欢迎来到天天文库
浏览记录
ID:19492220
大小:56.00 KB
页数:7页
时间:2018-09-27
《防火墙技术及其体系结构探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、防火墙技术及其体系结构探究防火墙技术及其体系结构探究:本文首先指出了计算机X络发展过程中的平安新题目,然后给出了X络平安可行的解决方案——防火墙技术,同时分析了实现防火墙的几种主要技术,并讨论了构筑、配置防火墙的几种基本的体系结构。关键词:防火墙体系结构X络平安外部X络内部X络1概述随着计算机X络的发展,上X的人数不断地增大,X上的资源也不断地增加,X络的开放性、共享性、互连程度也随着扩大。政府上X工程的启动和实施,电子商务(electronicmerce)、电子货币(electroniccurrency)、X上银行等X络新业务的兴起和发展,使得X络平安新题目显得日益重
2、要和突出。防火墙技术是近年来发展起来的一种保护计算机X络平安的技术性办法。防火墙实际上是一种访问控制技术,在某个机构的X络和不平安的X络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护X络上被非法输出。换言之,防火墙是一道门槛,控制进出两个方向的通讯。通过限制和X络或某一特定区域的通讯,以达到防止非法用户侵犯受保护X络的目的。防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有X络间不受欢迎的信息交换,而答应那些可接受的通讯。 2防火墙技术X络防火墙是一种用来加强X络之间访问控制的非凡X络设备,它对两
3、个或多个X络之间传输的数据包和连接方式按照一定的平安策略对其进行检查,来决定X络之间的通讯是否被答应,其中被保护的X络称为内部X络或私有X络,另一方则被称为外部X络或公用X络。防火墙能有效得控制内部X络和外部X络之间的访问及数据传输,从而达到保护内部X络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:1、所有的内部X络和外部X络之间传输的数据必须通过防火墙;2、只有被授权的正当数据及防火墙系统中平安策略答应的数据可以通过防火墙;3、防火墙本身不受各种攻击的影响;4、使用目前新的信息平安技术,比如现代密码技术等;5、人机界面良
4、好,用户配置使用方便,易治理。实现防火墙的主要技术有:数据包过滤,应用X关和代理服务等。2.1包过滤技术包过滤(PacketFilter)技术是在X络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否答应数据包通过,其核心是平安策略即过滤算法的设计。例如,用于特定的因特X服务的服务器驻留在特定的端口号的事实(如TCP端口23用于Tel连接),使包过滤器可以通过简单的规定适当的端口号来达到阻止或答应一定类型的连接的目的,
5、并可进一步组成一套数据包过滤规则。包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择和数据转发之外,同时进行包过滤,这是目前较常用的方式;二是在工作站上使用软件进行包过滤,这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。2.2应用X关技术应用X关(ApplicationGateway)技术是建立在X络应用层上的协议过滤,它针对非凡的X络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用X关对某些易于登录和控制所有输出输进的通讯的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什
6、么样的用户在什么时间连接了什么站点。在实际工作中,应用X关一般由专用工作站系统来完成。有些应用X关还存储Inter上的那些被频繁使用的页面。当用户请求的页面在应用X关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),假如是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。2.3代理服务器技术代理服务器(ProxyServer)功能在应用层,它用来提供给用层服务的控制,起到内部X络向外部X络申请服务时中间转接功能。内部X络只接受代理提出的服务请求,拒尽外部X络其它接点的直接请求。具体地说,代理服务器是运行
7、在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部X络接口和一个外部X络接口的双重宿主主机,也可以是一些可以访问因特X并被内部主机访问的堡垒主机。这些程序接受用户对因特X服务的请求(诸如FTP、Tel),并按照一定的平安策略转发它们到实际的服务。代理提供代替连接并且充当服务的X关。包过滤技术和应用X关是通过特定的逻辑判定来决定是否答应特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,平安性差,过滤规则复杂,治理困难。一旦判定条件满足,防火墙内部X络的结构和运行状态
此文档下载收益归作者所有