浅议防火墙.doc

发信人:?wwwRainbow?(毛毛牛),?信区:?Security????????标??题:?浅议防火墙?发信站:?BBS?水木清华站?(Mon?Jan?10?17:27:20?2000)??????????????????????????????????浅议防火墙?????计算机的应用实际密和财富高度集中于计算机,计算机网络的应用是这些机密和财富?随?时受到联网的计算机的威胁.以各种非法手段企图深入计算机网络的人,所谓的黑客,随着?网?络覆盖范围的扩大而增加.从而是计算健全成为任何一个计算机系统正常运行并发挥作用?的?必须考虑和必然选择.计算机安全应从三个方面加以衡量,即保密性,完整性和可靠性.保?密?性是指计算机系统能防止非法泄露计算机数据;完整性是指计算机系统能够防止非法修改?和?删除计算机数据和程序;可用性是指系统能够防止非法独占计算机的资源和数据,当用户?需?要使用计算机资源是能有资源可用.为了从上述三个方面保障计算机系统的安全,尤其在?当?今网络互连的环境中,网络安全体系结构的考量和选择显得尤为重要.采用传统的防火墙?网?络安全体系结构不失为一种简单有效的选择方案.?一.简介?　　防火墙是用来对因特网种特定的连接段进行隔离的任何一台设备或一组设备,他们提?供?单一的控制点,以允许或禁止在网络中的传输流.通常有两种实现方案,即采用应用网关的?应?用层防火墙和采用过滤路由器的网络层防火墙.防火墙的结构模型可划分为策略(policy?)和?控制(control)两部分,前者是指是否赋予服务请求着相应的访问权限,后者对授权访问着?的?资源存取进行控制.?????对于防火墙的使用存在相当的争议,主要应为人们的着眼点不同抑或所应用的系统具?有?不同的本质特性.防火墙虽然为系统提供了目前可用最好的安全防护,但由于自身所需的?设?施和策略,使系统的互连性和可用性受到影响.?二.应用层防火墙(application_layer?firewall)?　　应用层防火墙可由下图简单示例:?????????C------F------S?????其中c代表客户;f代表防火墙而居于客户和提供相应服务的服务器s之间.客户首先建?立?与防火墙间的运输层连接,而不是与服务器建立相应的连接.域名服务器DNS受到客户对服?务?器s的域名解析请求后,返回给客户一个服务重定向纪录(service?redirection?record)?,其?中包含有防火墙的IP地址.?????然后,客户与防火墙进行会话,从而使防火墙能够确定客户的标识,与此同时包含对服?务?器s的服务请求.接下来防火墙f判断客户c是否被授权访问相应的服务,若结果肯定,防火?墙f?建立自身同服务器s键的运输层连接,并充当二者间交互的中介.?????应用层防火墙由于网络层防火墙之处在于,其可处理和检验任何通过的数据.但必须?指?出的是,针对不同的应用它并没有一个统一的解决方案,而必须分别编码,着严重制约了它?的?可用性和通用性.其外,一旦防火墙崩溃,整个应用也将随之崩溃;由于其自身的特殊机制?,带?来的性能损失要比网络层防火墙要大.?三.网络层防火墙(IP_layer?firewall)?　　网络层防火墙的基本模型为一个多端口的IP层路由器,它对每个IP数据报都运用一系?列?规则进行匹配运算,借以判断该数据报是否被前传或丢弃.也就是利用数据包头所提供的?信?息,对IP数据报进行过滤(filter)处理.?????防火墙路由器具有一系列规则(rule),每条规则由分组刻面(packet?profile)和动作?(ac?-tion)组成.分组刻面用来描述分组头部某些域的值,主要有源IP地址,目的IP地址,协议?号和?其他关于源端和目的端的信息.?????防火墙的高速数据报前传路径(high_speed?datagram?forwarding?path)对每个分组?应?用相应规则进行分组刻面的匹配.若结果匹配,则执行相应动作.典型的动作包括:前传(f?orwa?rding),丢弃(dropping),返回失败信息(sending?a?failure?response)和异常登记(log?ging?for?exception?tacking).一般而言,应包含一个缺省的规则,以便当所有规则均不匹配时?,能?够留一个出口,该规则通常对应一个丢弃动作.?1.1?策略控制层(policy?control?level)?????现在引入策略控制层的概念,正是它在防火墙路由器中设置过滤器,以对客户的请求?进行?认证和权限校验,策略控制层由认证功能