據(jù)包的阻擋能力相對(duì)較小,所以安全性相對(duì)較弱���。(2)拒絕沒有特別允許的事情��。這種情況與前面一種情況正好相反�,其拒絕能力強(qiáng)�,它只接收被允許了的數(shù)據(jù)包,凡是在允許情況以外的數(shù)據(jù)包都將被拒絕���。總之��,防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性�。防火墻系統(tǒng)決定了外界的哪些人可以訪問(wèn)內(nèi)部的哪些可以訪問(wèn)的服務(wù)��,以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn):要使一個(gè)防火墻有
5�����、效�,所有來(lái)自和通向外界的信息都必須經(jīng)過(guò)防火墻���,接受防火墻的檢查:防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),并且防火墻本身也必須能夠免于滲透�����。2防火墻的技術(shù)防火墻的種類多種多樣�,在不同的發(fā)展階段,萬(wàn)方數(shù)據(jù)66lsYssEcuR���。TY系統(tǒng)安全采用的技術(shù)也各不相同����。采用的不同技術(shù)��,因而也就產(chǎn)生了不同類型的防火墻���。(1)從防火墻產(chǎn)品形態(tài)分類,防火墻可以分為如下3種:軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上�����,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō)�,這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān),俗稱“個(gè)人防火墻”���。硬件防火墻是指所謂的“硬件防火墻”�。之“所謂”二字是針對(duì)芯
6��、片級(jí)防火墻說(shuō)的�。它們最大的差別在于是否基于專用的硬件平臺(tái)�����。傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口�����,分別接內(nèi)網(wǎng)����、外網(wǎng)和DMZ(非軍事化區(qū))�����,現(xiàn)在一些新的防火墻往往擴(kuò)展了端口����,常見的四端口防火墻一般將第4端口作為配置口�、管理端口。芯片級(jí)防火墻基于專門的硬件平臺(tái)及專用的操作系統(tǒng)�。(2)從防火墻所采用的技術(shù)不同,可以將防火墻分為如下3種類型:“包過(guò)濾型”防火墻是防火墻的初級(jí)產(chǎn)品�,其技術(shù)依據(jù)是網(wǎng)絡(luò)是的分包傳輸技術(shù)�����。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位傳輸?shù)?����,?shù)據(jù)波被分割成一定大小的數(shù)據(jù)包���,每一個(gè)數(shù)據(jù)包中都有一些特定信息,如數(shù)據(jù)的源地址��、目標(biāo)地址����、TCP/U
7�、DP源端口和目標(biāo)端口等�����。包過(guò)濾型防火墻的優(yōu)點(diǎn)是邏輯簡(jiǎn)單,實(shí)施費(fèi)用低廉���,對(duì)網(wǎng)絡(luò)的影響較小���,有較強(qiáng)的透明性��。并且它的工作與應(yīng)用層無(wú)關(guān)��,無(wú)須改動(dòng)任何客戶機(jī)和主機(jī)上的應(yīng)用程序�,易于安裝和使用。其弱點(diǎn)是:配置基于包過(guò)濾方式的防火墻�����,需要對(duì)IP���、TCP、UDP��、ICMP等各種協(xié)議有深入的了解��,否則容易出現(xiàn)因配置不當(dāng)帶來(lái)的問(wèn)題�����;不提供用戶的鑒別機(jī)制���?��!按硇汀狈阑饓σ卜Q為代理服務(wù)器���,它的安全性要高于包過(guò)濾型產(chǎn)品,并開始向應(yīng)用層發(fā)展��?���!氨O(jiān)測(cè)型”防火墻就是對(duì)包過(guò)濾技術(shù)的增強(qiáng)�。這種防火墻采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎���,稱之為監(jiān)測(cè)模塊���。它工作在鏈
8�、路層和網(wǎng)絡(luò)層之間���,對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)分析,提取相關(guān)的通信和狀態(tài)信息���,并在動(dòng)態(tài)連接表中進(jìn)行狀態(tài)及上下文信息的存儲(chǔ)和更新�,這些表被持續(xù)更新�����,為下一個(gè)通信檢查提供累積的數(shù)據(jù)���。(3)從網(wǎng)絡(luò)結(jié)構(gòu)來(lái)
