分享
 
 
 

从防火墙结构谈防火墙管理

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

洞呛!飞纤怠胺阑鹎剑河梅侨忌詹牧掀鲋那健I柙诮ㄖ锏牧蕉嘶蛟诮ㄖ锬诮ㄖ锓指畛汕危苑乐够鹪致印!痹贗T这个变革一切、改造一切的世界里,“防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。”如果说,只要你使用计算机,你就应该用杀毒软件,那么只要你联网,你就应该构建防火墙。现在绝大部分个人版反病毒软件都已经集成了防火墙的功能;大的企业、行业用户都会订购全套的网络安全解决方案,而其中防火墙是必选的项目。最最令人担忧的是占我国企业总数99%的中小企业,大部分没有专职的网管人员,仅仅使用个人产品来保护局域网,没有明确的安全操作规范……危险时刻威胁着不堪一击的中小企业的网络。

每天,人们利用保险机制保护他们的财产免受火灾和盗窃,公司通过专利和商标保护自己的成果不被窃取。各种安全措施无处不在,时时刻刻守护我们的人身财产安全。而防火墙就是这样一个内部网络安全策略的工具,保护我们免受“墙”外的“火灾”的伤害。本质上,一个防火墙由一台或多台机器组成,它用一组形成防火墙“墙砖”的软件将外部网络与内部网络隔开。不过这组墙砖是否结实,就很重要了,否则系统在网络攻击的惊涛骇浪中就性命堪忧。所以今时今日,大多数的网管们都有“防火墙”情结就不足为奇了。

图1 防火墙规划

一般来说,防火墙包括几个不同的组成部分(如图1)。过滤器(也称屏蔽)用于阻断某一类型的通信传输。网关是一台或一组机器,它提供中继服务,而一般驻有网关的网络常被叫做非军事区(DMZ)。外部的过滤器可用来保护网关免受攻击,而内部过滤器用来应付一个网关遭到破坏所带来的后果,两个过滤器均可用来保护内部网络,使之免受攻击。

对于大部分的网络管理员而言,防火墙的管理并不是件轻松的事,甚至有些时候还显得有些枯燥。就目前而言,网管的工作还处于三大战役的初期:敌强我弱阶段。敌人随时都可能出现,我们往往要打起十二万分的精神。否则,稍有不慎就会被供给者攻城略地。工欲善其事,必先利其器。那么先让我们看看我们的手里都有些什么武器。

包过滤网关

数据包过滤器是最廉价但却很有用的防火墙网关。这是因为:只使用一个路由器连接到互联网上,而无需额外的费用,所提供的保护对于一些小型企业而言已经足够了。数据包过滤的工作方法是通过基于数据包的源地址、目的地址或端口来进行投递的。一般来说,不保持前后连接信息,过滤的决定也是根据当前数据包的内容来定。根据企业中所用的路由器的类型不同,过滤可以在输入时间、输出时间或者两个时间段内进行。管理员可以做一个可接受机器和服务的列表,以及一个不可接受的机器和服务的列表。这样的话,在主机和网络一级,利用数据包过滤的技术很容易实现允许或禁止访问。但是大家要小心哦,如果过分的依赖过滤表,一旦配置不当,很可能将坏家伙放进来。

天下没有免费的晚餐,对于数据包过滤器,虽然很简单很廉价,但是需要付出性能代价。由于路由器串行连接在线路中,往往会成为数据传输的瓶颈。

但是即使有包过滤网关,有时还会有路由器的泄漏。诺亚曾经偶然用Telnet从我的工作站远程登录到外部去。这本来是不应该成功的,但是我却成功了。那么数据包是怎样到达目的地的呢?经过了一系列的实验后,终于发现了这样一个简单的事实:那台机器通过一个以太网端口连接到网关LAN上,另一个路由器也被连接到了网关LAN上。而它的配置并不正确,并向内部发射了一个“缺省”路由项。从而使得那台机器获得了一条通往外部的路径。如果我们对内部网络的寄生缺省路由进行监视,或者我们的监视器不具有通告外部的IP地址,那么这种事情是可以避免的。

应用级网关

在防火墙的设计中,应用级网关代表了相反的极端。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,说到这里大家就会发现,它是想在应用层实现防火墙的功能,答对了,这也就是应用级网关名称的由来。应用级网关有一个优点:它可以很方便地记录并控制所有的进/出的通信,如果你是一位有经验的网管的话,一定知道这一点是很重要的。很多公司和企业会限制员工的FTP通信,并控制带宽,很大程度上是基于公司安全的考虑,防止那些有价值的程序和数据被盗。但是,我们知道,这样的防火墙通常都只能防范那些来自于外部的攻击,而对于“卧底”的内鬼就无能为力了,这一点各位同道一定要切记,切记!

电路级网关

这种技术是我们在对外连接时最喜欢采用的一种方式。电路级网关对TCP连接进行中继,对数据包只起到转发的作用。因此,电路级网关只依赖于TCP的连接,而不进行任何的附加包处理或者过滤。在应用级网关中,数据包被提交给用户应用层来处理,网关只用来在两个通信终点之间转接数据包,只是简单的字节拷贝,由于连接看起来似乎源于防火墙,所以隐藏了受保护网络的有关信息(如图2)。这种网关对外就像一个代理,而对内则是一个过滤路由器。一个简单的电路级网关仅传TCP的数据段,而增强的电路级网关还应该具有认证的功能。认证技术在近年来也算是网络安全技术中的明星,不过我们的篇幅有限,只好暂时委屈一下这位明星了。

图2 电路级网关

隧道技术的是是非非

所谓“道高一尺,魔高一丈”,虽然防火墙辛辛苦苦地为我们提供了强有力的保护,但是往往利用隧道技术可以穿透防火墙。所谓隧道技术是指通过将一个协议的报文封装在另一个协议中,并利用第二个协议的设备穿过一些网络节点,到达目的地后,封装被剥离,原报文被重新注入到该网络中。通常这一情况可以被探测到,并通过禁止路由信息来控制。不过,有时候,隧道技术也是一个好同志,例如,它能克服网络的局域性,将两个互相隔开的站点链接起来。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有