首页 > > 网络知识 > 网络安全 >

网络防火墙的系统解决方案(下)

2008-04-02 10:56:44来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

(三)状态包过滤型防火墙

  为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上,通过基于上下文的动态包过滤模块检查,增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查,动态包过滤型防火墙在网络层截获进来的包,直到足够的数量,以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后,记录在动态状态表中,以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙,在内部与外部系统之间建立直接的联系。

  尽管基于上下文的状态包过滤检查的方法明显地提高了安全性,但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是CHECKPOINT FIREWAL-1防火墙。下图显示的是基于上下文的动态包过滤防火墙的逻辑结构。


三、安全需求分析

  TCP/IP的灵活设计和Internet的普遍应用为网络黑客技术的发展提供了基础,黑客技术很容易被别有用心或喜欢炫耀的人们掌握,由此黑客数量剧增。加之网络连接点多面广,客观上为黑客的入侵提供了较多的切入点。企业计算机网络中内部网上的信息有许多是属于机密数据,一旦被不怀好意的黑客窃取或被竞争对手得到,都将带来难以估量的损失。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。

  本着经济、高效的原则,有必要将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护,以实现对内部网以及主机系统的访问控制和边界安全的集中管理。

  四、防火墙方案具体实现

  (一)产品选型原则

  在进行防火墙产品选型时,除了必须遵循网络安全体系设计原则外,还要求防火墙至少应包含以下功能:

  1、访问控制:通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前;

  2、攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);

  3、加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息;

  4、身份认证:良好的认证体系可防止攻击者假冒合法用户;

  5、多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标;

  6、隐藏内部信息:使攻击者不能了解系统内的基本情况;

  7、安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。

  在实际的网络中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。此外,保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入,由此可见,保障网络的安全是有代价的。对安全性的追求可以是无限的,但费用也会随之增长。以防火墙建立一套安全系统,可充分兼顾以下因素:
1、安全性与方便

  一般来说,网络使用的方便性会因采用了网络安全措施而降低。防火墙无论从安装、配置到策略调整都在同一个GUI界面下完成,管理十分方便快捷,网络管理员的额外工作强度很小。此外,防火墙内外网卡透明设置也极大地方便了内部用户,内部工作站(包括服务器)不必增加任何额外的配置。

  2、安全性与性能

  对网络来说,安全措施是靠网络资源来完成的,它或者是占用主机CPU和内存,或者是占用网络带宽,或者是增加信息处理的过程,所有这些都可以导致整体性能降低防火墙拥有独特的状态包过滤技术,在安全性和速度之间可以自动找到理想的平衡点。

  3、安全性与成本

  采用网络安全措施或建立网络安全系统都会增加额外的成本,这里包括购买硬件、软件的花费,系统设计和实施费用,管理和维护安全系统的费用。

  (二)防火墙具体实现

  1、部署边界防火墙

  设置边界防火墙的正确位置应该在内部网络与外部网络之间。防火墙设置在此位置上,防火墙的内外网卡分属于内部和外部网段。内部网络和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机,对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路,如果防火墙后还有其它通路,防火墙将被短路,无法完成保护内部网络的工作。如果内部网络有多个外部连接,就应该在每个入口处都放置防火墙。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:linux的病毒发展史及分类

下一篇:企业网络防范计算机病毒的需求

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签