防火橋架_使得它對通過網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議

時間：2022/9/25 19:23:14 點擊：

　　Internet給人類社會帶來了的沖擊，它的重要性和巨大優(yōu)勢有目共睹，其優(yōu)勢之所在正是其上的所有資源均可相互共享，而這也正是其脆弱性之所在。為充分發(fā)揮其優(yōu)勢，為使善良的人們能充分利用網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)被設(shè)計為容易進入。不懷好意的人就利用這種容易進入并進行破壞。

　　通過Internet將各種分布的計算機網(wǎng)絡(luò)系統(tǒng)互聯(lián)，在大大擴展信息資源共享的空間尺度的同時也顯著縮短了信息服務(wù)的時間尺度，顯著提高了信息資源的利用率，這對保障網(wǎng)絡(luò)系統(tǒng)安全帶來了的挑戰(zhàn)。網(wǎng)絡(luò)裝機容量(全球Internet已有來自幾十萬個互聯(lián)網(wǎng)網(wǎng)絡(luò)的3000多萬個聯(lián)網(wǎng)系統(tǒng))、全球性的地理覆蓋、千差萬別的網(wǎng)絡(luò)運行狀態(tài)和單機系統(tǒng)均對網(wǎng)絡(luò)安全保障提出了嚴峻的要求。

　　計算機網(wǎng)絡(luò)安全一個使用很廣泛的技術(shù)就是防火墻技術(shù)，即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。

　　那么什么是防火墻(Fire Wall)呢？顧名思義，防火墻是用來阻擋外部(Internet)火情影響內(nèi)部網(wǎng)絡(luò)的(Internal network)屏障。無論外部世界多么錯綜復(fù)雜，良莠不齊，經(jīng)過防火墻的過濾，內(nèi)部網(wǎng)絡(luò)大可隔岸觀火，不受火災(zāi)危害。用專業(yè)一點的話來描述，防火墻的主要目的就是防止外部網(wǎng)絡(luò)的未授權(quán)訪問。

　　防火墻的特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通訊監(jiān)控系統(tǒng)達到保障網(wǎng)絡(luò)安全的目的。

　　防火墻技術(shù)假設(shè)被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)并且網(wǎng)絡(luò)安全的威脅僅來自外部網(wǎng)絡(luò)，進而防火墻型技術(shù)通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，通過盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)被保護網(wǎng)絡(luò)的信息、結(jié)構(gòu)來實現(xiàn)對網(wǎng)絡(luò)的安全保護。由此可見，防火墻型系統(tǒng)比較適合于相對獨立，與外部網(wǎng)絡(luò)互聯(lián)途徑有限并且網(wǎng)絡(luò)服務(wù)種類相對集中和單一的網(wǎng)絡(luò)系統(tǒng)，常見的企業(yè)專用網(wǎng)一般屬于此類。

　　防火墻技術(shù)通過對網(wǎng)絡(luò)做拓撲結(jié)構(gòu)和服務(wù)類型上的隔離來加強網(wǎng)絡(luò)安全。它所保護的對象是網(wǎng)絡(luò)中有明確閉合邊界的一個網(wǎng)塊，它的防范對象是來自被保護網(wǎng)塊外部的對網(wǎng)絡(luò)安全的威脅。建立防火墻是在對網(wǎng)絡(luò)的服務(wù)功能和拓撲結(jié)構(gòu)仔細分析基礎(chǔ)上，在被保護網(wǎng)絡(luò)周邊通過專用軟件、硬件及管理措施的綜合，對跨越網(wǎng)絡(luò)邊界和信息提供監(jiān)測、控制甚至修改的手段?？梢?，防火墻技術(shù)適合于在企業(yè)專業(yè)網(wǎng)中使用，特別是在企業(yè)專業(yè)網(wǎng)與公共網(wǎng)絡(luò)互聯(lián)時的使用。目前，在商業(yè)網(wǎng)絡(luò)上大多使用防火墻來防止某些外部結(jié)點的侵入，從而可以避免有關(guān)的商業(yè)機密受到侵犯。例如，將企業(yè)內(nèi)部應(yīng)用的Web服務(wù)器、域名服務(wù)器、E－mail服務(wù)器放在防火墻內(nèi)，對于公開使用的Web服務(wù)器放在防火墻外，外部網(wǎng)絡(luò)中只有經(jīng)過授權(quán)的用戶才能通過防火墻，進入到內(nèi)部網(wǎng)絡(luò)獲取信息。反之，內(nèi)部網(wǎng)絡(luò)上的用戶若想訪問Internet,也必須通過防火墻的檢查，防火橋架以確認是否合法。

