基于代理的Ｉｎｔｅｒｎｅｔ防火墙技术的介绍.pdfVIP

基于代理的Internet防火墙技术的介绍 天津大学 鹿凯宁 贺志鹏 摘 要 此基础上介绍了目前被广泛应用的代理型的防火墙技术。 关键词：防火墙代理。， 。 1．Intemet防火墙 性访问的风险。防火墙正是被用来加强一个机构的网络与Internet之间的访问控制政策的。 1．1什么是Intemet防火墙 以确定哪些内部服务允许外部访问。哪些外人被许可访问内部网络，防止内部数据与外部的直接接 触，防止外部的病毒或者其他危险传入内部网络。 防火墙的功能主要包括，1．限制用户从特定的控制点进入；2．限制用户从特定地点离开；3． 防止入侵者接近与破坏内部网络。 1．2 Intemet防火墙的优点 于每个主机的安全性能的“强度”。只有当这个最薄弱的系统安全时。整个网络才安全。 圈1防火墙在因特睡与内部网的位置 89 授权的用户(黑客、攻网者、破坏它人财产者和间谍)挡在受保护的丽络之外，禁止易受攻击的服务 进、出受保护的网络，并防止各类路由攻击。Internet防火墙通过加强网络安全简化了网络管理。 (3)rnternet防火墙可以记录Internet上的活动。防火墙是一个监视Inlenet安全顶誊的方便 端点。网管员必须记录和审查进出防火墙的所有值得注意的信息。如果罔管§．不能花时间对每次 警报做出反应，并按期审查记录的话，那就没有必要设置防火墙。因为网管jl相本不知道防火墙是 否已受到攻击，也：干：知道安全是否受到损害。防火墙是审查和记录Internet使钼情况的最佳点。 也是设置www和F1lP服务器的理想地点。防火墙可以配置用来允许In∞net访问这些服务器． 而又禁止外部对受保护网络上的其它系统进行访同。 1．3防火墙的局限性 的信息，但是防火墙无法防止内部用户将数据复制到磁盘、磁带上从而导致数据的丢失。而且防火 墙无法防止“社会因索”的威胁，无法防范黑客假扮成内部工作人员从阿络内邗进行的攻击。 (2)Internet防火墙无法防范不经由它的攻击 例如，如果允许从受保护的网络内部不受限制向外拨号，一些用户就要e．形成与Internet的直 接的SLIP或PPP连接。这样就绕过r防火墙，由于这类连接避开丁大多势精心设计的防火墙所 提供的安全保护，从而造成一个潜在的雷门攻击渠道。 (3)Intemet防火墙无法防范病毒的威胁 2．基于代理的防火墙技术 防火墙技术的技术分为两类，一类基于包过滤技术，另一类基于代骂!技术。在这里，主要讨论 基于代理的防火墙技术。 基于代理防火墙技术R允许单个主机或少数主机提供因特网访问腽务使用代理技术时，具有 访问因特阿能jj的主机可以成为无法访问因特网的主机代理，使之具有访nJ因特网的能力。 图2代理型防火墙的系统框架 代理性防火墙系统一般工作在一个双穴主机上，一个实际的系统可以提供TELNET代理、 FrP代理、HTTP代理等服务。图2是一个典型的代理型防火墙结构 90 2．1代理型服务器优点 1．代理服务允许用户“直接”访问因特网 采用代理型服务．用户会认为他们是宣接访问因特网。对于用户来说，与代理服务器的交谈就 好像与真实的服务器交谈一样，而对真实的服务器来说，与代理服务器上的用户交谈．但是它并不 知道真实用户的位置。对于用户来说，代理服务是透明的。但是对于数据传输来说，代理服务又不 是透明的，代理服务器不允-许用户与因特网之问进行直接的数据传递。 2．代理服务器要以记录详细的日志 代理服务可以记录较为详细的网络状态数据，便于对网络的故障进行判断与排除。 2．2代理服务的缺点 1．每个代理服务要求有不同的服务器 用户需要为每个协议配置不同的代理服务器．因为代理服务器需要按照协议来决定允许什么 和不允许什么，对于真实服务器扮演的是用户的角色．对于用户来说则扮演服务器的角色。因此选 择、安装、和配