當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

網(wǎng)絡(luò)安全之網(wǎng)絡(luò)防火墻安裝介紹

http://www.yibo1263.com　2008/6/27 8:17:49 　來源:本站　編輯:葉子

　　通常架設(shè)防火墻需要數(shù)千甚至上萬美元的投入，而且防火墻需要運(yùn)行于一臺獨(dú)立的計(jì)算機(jī)上，因此只用一臺計(jì)算機(jī)連入互聯(lián)網(wǎng)的用戶是不必要架設(shè)防火墻的，況且這樣做即使從成本方面講也太不劃算。

　　目前觀之，防火墻的重點(diǎn)還是用來保護(hù)由許多臺計(jì)算機(jī)組成的大型網(wǎng)絡(luò)，這也是黑客高手們真正感興趣的地方。防火墻可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣，都是監(jiān)測并過濾所有通向外部網(wǎng)和從外部網(wǎng)傳來的信息，防火墻保護(hù)著內(nèi)部敏感的數(shù)據(jù)不被偷竊和破壞，并記下來通訊發(fā)生的時(shí)間和操作等等，新一代的防火墻甚至可以阻止內(nèi)部人員故意將敏感數(shù)據(jù)傳輸?shù)酵饨纭?

　　當(dāng)用戶將單位內(nèi)部的局部網(wǎng)連入互聯(lián)網(wǎng)時(shí)，大家肯定不愿意讓全世界的人隨意翻閱你單位內(nèi)部人員的工資單、各種文件資料或者是數(shù)據(jù)庫，但即使在單位內(nèi)部也存在數(shù)據(jù)攻擊的可能性。例如一些心懷叵測的電腦高手可能會修改工資表和財(cái)務(wù)報(bào)告。而通過設(shè)置防火墻后，管理員就可以限定單位內(nèi)部員工使用Email、瀏覽WWW以及文件傳輸，但不允許外界任意訪問單位內(nèi)部的計(jì)算機(jī)，同時(shí)管理員也可以禁止單位中不同部門之間互相訪問。

　　將局部網(wǎng)絡(luò)放置防火墻之后可以阻止來自外界的攻擊。而防火墻通常是運(yùn)行在一臺單獨(dú)的計(jì)算機(jī)之上的一個(gè)特別的軟件，它可以識別并屏蔽非法的請求。例如一臺WWW代理服務(wù)器，所有的請求都間接地由代理服務(wù)器處理，這臺服務(wù)器不同于普通的代理服務(wù)器，它不會直接地處理請求，它會驗(yàn)證請求發(fā)出者的身份、請求的目的地和請求內(nèi)容。

　　如果一切符合要求的話，這個(gè)請求會被批準(zhǔn)送到真正的WWW服務(wù)器上。當(dāng)真正的WWW服務(wù)器處理完這個(gè)請求后并不會直接把結(jié)果發(fā)送給請求者，它會把結(jié)果送到代理服務(wù)器，代理服務(wù)器會按照事先的規(guī)定檢查這個(gè)結(jié)果是否違反了安全規(guī)定，當(dāng)這一切都通過后，返回結(jié)果才會真正地送到請求者的手里.

　　1、屏蔽路由器(ScreeningRouter)

　　屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報(bào)文都必須在此通過檢查。路由器上可以安裝基于IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng)，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)包括路由器本身及路由器允許訪問的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻隱后很難發(fā)現(xiàn)，而且不能識別不同的用戶。

　　2、雙穴主機(jī)網(wǎng)關(guān)(DualHomedGateway)

　　雙穴主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)的做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。與屏蔽路由器相比，雙穴主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出，一旦黑客侵入堡壘主機(jī)并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。

　　3、被屏蔽主機(jī)網(wǎng)關(guān)(ScreenedGatewy)

　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。

　　4、被屏蔽子網(wǎng)(ScreenedSubnet)

　　被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為惟一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來破壞屏蔽路由器，并且整個(gè)過程中不能引發(fā)警報(bào)。

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费