防火墙体系结构的组合形式.docVIP

防火墙体系结构的组合形式 随着网络的高速发展，越来越多的公共服务商开始提供WEB服务、电子邮件和FTP等。同时，越来越多的网民利用WEB获取和发布信息，使互联网信息量迅速增长。????于此同时，网络安全也逐渐成为一个重要的话题。内部网和互联网相连时，如果将服务器直接连接到公共网络中，无疑是让黑客有机会入侵服务器，从而进一步破坏服务器或盗窃机密数据。????在网络安全方面最具有代表性的技术就是数据加密、容错技术、端口保护、认证系统和防火墙技术。其中，防火墙技术是近年来提出并推广的一项网络安全技术。????防火墙的实质就是隔离内部网与外部网，并提供存取控制和保密服务，使内部网有选择地与外部网进行信息交换。防火墙增强了内部网的安全性，用户可以安全地使用网络，更好的利用网络资源，同时不用担心遭到外部网的入侵。????防火墙的优点???1.强化网络安全策略????互联网发展到今天，每天通过网络收集信息、交换信息的人越来越多，不可避免的会出现一些品德不良和违反规则的人。作为防火墙，就要防止这些不良行为的发生。????在企业中防火墙还要控制内部员工的上网行为，防止公司机密信息泄露到外网。防火墙通过完善的安全策略，使符合规定的请求通过，或阻止非法请求连接互联网。同时还要阻止外部网络擅自连接到内部网，以达到保护内网的目的。????2.有效记录所有网络连接行为????因为内外网交换信息都要通过防火墙，所以防火墙可以完整的记录内外网互联的各种请求甚至信息。管理员可以通过这些记录来判断非法请求的来源，内网是否有病毒和木马存在，或者是否有人在外网进行攻击等。????3.屏蔽用户????防火墙能够隔离网络中的一个网段和另一个网段，防止一个网段出问题后影响另一个网段。而且从外部网是无法直接查看到内部网的主机信息，有效保护的内网的安全????防火墙的缺点????1.不能防范恶意知情者????防火墙可以禁止系统用户经过网络连接发送专有信息，但用户可以将数据复制到其他介质中带出去。如果入侵者来自防火墙内部，那么防火墙就无能为力了。内部用户可以破坏防火墙体系，巧妙的修改程序从而避过防火墙。对于来自知情者的威胁只能加强内部管理，对用户进行安全教育。????2.不能防范不通过它的连接????防火墙能够有效的防止通过它进行传输的信息，然而不能防止不通过它进行传输的信息。如果站点允许对防火墙后面的内部系统进行连接，那么防火墙就没有办法阻止入侵者进行入侵行为。????3.不能防范全部威胁????防火墙被用来防范已知的威胁，如果是一个很好的防火墙设计方案，可以防范新的威胁。但是没有一个防火墙能自动防御所有新威胁。????防火墙体系结构????堡垒主机在防火墙体系结构中起着至关重要的作用，它专门用来击退攻击行为。网络防御的第一步是寻找堡垒主机的最佳位置，堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机就不能连接外网，同样外网也不能访问内网。如果你通过堡垒主机来集中网络权限，就可以更轻松的配置软件来保护你的网络。????1.双宿主主机防火墙????多宿主主机这个词是用来描述配有多个网卡的主机，每个网卡都和网络相连接。代理服务器可以算是多宿主主机防火墙的一种。在历史上，多宿主主机可以在网段之间传送流量，今天一般都使用专门的路由器来完成IP路由转发。???????????????????????????????????????????????????双宿主主机????如果多宿主主机的路由功能被禁止，则主机可以在它连接的网络之间提供网络流量的分离，并且每个网络都能在宿主主机上处理应用程序。另外，如果应用程序允许，网络还可以共享数据。????双宿主主机是多宿主主机的一个特例，它有两个网卡，并禁止路由功能。????双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。因为双宿主主机不能转发任何TCP/IP流量，所以它可以彻底堵塞内部和外部不可信网络间的任何IP流量。然后防火墙运行代理软件控制数据包从一个网络流向另一个网络，这样内部网络中的计算机就可以访问外部网络。????????????????????????????????????????????双宿主主机????双宿主主机是防火墙体系的基本形态。建立双宿主主机的关键是要禁止路由，网络之间通信的唯一路径是通过应用层的代理软件。如果路由被意外允许，那么双宿主主机防火墙的应用测功能就会被旁路，内部受保护网络就会完全暴露在危险中。????2.主机屏蔽防火墙????主机屏蔽防火墙比双宿主机防火墙更安全。主机屏蔽防火墙体系结构是在防火墙的前面增加了屏蔽路由器。换句话说就是防火墙不直接连接外网，这样的形式提供一种非常有效的并且容易维护的防火墙体系。????因为