INTRANET网络及安全技术1.docVIP

INTRANET网络及安全技术1 　　第三部分Intranet安全技术 　　“防火墙”技术与结构 　　“防火墙”技术是通过对网络作拓扑结构和服务类型 上的隔离来加强网络安全的手段。它所保护的对象是网络 中有明确闭合边界的一个网块，它的防范对象是来自被保 护网块外部的对网络安全的威胁。所谓“防火墙”则是综 合采用适当技术在被保护网络周边建立的用于分隔被保护 网络与外部网络的系统。可见，“防火墙”技术最适合于 在企业专网中使用，特别是在企业专网与公共网络互连时 的使用。 　　建立“防火墙”是在对网络的服务功能和拓扑结构仔 细分析基础上，在被保护网络周边通过专用软件、硬件及 管理措施的综合，对跨越网络边界和信息提供监测、控制 甚至修改的手段。实现“防火墙”所用的主要技术有数据 包过滤、应用级网关和代理服务器（proxyserver）等， 在此基础上合理的网络拓扑结构及有关技术（在位置和配 置上）的适度使用也是保证防火墙的有效使用的重要因素 。 　　包过滤（packetfilter）技术顾名思义即在网络中适 当的位置对数据包实施有选择通过，选择判据即为系统内 设置的过滤逻辑（通常称为接入控制表accesscontrollis t）。通过检查数据流中的每个数据包后，根据包的源地 址、目的地址、所用的TCP端口号、TCP链路状态等因素或 它们的组合来确定是否允许数据包通过，只有