　　需要說明的是，如前所述，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性、便利性、靈活性為代價的。對防火墻的設(shè)置也不例外，常常需要有特殊的相對較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持。由于防火墻的隔斷作用，一方面加強了內(nèi)部網(wǎng)絡(luò)的安全，一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(Internet)的信息系統(tǒng)交流受到阻礙，必須在“防火墻”上附加各種信息服務(wù)的代理軟件來代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，這樣不僅增大了網(wǎng)絡(luò)管理開銷，而且減慢了信息傳遞速率。因此，一般而言，只有對個體網(wǎng)絡(luò)安全有特別要求，而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、網(wǎng)，才建議使用“防火墻”。

　　另外，“防火墻”在技術(shù)原理上對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具防范作用，只能阻截來自外部網(wǎng)絡(luò)的侵擾，因而內(nèi)部網(wǎng)絡(luò)的安全還需要通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)。

　　如果某個網(wǎng)絡(luò)決定設(shè)定“防火墻”系統(tǒng)，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過“防火墻”，什么類型的信息不允許通過防火墻。防火墻的職責就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進行檢查，符合的予以放行，不符合的拒之門外。另外，還要確定“防火墻”類型，即“防火墻”拓撲。

　　“防火墻”具有以下屬性：所有的從外到內(nèi)的信息及從內(nèi)到外的信息都必須通過“防火墻”；只有在受保護網(wǎng)絡(luò)的安全策略中允許的通信才允許通過“防火墻”；“防火墻”本身對各種攻擊免疫。

　　“防火墻通常由過濾器和網(wǎng)關(guān)等組成。其中，過濾器封鎖某些類型通信量的傳輸，網(wǎng)關(guān)提供中繼服務(wù)。也可把“防火墻”理解為由選通門和阻塞門兩個關(guān)鍵部件構(gòu)成的網(wǎng)絡(luò)隔離墻，選通門讓數(shù)據(jù)在兩個網(wǎng)絡(luò)之間自由通過而阻塞門阻止不是以該選通門為目的地的輸入數(shù)據(jù)分組，或者阻止不是來自該選通門的輸出的數(shù)據(jù)分組，即在其源地址或目的地地址中沒有該選通門地址的任何數(shù)據(jù)分組都被中止。典型的選通門一般是一臺信關(guān)計算機；阻塞門則往往是一個智能路由器?！胺阑饓Α庇挚煞譃榛诼酚傻摹胺阑饓Α?、基于網(wǎng)卡的“防火墻”等等。

　　實現(xiàn)“防火墻”所用的主要技術(shù)有數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等，在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)及有關(guān)技術(shù)(在位置和配置上)的適度使用也是保證“防火墻”有效使用的重要因素。

　　顧名思義，數(shù)據(jù)包過濾技術(shù)即在網(wǎng)絡(luò)中適當?shù)奈恢脤?shù)據(jù)包實施有選擇通過，選擇數(shù)據(jù)即為系統(tǒng)內(nèi)設(shè)置的過濾邏輯。

　　計算機網(wǎng)絡(luò)通過檢查數(shù)據(jù)流中的每個數(shù)據(jù)包后，根據(jù)包的源地址、目的地址、所用的TCP端口號、TCP鏈路狀態(tài)等因素或它們的組合來確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的目的地的輸出端口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。具體表現(xiàn)為：

　　這一結(jié)構(gòu)由路由器和Filter共同完成對外界計算機訪問內(nèi)部網(wǎng)絡(luò)從IP地址或域名上的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問Internet。路由器僅對Filter主機特定的端口上數(shù)據(jù)通訊加以路由，而Filter主機則執(zhí)行篩選、過濾、驗證及其安全監(jiān)控，這樣可以很大程度隔斷內(nèi)外網(wǎng)絡(luò)間的不正常的訪問登錄。

