網絡安全之網絡防火墻安裝介紹

http://m.yibo1263.com　2008/6/27 8:17:49 　來源:本站　編輯:葉子

　　通常架設防火墻需要數(shù)千甚至上萬美元的投入，而且防火墻需要運行于一臺獨立的計算機上，因此只用一臺計算機連入互聯(lián)網的用戶是不必要架設防火墻的，況且這樣做即使從成本方面講也太不劃算。

　　目前觀之，防火墻的重點還是用來保護由許多臺計算機組成的大型網絡，這也是黑客高手們真正感興趣的地方。防火墻可以是非常簡單的過濾器，也可能是精心配置的網關，但它們的原理是一樣，都是監(jiān)測并過濾所有通向外部網和從外部網傳來的信息，防火墻保護著內部敏感的數(shù)據(jù)不被偷竊和破壞，并記下來通訊發(fā)生的時間和操作等等，新一代的防火墻甚至可以阻止內部人員故意將敏感數(shù)據(jù)傳輸?shù)酵饨纭?

　　當用戶將單位內部的局部網連入互聯(lián)網時，大家肯定不愿意讓全世界的人隨意翻閱你單位內部人員的工資單、各種文件資料或者是數(shù)據(jù)庫，但即使在單位內部也存在數(shù)據(jù)攻擊的可能性。例如一些心懷叵測的電腦高手可能會修改工資表和財務報告。而通過設置防火墻后，管理員就可以限定單位內部員工使用Email、瀏覽WWW以及文件傳輸，但不允許外界任意訪問單位內部的計算機，同時管理員也可以禁止單位中不同部門之間互相訪問。

　　將局部網絡放置防火墻之后可以阻止來自外界的攻擊。而防火墻通常是運行在一臺單獨的計算機之上的一個特別的軟件，它可以識別并屏蔽非法的請求。例如一臺WWW代理服務器，所有的請求都間接地由代理服務器處理，這臺服務器不同于普通的代理服務器，它不會直接地處理請求，它會驗證請求發(fā)出者的身份、請求的目的地和請求內容。

　　如果一切符合要求的話，這個請求會被批準送到真正的WWW服務器上。當真正的WWW服務器處理完這個請求后并不會直接把結果發(fā)送給請求者，它會把結果送到代理服務器，代理服務器會按照事先的規(guī)定檢查這個結果是否違反了安全規(guī)定，當這一切都通過后，返回結果才會真正地送到請求者的手里.

　　1、屏蔽路由器(ScreeningRouter)

　　屏蔽路由器可以由廠家專門生產的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內外連接的惟一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻隱后很難發(fā)現(xiàn)，而且不能識別不同的用戶。

　　2、雙穴主機網關(DualHomedGateway)

　　雙穴主機網關是用一臺裝有兩塊網卡的堡壘主機的做防火墻。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序，提供服務等。與屏蔽路由器相比，雙穴主機網關堡壘主機的系統(tǒng)軟件可用于維護護系統(tǒng)日志、硬件拷貝日志或遠程日志。但弱點也比較突出，一旦黑客侵入堡壘主機并使其只具有路由功能，任何網上用戶均可以隨便訪問內部網。

　　3、被屏蔽主機網關(ScreenedGatewy)

　　屏蔽主機網關易于實現(xiàn)也最為安全。一個堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡惟一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊。如果受保護網是一個虛擬擴展的本地網，即沒有子網和路由器，那么內部網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內網中的其余主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。

　　4、被屏蔽子網(ScreenedSubnet)

　　被屏蔽子網就是在內部網絡和外部網絡之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個DNS，內部網絡和外部網絡均可訪問被屏蔽子網，但禁止它們穿過被屏蔽子網通信。有的屏蔽子網中還設有一堡壘主機作為惟一可訪問點，支持終端交互或作為應用網關代理。這種配置的危險僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內網主機，再返回來破壞屏蔽路由器，并且整個過程中不能引發(fā)警報。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费