介紹一下防火墻技術(shù)

2013-08-09 11:37 作者：ly 瀏覽量：

　　網(wǎng)絡(luò)的安全不僅表現(xiàn)在網(wǎng)絡(luò)的病毒防治方面，而且還表現(xiàn)在系統(tǒng)抵抗外來(lái)非法黑客入侵的能力方面。對(duì)于網(wǎng)絡(luò)病毒，我們可以通過(guò)KV300或瑞星殺毒軟件來(lái)對(duì)付，那么對(duì)于防范黑客的入侵我們能采取什么樣的措施呢？在這樣的情況下，網(wǎng)絡(luò)防火墻技術(shù)便應(yīng)運(yùn)而生了。那么究竟什么叫防火墻呢？它有什么作用呢？請(qǐng)大家耐心往下看。

　　一、防火墻的基本概念

　　古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了Internet上面，它的用戶(hù)就可以訪(fǎng)問(wèn)外部世界并與之通信。但同時(shí)，外部世界也同樣可以訪(fǎng)問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵， 提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡，它的作用與古時(shí)候的防火磚墻有類(lèi)似之處，因此我們把這個(gè)屏障就叫做“防火墻”。

　　在電腦中，防火墻是一種裝置，它是由軟件或硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)以及管理內(nèi)部用戶(hù)訪(fǎng)問(wèn)外界的權(quán)限。換言之，防火墻是一個(gè)位于被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)與一個(gè)被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間的一個(gè)封鎖工具。防火墻是一種被動(dòng)的技術(shù)，因?yàn)樗僭O(shè)了網(wǎng)絡(luò)邊界的存在，它對(duì)內(nèi)部的非法訪(fǎng)問(wèn)難以有效地控制。因此防火墻只適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如企業(yè)內(nèi)部的局域網(wǎng)絡(luò)等。

　　二、防火墻的基本準(zhǔn)則

　　1.過(guò)濾不安全服務(wù)

　　基于這個(gè)準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開(kāi)放，對(duì)不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。這是一種非常有效實(shí)用的方法，可以造成一種十分安全的環(huán)境，因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才能允許用戶(hù)使用。

　　2.過(guò)濾非法用戶(hù)和訪(fǎng)問(wèn)特殊站點(diǎn)

　　基于這個(gè)準(zhǔn)則，防火墻應(yīng)先允許所有的用戶(hù)和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶(hù)或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員可以針對(duì)不同的服務(wù)面向不同的用戶(hù)開(kāi)放，也就是能自由地設(shè)置各個(gè)用戶(hù)的不同訪(fǎng)問(wèn)權(quán)限。

　　三、防火墻的基本措施

　　防火墻安全功能的實(shí)現(xiàn)主要采用兩種措施。

　　1.代理服務(wù)器(適用于撥號(hào)上網(wǎng))

　　這種方式是內(nèi)部網(wǎng)絡(luò)與Internet不直接通訊，內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)用戶(hù)與代理服務(wù)器采用一種通訊方式，即提供內(nèi)部網(wǎng)絡(luò)協(xié)議（NetBIOS、TCP/IP），代理服務(wù)器與Internet之間的通信采取的是標(biāo)準(zhǔn)TCP/IP網(wǎng)絡(luò)通信協(xié)議，防火墻內(nèi)外的計(jì)算機(jī)的通信是通過(guò)代理服務(wù)器來(lái)中轉(zhuǎn)實(shí)現(xiàn)的，結(jié)構(gòu)如下所示:

　　內(nèi)部網(wǎng)絡(luò)→代理服務(wù)器→Internet

　　這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離，由于代理服務(wù)器兩端采用的是不同的協(xié)議標(biāo)準(zhǔn)，所以能夠有效地阻止外界直接非法入侵。

　　代理服務(wù)器通常由性能好、處理速度快、容量大的計(jì)算機(jī)來(lái)充當(dāng)，在功能上是作為內(nèi)部網(wǎng)絡(luò)與Internet的連接者，它對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)像一臺(tái)真正的服務(wù)器一樣，而對(duì)于互聯(lián)網(wǎng)上的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶(hù)機(jī)。當(dāng)代理服務(wù)器接受到用戶(hù)的請(qǐng)求以后，會(huì)檢查用戶(hù)請(qǐng)求的站點(diǎn)是否符合設(shè)定要求，如果允許用戶(hù)訪(fǎng)問(wèn)該站點(diǎn)的話(huà)，代理服務(wù)器就會(huì)和那個(gè)站點(diǎn)連接，以取回所需信息再轉(zhuǎn)發(fā)給用戶(hù)。

　　另外，代理服務(wù)器還能提供更為安全的選項(xiàng)，例如它可以實(shí)施較強(qiáng)的數(shù)據(jù)流的監(jiān)控、過(guò)濾、記錄和報(bào)告功能，還可以提供極好的訪(fǎng)問(wèn)控制、登錄能力以及地址轉(zhuǎn)換能力。但是這種防火墻措施，在內(nèi)部網(wǎng)絡(luò)終端機(jī)很多的情況下，效率必然會(huì)受到影響，代理服務(wù)器負(fù)擔(dān)很重，并且許多訪(fǎng)問(wèn)Internet的客戶(hù)軟件在內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)中無(wú)法正常訪(fǎng)問(wèn)Internet。

　　2.路由器和過(guò)濾器

　　這種結(jié)構(gòu)由路由器和過(guò)濾器共同完成對(duì)外界計(jì)算機(jī)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)Internet。路由器只對(duì)過(guò)濾器上的特定端口上的數(shù)據(jù)通訊加以路由，過(guò)濾器的主要功能就是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依照IP（Internet Protocol）包信息為基礎(chǔ)，根據(jù)IP源地址、IP目標(biāo)地址、封裝協(xié)議端口號(hào)，確定它是否允許該數(shù)據(jù)包通過(guò)。這種防火墻措施最大的優(yōu)點(diǎn)就是它對(duì)于用戶(hù)來(lái)說(shuō)是透明的，也就是說(shuō)不須用戶(hù)輸入賬號(hào)和密碼來(lái)登錄，因此速度比代理服務(wù)器快，且不容易出現(xiàn)瓶頸現(xiàn)象。然而其缺點(diǎn)也是很明顯的，就是沒(méi)有用戶(hù)的使用記錄，這樣我們就不能從訪(fǎng)問(wèn)記錄中發(fā)現(xiàn)非法入侵的攻擊記錄。

做為一家企業(yè)IT服務(wù)提供商，我們有責(zé)任也有義務(wù)為企業(yè)提供IT外包的相關(guān)信息，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大價(jià)值。

艾銻無(wú)限，成就夢(mèng)想！