浅谈网路防火墙之技术与应用.doc

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
浅谈网路防火墙之技术与应用

淺談網路防火牆之技術與應用網路防火牆的意義 ??????? 防火牆原來是車上的一個設備術語,為介於駕駛面板與引擎室之間的擋板,用以隔離引擎和乘客,萬一引擎爆炸時可以阻止火勢的蔓延,發揮保護乘客的功能。而網路上所謂的防火牆則是一套能夠在兩個或兩個以上的網路之間,明顯區隔出一條界線的電腦軟硬體裝置的組合。理論上,當網路間有安全上的考量時即可裝設防火牆,但一般來說,防火牆大多架設於網際網路與組織內部網路之間,成為內部受信任的網路與外部不受信任的網路之間的區隔通口。 ??????? 網路防火牆的可以區隔不同安全等級的網路,並提供各個網路間的控管功能。防火牆是一個雙向的安全管理機制,不僅能防止外界的入侵,也可以限制內部主機對外的通訊。較具體的來說,它只允許一些特定的資料通過,不論是從外面進入內部網路亦或是內部網路傳輸到外界的資料,都必須經過防火牆的確認手續才能放行,而這些確認手續是由一些事先設定的安全規則和政策來完成的,而防火牆管理人員也應能可視風險程度對於安全控制的程度作彈性調適。值得注意的是,防火牆必須是兩個網路間唯一的通口。倘若網路中尚存在著其它未受保護的通口(例如內部用戶擅自加裝的數據機撥接點),則入侵者也可能擇門而入,如此防火牆將形同虛設。網路防火牆的基本技術一、封包過濾式防火牆 (Packet Filter) ??????? 封包過濾是最早被用來作為網路防火牆的技術,是在OSI七層架構中第三層以下的網路中運作。封包過濾器的功能主要是檢查過往的每一個IP資料封包,如果其表頭中所含的資料內容符合事先設定的可信賴安全標準就放行通過,反之則阻檔在門外,如圖一所示。(註10)最簡單、也最常見的的封包過濾器就是路由器(Router),它平日的主要工作是按址轉送過往的資料封包,它們大多具有有某種內建的功能,可限制某些來源點或目的地的封包流通,並在路徑轉換表中設定誰可以通過,誰不能通過。不過,用來作為防火牆的路由器必須執行比一般路由器的過濾更複雜的分析工作,如檢查提供服務要求的埠口(port)來源,因此通常使用高階路由器。而除了在路由器上採用之外,也有一些是以電腦主機為主的封包過濾式防火牆軟體。採用此型態的防火牆時,需要先設定一些組態參數,如交通的流向、進出網路的資訊、交通的出發地址和目的地址的介面、起訖點的IP位址和TCP或UDP的埠口位址、TCP的狀態資料等等。 圖一 ?? 封包過濾式防火牆運作模式圖 資料來源:張思源,「揭開防火牆的神祕面紗」,網路通訊雜誌75期(民國87年2月):頁107。 ??????? 封包過濾式防火牆的最大優點是速度快(在任何時候都可以使封包通過)、容易建置、設置成本較低並具有完全通透性(Transparency)。因為一個組織的內部網路原本就必須經過路由器才能連接到網際網路,而路由器本來就是利用封包過濾的理念來控制往來交通的傳輸,所以大部分的過濾工作都不會讓本端的使用者在上網時增加任何不便,甚至不會察覺到防火牆的存在。 ??????? 但,封包過濾式防火牆的作用層次比較低,一些屬於OSI 模式中上幾層的功能無法在此類防火牆中做到,所以無法對所經過的資料流提供較詳細及較高層的稽核能力,有時也由於必須預些開放某些埠口,而造成了安全上的大漏洞。也由於這種型式的防火牆問世最早,一些精明的駭客早已開發出一些式來繞過封包過濾的安全管制:如製造假的IP位址、或是模仿有關埠口的設定等,利用扮豬吃老虎的方式讓防火牆無法偵測出來。另外,由於此類防火牆通常要有許多的存取規則,設定的手續也相當繁複,因此在管理上來說也必須具備足夠的專業知識才有辦法勝任。 ??????? 由於封包過濾的方式本身有一些弱點無法克服,所以在實務上,安全顧慮較高的網路應避免只用路由器的過濾作為唯一防線,必須在其上再加上其他的防火牆機制,以建立更嚴密的安全管控。 二、應用層閘道式防火牆 (Application-Level Gateway) ??????? 應用層閘道器,顧名思義,是作用於OSI通信模組的應用層,它會針對不同的應用程式如FTP、HTTP、Telnet等來分別進行安全的稽核工作。基本上,此類防火牆是採用與前述之封包過濾器截然不同的觀點來處理網路的安全問題,它是利用一些專門性的程式來做網際網路上程式應用的佣介者—即閘道或代理器(Proxy)—將內部網路與外部網路區隔開來,而存儲轉發(Store-and Forward)就是它們運作的方式。如圖二所示,(註11)在防火牆內的客戶端實際是連接到防火牆之內的FTP伺服器,再由該伺服器以客戶端的身分去網際網路上真正的FTP伺服器上擷取檔案。 具體地來說,應用層閘道器會先將欲通過它的傳輸連接切斷,再另起爐灶地設置另一個連接,它會這個連接的過程之中獲得一些必要的資訊,並依照各個應用程式之中所設定的一些規則

文档评论(0)

170****0532 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8015033021000003

1亿VIP精品文档

相关文档