电子商务设计师考试复习之防火墙的概念及技术.docVIP

电子商务设计师 /rk/dzsw/index.html 电子商务设计师考试复习之防火墙的概念及技术 ???????防火墙的概念 ????? ?在大厦构造中，防火墙被设计用来防止火从大厦的一部分传播到另一部分。因特网防火墙服务于类似的目的，它主要是防止因特网的危险传播到内部网络。 ??????? 防火墙 ??????“防火墙”是一个通用术语，是指在两个网络之间执行控制策略的系统。 ????? ?防火墙通常是由软件系统和硬件设备组合而成，在内部网和外部网之间构建起安全的保护屏障。其一般结构如图7.1所示。 ????? ?防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接都必须经过此阻塞点，在此进行检查和连接，只有被授权的通信才能通过此阻塞点。防火墙使内部网络与外部网络在—定条件下隔离，从而防止非法入侵及非法使用系统资源。同时，防火墙还可以执行安全管制措施，记录所有可疑的事件。可以说，防火墙为网络安全起到了把关的作用。 ????? ?尽管防火墙对内部网起到了很好的保护作用，但是，作为管理人员应当注意，防火墙并不是坚不可摧的。 ????? ?首先，防火墙不能防范恶意的知情者。尽管防火墙可以禁止系统用户经过网络连接发送保密信息。但是用户可以将数据复制到磁盘、磁带、或者纸上，放在公文包里带出去。因此，如果侵袭者已经在防火墙的内部，防火墙实际上是无能为力的。内部用户能偷窃数据，破坏硬件和软件，并且巧妙地修改程序而从不接近防火墙。这种威胁只有靠加强内部安全防范来予以解决。 ????? ?其次，防火墙不能控制不通过它的连接。防火墙仅能有效地控制穿过它的信息传输。然而，却无法控制不穿过它的信息传输。比如，用户或者系统管理员为了一时方便，临时地或者永久地设置了他们自己的网络“后门”（诸如拨号调制解调器连接等等）。这就为网络安全埋下了隐患，而且，这种隐患轻易不会被发现。 ????? ?实际上，实现一个有效的防火墙比给您的个人计算机买一个防病毒软件要复杂得多。防火墙不仅仅是一段单独的计算机程序或一件设备，而是整个Intranet安全策略的体现。简单地将一个防火墙产品置于Intranet上并不能提供企业所需要的保护。相反地，如果这种方式误导了管理员对安全的感觉，而致使其忽略了易受攻击之处的话，反而会增加企业的风险。 ????? ?事实上，对非法通信的完全防御和对授权通信的完全开放是存在对立性的两个方面。如果您的安全策略能够提供对外部侵入的完全保护，那么达到这一策略的最有把握的方式是删除所有与网络相连的路径。这种情况下的Intranet是完全与外界没有联系的。然而，当今世界的内外部联系在不断加强，这种极端的安全策略对企业是不合适的。建立一个有效的防火墙来实施安全策略，应选择最适合企业需求的技术，并正确地创建防火墙。 ? ? ? ?包过滤 ????? ?在实际应用中，防火墙有时可能只是一个具备包过滤功能的简单路由器，用来支持Internet安全。这是实现企业内部网与Internet安全联接的一种简单方法，因为包过滤是路由器的固有属性 ????? ?1、什么是包？ ????? ?包是网络上信息流动的单位。 ????? ?在网上传输的文件一般在发出端被划分成一串包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。 ????? ?每个包有两个部分：数据部分和包头。 ????? ?包头中含有源地址和目标地址等信息。 ????? ?2、包过滤 ????? ?包过滤是一种简单而有效的拦截数据包的方法，可以通过读出并拒绝那些不符合标准的包头来过滤掉不应入站的信息。 ????? ?包过滤器又称为筛选路由器，它通过将包头信息和管理员设定的规则表进行比较，发现不符合规则或不允许发送的某个包，路由器就将它丢弃。 ????? ?包过滤型防火墙可以动态检查流过的TCP／IP报文头，检查报文头中的报文类型、源IP地址、目的IP地址、源端口号等，并根据事先定义的规则，决定哪些报文允许流过，哪些报文禁止通过。 ????? ?但是，包过滤不能有效到足以保证站点的安全。目前，连接Internet的站点受到许多新的协议的威胁，有些协议能毫不费力地通过网络过滤器。例如，对于FTP协议，包过滤就不十分有效，因为为完成数据传输，FTP允许联接外部服务器并使联接返回到端口20。这甚至成为一条规则附加于路由器之上，即内部网络机器上的端口20可用于探查外部情况。因此，黑客们很容易“欺骗”这些路由器。但防火墙会使这些“欺骗”变得困难，甚至几乎不可能实现。 ???????堡垒主机 ????? ?通常，防火墙是位于内部网或Web站点与Internet之间的一个路由器或一台计算机。当防火墙位于一台计算机上时，这台计算机通常称为堡垒主机。其目的如同一个安全门，为门内的部门提供