　　數(shù)據(jù)包過濾技術(shù)的實現(xiàn)方式相當簡潔，目前網(wǎng)絡(luò)的路由設(shè)通常均具有一定的數(shù)據(jù)包過濾能力，因而使路由設(shè)在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)功能之外同時進行數(shù)據(jù)包過濾是目前常見的實現(xiàn)方式之一。由于多數(shù)Internet與Internet的連接都要使用路由器，因此路由器成為網(wǎng)絡(luò)內(nèi)外通信的必經(jīng)端口。有些路由器商在新型的路由器上添加數(shù)據(jù)包過濾功能，這樣的路由器稱為Scrcening Router，它通常不需要外增加硬件/軟件配置，也不需要對網(wǎng)絡(luò)拓撲結(jié)構(gòu)做改動。

　　但是應(yīng)當注意到，數(shù)據(jù)包過濾技術(shù)本身對網(wǎng)絡(luò)的保護功能是有局限的，這是因為它是在網(wǎng)絡(luò)鏈路層和傳輸鏈路層上運作的技術(shù)，因而對位于網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力，使得它對通過網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議實現(xiàn)的安全威脅無防范能力。

　　此外，進行數(shù)據(jù)包的檢查和過濾會對路由設(shè)的工作性能產(chǎn)生可觀的影響。由于路由器內(nèi)部資源的限制，通常路由器對所發(fā)現(xiàn)的非法數(shù)據(jù)包僅是刪除而已，并不做報告，防火橋架從而不具有安全保障系統(tǒng)所要求的可審核性。防火橋架已有路由器家開始通過軟件實現(xiàn)非法數(shù)據(jù)包的登錄和報告，代價是極可能使路由器的工作速度變慢。

　　應(yīng)用網(wǎng)關(guān)像具有過濾功能的路由器一樣，是對計算機網(wǎng)絡(luò)設(shè)功能的擴充，并且都是根據(jù)特定的邏輯檢查是否允許特定的數(shù)據(jù)包通過。

　　所不同的是，應(yīng)用網(wǎng)關(guān)是建立在網(wǎng)絡(luò)應(yīng)用鏈路層上的協(xié)議過濾功能設(shè)，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯，并可根據(jù)在按應(yīng)用協(xié)議指定的數(shù)據(jù)過濾邏輯進行過濾的同時，對數(shù)據(jù)包分析的結(jié)果及采取的措施做登錄和統(tǒng)計，形成報告。

　　應(yīng)用網(wǎng)關(guān)通常由一臺專用計算機來實現(xiàn)，這臺機器是內(nèi)外網(wǎng)絡(luò)連接的橋梁，是內(nèi)外聯(lián)絡(luò)的途徑，因而，這臺機器被稱為堡壘主機(Bastion Host)。 3.代理服務(wù)器技術(shù)(Proxy Server)

　　代理服務(wù)技術(shù)的特點是將所有跨越“防火墻”的網(wǎng)絡(luò)通信鏈路分為兩段?！胺阑饓Α眱?nèi)外計算機網(wǎng)絡(luò)間的應(yīng)用鏈路層的鏈接由兩個終止于代理服務(wù)上的鏈接來實現(xiàn)，外部網(wǎng)絡(luò)鏈接只能到達代理服務(wù)，由此實現(xiàn)了“防火墻”內(nèi)外網(wǎng)絡(luò)隔離，代理服務(wù)在此等效于一個網(wǎng)絡(luò)傳輸鏈路層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能，形象地表示就是：

　　這種方式是內(nèi)部網(wǎng)絡(luò)與Internet不直接通訊，而是內(nèi)部網(wǎng)絡(luò)計算機用戶與代理服務(wù)器采用一種通訊方式即提供內(nèi)部網(wǎng)絡(luò)協(xié)議(Netbios、TCP/IP等)。代理服務(wù)器與Internet之間采取的是標準TCP/IP網(wǎng)絡(luò)通訊協(xié)議。這樣使得網(wǎng)絡(luò)數(shù)據(jù)包不能直接在內(nèi)外網(wǎng)絡(luò)之間進行。內(nèi)部計算機必須通過代理服務(wù)器訪問Internet，這樣容易在代理服務(wù)器上對內(nèi)部網(wǎng)絡(luò)計算機訪問外界計算機進行限制。另外，由于代理服務(wù)器兩端采用不同協(xié)議標準也可以直接阻止外界非法入侵。還有，代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進行驗證和對密碼進行確認等安全管制。這樣，能較好地控制管理兩端的用戶起到防火墻作用。

