防火牆技術
古時候 人們常在寓所之間砌起一道磚牆 一旦火災發生 它能夠防止火勢蔓
延到別的寓所。自然 這種牆因此而得名「防火牆」。
現在 如果乙個網路接到了internet上面 它的使用者就可以訪問外部世界並與
之通訊。但同時 外部世界也同樣可以訪問該網路並與之互動。為安全起見
可以在該網路和internet之間插入乙個中介系統 豎起一道安全屏障。這道屏
障的作用是阻斷來自外部通過網路對本網路的威脅和入侵 提供扼守本網路的
安全和審計的唯一關卡。這種中介系統也叫做「防火牆」 或「防火牆系統」。
簡言之 乙個防火牆在乙個被認為是安全和可信的內部網路和乙個被認為是不
那麼安全和可信的外部網路(通常是internet)之間提供乙個封鎖工具。在使用
防火牆的決定背後 潛藏著這樣的推理: 假如沒有防火牆 乙個網路就暴露在
不那麼安全的internet諸協議和設施面前 面臨來自internet其他主機的探測
和攻擊的危險。在乙個沒有防火牆的環境裡 網路的安全性只能體現為每乙個
主機的功能 在某種意義上 所有主機必須通力合作 才能達到較高程度的安
全性。網路越大 這種較高程度的安全性越難管理。隨著安全性問題上的失誤
和缺陷越來越普遍 對網路的入侵不僅來自高超的攻擊手段 也有可能來自配
置上的低階錯誤或不合適的口令選擇。因此 防火牆的作用是防止不希望的、
未授權的通訊進出被保護的網路 迫使單位強化自己的網路安全政策。
乙個防火牆系統通常由遮蔽路由器和**伺服器組成。遮蔽路由器是乙個多端
口的ip路由器 它通過對每乙個到來的ip包依據一組規則進行檢查來判斷是否
對之進行**。遮蔽路由器從包頭取得資訊 例如協議號、收發報文的ip位址
和埠號 連線標誌以至另外一些ip選項 對ip包進行過濾。
**伺服器是防火牆系統中的乙個伺服器程序 它能夠代替網路使用者完成特定
的tcp/ip功能。乙個**伺服器本質上是乙個應用層的閘道器 乙個為特定網路
應用而連線兩個網路的閘道器。使用者就一項tcp/ip應用 比如telnet或者ftp
同**伺服器打交道 **伺服器要求使用者提供其要訪問的遠端主機名。當用
戶答覆並提供了正確的使用者身份及認證資訊後 **伺服器連通遠端主機 為
兩個通訊點充當中繼。整個過程可以對使用者完全透明。使用者提供的使用者身份及
認證資訊可用於使用者級的認證。最簡單的情況是: 它只由使用者標識和口令構成。
但是 如果防火牆是通過internet可訪問的 我們推薦使用更強的認證機制
比如一次性口令或挑戰-回應式系統。
遮蔽路由器的優點是簡單和低(硬體)成本。其缺點關係到正確建立包過濾規則
比較困難、遮蔽路由器的管理成本、還有使用者級身份認證的缺乏。路由器生產
商們正在著手解決這些問題。特別值得注意的是 它們正在開發編輯包過濾規
則的圖形使用者介面。他們也在制訂標準的使用者級身份認證協議 來提供遠端身
份認證撥入使用者服務(redius)。
**伺服器的優點是使用者級的身份認證、日誌記錄和帳號管理。其缺點關係到
這樣乙個事實: 要想提供全面的安全保證 就要對每一項服務都建立對應的應
用層閘道器。這個事實嚴重地限制了新應用的採納。最近 乙個名叫socks的包羅
永珍的**伺服器問世了。socks主要由乙個執行在防火牆系統上的**伺服器
軟體包和乙個鏈結到各種網路應用程式的庫函式包組成。這樣的結構有利於新
應用的掛接。
遮蔽路由器和**伺服器通常組合在一起構成混合系統 其中遮蔽路由器主要
用來防止ip欺騙攻擊。目前最廣泛採用的配置是dual-homed防火牆 被遮蔽主
機型防火牆 以及被遮蔽子網型防火牆。
防火牆及其他 7
傳輸層的安全性 在internet應用程式設計序中 通常使用廣義的程序間通訊 ipc 機制來同不同層次的 安全協議打交道。比較流行的兩個ipc程式設計介面是bsd sockets和傳輸層介面 tli 在unix系統v裡可以找到。在internet中提供安全服務的首先乙個想法便是強化它的ipc介面 如...
防火牆及其他 6
大多數ipsp及其相應的金鑰管理協議的實現均基於unix系統。任何ipsp的實現都必 須跟對應協議棧的原始碼糾纏在一起 而這原始碼又能在unix系統上使用 其原因大概 就在於此。但是 如果要想在internet上更廣泛地使用和採納安全協議 就必須有 相應的ms dos或windows版本。而在這些系...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...