欢迎来到天天文库
浏览记录
ID:25242178
大小:61.50 KB
页数:9页
时间:2018-11-19
《internet防火墙技术综述论文》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Internet防火墙技术综述论文.freelail、Ident、NeTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。4.7安全服务器网络(SSN)为了适应越来越多的用户向Inter上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对
2、SSN上的主机既可单独管理,也可设置成通过FTP、Tnl等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。4.8用户鉴别与加密为了减低防火墙产品在Tnl、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。4.9
3、用户定制服务为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。4.10审计和告警第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,第四代防火
4、墙还在网络诊断、数据备份保全等方面具有特色。5.第四代防火墙技术的实现方法在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。5.1安全内核的实现第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:1)取消危险的系统调用;2)限制命令的执行权限;3)取消IP的转发功能;4)检查每个分组的接口;5)采用随机连接序号;6)驻留分组过滤模块;7)取消动态路由功能;8)采用多个安全内核。5.2代理系统的
5、建立防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:1)源地址;2)目的地址;3)时间;4)同类服务器的最大数量。所有外部网络到防火墙内部或SSN的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。所有从内部网络SSN通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确
6、保完全由它代表内部网络与外部地址相连,防止内部与外部的直接连接,同时还要处理内部网络SSN的连接。5.3分组过滤器的设计作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数。1)进站接口;2)出站接口;3)允许的连接;4)源端口范围;5)源地址;6)目的端口的范围等。对每一种参数的处理都充分体现设计原则和安全政策。5.4安全服务器的设计安全服务器的设计有两个要点:第一,所有SSN的流量都要
7、隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。SSN上的每一个服务器都隐蔽于Inter,SSN提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现SSN的关键在于:1)解决分组过滤器与SSN的连接;2)支持通过防火墙对SSN的访问;3)支持代理服务。5.5鉴别与加密的考虑鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机
此文档下载收益归作者所有