　　代理服務(wù)器是“防火墻”技術(shù)中頗受推崇的一種，它的優(yōu)點在于可以將被保護網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，顯著增強了網(wǎng)絡(luò)的安全性能，同時代理服務(wù)器還可以用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄、報告等功能。使用代理服務(wù)器的缺點在于需要為每個網(wǎng)絡(luò)服務(wù)專門設(shè)計、開發(fā)代理服務(wù)軟件及相應(yīng)的監(jiān)控過濾功能，并且由于代理服務(wù)具有相當?shù)墓ぷ髁?，因此通常需要專用的硬?即工作站)來承擔。

　　可想而知，這種“防火墻”措施是通過代理服務(wù)器進行，在聯(lián)機用戶多時，效率必然受到影響，代理服務(wù)器負擔很重，并且許多訪問Internet的客戶軟件在內(nèi)部網(wǎng)絡(luò)計算機中無法正常訪問Internet。

　　在上述基本技術(shù)基礎(chǔ)上，建設(shè)性能良好的“防火墻”的關(guān)鍵在于網(wǎng)絡(luò)拓撲結(jié)構(gòu)的合理選用及“防火墻”技術(shù)的合理配置?！胺阑饓Α钡膶崿F(xiàn)多種多樣，細節(jié)各不相同。

　　現(xiàn)行的“防火墻”的幾種模式都有一定的缺陷，因此人們正在尋找其他模式的“防火墻”，“防火墻”技術(shù)主要有以下幾個發(fā)展趨向。

　　復(fù)合型“防火墻”。由于對更高安全性的要求，有的商把基于數(shù)據(jù)包過濾的方法和基于代理服務(wù)器的方法結(jié)合起來，形成了新的“防火墻”產(chǎn)品。

　　NAT網(wǎng)絡(luò)地址轉(zhuǎn)換器。目前，有一些“防火墻”使用了NAT(Network Address Transtlater，網(wǎng)址轉(zhuǎn)換器)。NAT的原理就好象一部電話總機，當不同的內(nèi)部機器向外連接時使用相同的IP地址(相當于總機號碼)；而內(nèi)部網(wǎng)絡(luò)互相通訊時則使用內(nèi)部IP地址(相當于分機號碼)。這樣做可以使內(nèi)部網(wǎng)絡(luò)不用擔心自己的IP地址與外界的IP地址發(fā)生沖突。使用NAT的網(wǎng)絡(luò)，可以使內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)來說是不可見的。這給內(nèi)部網(wǎng)絡(luò)帶來了很大的安全好處，因為與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起。NAT的另外一個顯而易見的可能用途是解決IP地址的匱乏問題，但對NAT可能帶來的一些不良后果值得重視。

　　加密路由器。加密路由器把通過路由器的內(nèi)容進行加密和壓縮，然后讓它們通過“不可靠”的網(wǎng)絡(luò)傳輸，并在目的端進行解壓縮和解密。加密路由器的使用將使Internet看上去更象一個“私有網(wǎng)絡(luò)”。

　　安全內(nèi)核。除了采用代理服務(wù)器以外，人們開始在操作系統(tǒng)的層次上考慮安全性。人們嘗試把計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。目前，已有一些商業(yè)防火墻推出了Unix版本的安全內(nèi)核。

　　少特權(quán)。Internet上有些基于存儲轉(zhuǎn)發(fā)的應(yīng)用程序運行時具有系統(tǒng)特權(quán)，這是一個重大的安全漏洞。因此，在基于代理服務(wù)器的“防火墻”內(nèi)，要使得代理服務(wù)器具有少的特權(quán)，不要以特權(quán)運行。
以上信息由江蘇有銘集團有限公司整理編輯，了解更多防火橋架信息請訪問http://www.sevennight.cn

上一篇：防火橋架_在刻蝕情況采用年限較低
下一篇：防火橋架_其次還有Ω形和C形等

所有產(chǎn)品分類Product categories

防火橋架_使得它對通過網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議

所有產(chǎn)品分類
Product categories