21世紀是網路經濟時代,internet已經走進千家萬戶,當我們盡情地在internet上暢遊時,往往把網路的安全問題拋在腦後。其實危險無處不在,防火牆是網路安全的乙個重要防護措施,用於對網路和系統的保護。監控通過防火牆的資料,根據管理員的要求,允許和禁止特定資料報的通過,並對所有事件進行監控和記錄。
最簡單的防火牆配置,就是直接在內部網和外部網之間加裝乙個包過濾路由器或者應用閘道器。為更好地實現網路安全,有時還要將幾種防火牆技術組合起來構建防火牆系統。目前比較流行的有以下三種防火牆配置方案。
1、雙宿主機閘道器(dual homed gateway)
這種配置是用一台裝有兩個網路介面卡的雙宿主機做防火牆。雙宿主機用兩個網路介面卡分別連線兩個網路,又稱堡壘主機。堡壘主機上執行著防火牆軟體(通常是**伺服器),可以**應用程式,提供服務等。
雙宿主機閘道器有乙個致命弱點,一旦入侵者侵入堡壘主機並使該主機只具有路由器功能,則任何網上使用者均可以隨便訪問有保護的內部網路(如圖1)。
2、遮蔽主機閘道器(screened host gateway)
遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。
乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線(如圖2)。通常在路由器上設立過濾規則,並使這個單宿堡壘主機成為從 internet惟一可以訪問的主機,確保了內部網路不受未被授權的外部使用者的攻擊。
而intranet內部的客戶機,可以受控制地通過遮蔽主機和路由器訪問internet.
雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網絡卡,一塊連線內部網路,一塊連線包過濾路由器(如圖3)。雙宿堡壘主機在應用層提供**服務,與單宿型相比更加安全。
3、遮蔽子網(screened subnet)
這種方法是在intranet和internet之間建立乙個被隔離的子網,用兩個包過濾路由器將這一子網分別與intranet和 internet 分開。兩個包過濾路由器放在子網的兩端,在子網內構成乙個「緩衝地帶」(如圖4),兩個路由器乙個控制intranet 資料流,另乙個控制internet資料流,intranet和internet均可訪問遮蔽子網,但禁止它們穿過遮蔽子網通訊。可根據需要在遮蔽子網中安裝堡壘主機,為內部網路和外部網路的互相訪問提供**服務,但是來自兩網路的訪問都必須通過兩個包過濾路由器的檢查。
對於向internet公開的伺服器,像www、ftp、mail等internet伺服器也可安裝在遮蔽子網內,這樣無論是外部使用者,還是內部使用者都可訪問。這種結構的防火牆安全效能高,具有很強的抗攻擊能力,但需要的裝置多,造價高。
當然,防火牆本身也有其侷限性,如不能防範繞過防火牆的入侵,像一般的防火牆不能防止受到病毒感染的軟體或檔案的傳輸;難以避免來自內部的攻擊等等。總之,防火牆只是一種整體安全防範策略的一部分,僅有防火牆是不夠的,安全策略還必須包括全面的安全準則,即網路訪問、本地和遠端使用者認證、撥出撥入呼叫、磁碟和資料加密以及病毒防護等有關的安全策略。
防火牆的三種技術
常見防火牆的型別主要有三種 包過濾 電路層閘道器 應用層閘道器,每種都有各自的優缺點。包過濾是第一代防火牆技術,它按照安全規則,檢查所有進來的資料報,而這些安全規則大都是基於低層協議的,如ip tcp。如果乙個資料報滿足以上所有規則,過濾路由器把資料向上層提交,或 此資料報,否則就丟棄此包。包過濾的...
防火牆配置方案
由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...
成都某餐飲企業防火牆方案
1 客戶的需求 一 公司員工的電腦均能實現共享寬頻上網,內網伺服器實現外網埠對映,包括郵件伺服器 ftp伺服器。使外部的員工都能通過公網實現對內網伺服器的訪問。二 內部伺服器的全部共享資料檔案及資料庫,可供所有員工使用。三 限制部分員工電腦訪問internet,從而確保網路資源的有效利用,並且保證關...