防火墙础知识.docVIP

(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是 一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供 的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应 | |Packet | ______|________________|__________| 用 |_____|Filter |___Internet | 网 | |Router | 网点系统 | 关 | |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等 级较高的网关如网点与Internet的连接处，但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程，运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说，防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间 所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关 ，它能实施安全路障并为管理人员提供对下列问题的答案： * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络? * 他们上网时去了何处? * 谁要上网但没有成功? （二）采用防火墙的必要性 引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务，并 受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中，网络安全性完 全依赖主系统安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级 安全性。子网越大，把所有主系统保持在相同安全性水平上的可管理能力就越小。随着 安全性的失误和失策越来越普遍，闯入时有发生，这不是因为受到多方的攻击，而仅仅 是因为配置错误、口令不适当而造成的。 防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。以下是使用防火墙 的好处： 1.防止易受攻击的服务 防火墙可以大大提高网络安全性，并通过过滤天生不安全的服务来降低子网上主系 统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能 通过Firewall。 For example, Firewall 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护 的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大 降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或 NFS因而可得到公用，并用来减轻主系统管理负担。 防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送 路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发 事件通知管理人员。 2.控制访问网点系统 防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问 ，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器 等特殊情况外，网点可以防止外部对其主系统的访问。 这就把防火墙特别擅长执行的访问政策置于重要地位：不访问不需要访问的主系 统或服务。当不用访问或不需要访问时，为什么要提供能由攻击者利用的主系统和服务 访问呢？例如，如果用户几乎不需要通过网络访问他的台式工作站，那么，防火墙就可 执行这一政策。 3.集中安全性 如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在 防火墙系统中，而不是分散到每个主机中，这样防火墙的保护就相对集中一些，也相对 便宜一点。尤其对于密码口令系统或其他的身份认证软件等等，放在防火墙系统中更是 优于放在每个Internet能访问的机器上。 当然，还有一些关于网络安全的出来方法，比如Kerberos,包含了每个主机系统的 改动。也许，在某