系統(tǒng)管理-系統(tǒng)安全-防火墻_第1頁
系統(tǒng)管理-系統(tǒng)安全-防火墻_第2頁
系統(tǒng)管理-系統(tǒng)安全-防火墻_第3頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、UNIX系統(tǒng)管理系統(tǒng)安全防火墻防火墻什么是防火墻防火墻是一種用來阻止外面的未經授權的用戶的非法訪問你的網(wǎng)絡下的設備的工具,它通常是軟件和硬件的結合體。為了更好地理解防火墻的工作原理,我們就使用以前提到過的例子來說明.首先,大多數(shù)網(wǎng)絡身份驗證除了用戶帳號和口令之外的,就是IP地址,IP地址是INTERNET網(wǎng)絡上最普遍的身份索引,它有動態(tài)和靜態(tài)兩種。(1)動態(tài)IP地址指每次強制分配給不同上網(wǎng)機器的主機的地址。ISP提供的撥號服務通常是分配動態(tài)IP地址,一個撥號計算機通常每次撥號都有一個不同的IP但是總有一個范圍。(2)靜態(tài)IP地址是固定不變的地址,它可以是某臺連入Internet的主機地址,靜態(tài)

2、IP分幾類,一類是whois可以查詢到的,并且此類IP地址主要是Internet中最高層主機的地址,這些主機可以是域名服務器,httpd服務器(Web Server)、郵件服務器、BBS主機或者網(wǎng)絡棋類游戲服務器。另一類靜態(tài)IP地址被分配給Internet網(wǎng)絡中的第二層和第三層的主機,這些機器有固定的物理地址。然而他們不一定有注冊的主機名。當你的計算機同遠程主機建立連接的時候,各種對話隨之產生,其中最常見的一種是TCP/IP的三次握手方式。對方可以在三次握手的過程中得知你主機的IP地址。在通常的情況下,即沒有防火墻的情況下,本地主機和遠程主機之間的對話是直接發(fā)生的。信息的傳輸過程相當復雜,典型

3、的傳輸過程由下面列出的幾部分組成。1.數(shù)據(jù)從網(wǎng)絡的某處發(fā)出,比如說:從現(xiàn)在所在的局域網(wǎng)中發(fā)出。2.數(shù)據(jù)從本地機器傳輸?shù)阶泳W(wǎng)中的服務器上,再通過這臺機器傳到本地網(wǎng)絡的主服務器上,順便說一句,由于子網(wǎng)下是采用廣播的形式,主機作為路由器對包進行采樣分析,并轉換成有合法internet IP的包轉發(fā)出去。所以這一步只通過一個服務器。3.網(wǎng)絡服務器將數(shù)據(jù)交給路由器,路由器通過光纖或者其他主干網(wǎng)絡高速設備將數(shù)據(jù)轉發(fā)上internet.4.數(shù)據(jù)經過internet網(wǎng)絡,其間通過許多網(wǎng)關和路由器,最后到達另外網(wǎng)絡路由器,并由這個路由器將數(shù)據(jù)通過以太網(wǎng)發(fā)送到相應主機。如果雙方都沒有采取任何安全措施,那么二者之間

4、的道路被認為是直接的,例如,路由器2轉交源地址為任何IP地址的數(shù)據(jù)給服務器,最終導致網(wǎng)絡的許多不安全因素,但許多年來它一直是一種標準。防火墻的組成防火墻可以由軟件也可以由硬件構成,當然也可以由軟件和硬件混合構成。軟件部分可以是專利軟件或者共享軟件,硬件部分應該是能夠支持軟件的硬件設備。如果防火墻是硬件,那么這個硬件最多由一個路由器組成。在路由器中可以采用命令來限制并過濾IP數(shù)據(jù)包,即允許定義哪些包可以被轉發(fā)而哪些包丟棄。代理和網(wǎng)關代理防火墻或者網(wǎng)關的工作方式與過濾數(shù)據(jù)包的防火墻和以路由器為基礎的防火墻稍有不同。它是基于軟件的。當遠程用戶希望和一個正在運行網(wǎng)關的網(wǎng)絡進行連接的時候,此網(wǎng)關就會阻塞

5、這個遠程連接,然后對連接的各個域進行檢查,如果符合指定的要求,網(wǎng)關便會在遠程主機和內部主機之間建立一個“橋”,”橋“是指兩種協(xié)議之間的轉換器。這種網(wǎng)關代理模型的優(yōu)點是不進行IP包的轉發(fā),更為重要的是可以在”橋“上設置更多的控制,而且這種工具還能提供非常成熟的日志功能。然而所有的這些優(yōu)點都是通過犧牲速度換取的。因為每次連接請求和所有發(fā)往子網(wǎng)內的包都要在網(wǎng)關上進行檢查和分析轉發(fā)等過程,這就要比單純的從IP地址來過濾轉發(fā)數(shù)據(jù)包慢多了。IP轉發(fā)(IP forwarding)是指收到外部請求的服務器將此信息直接或者進行合法化轉換再發(fā)到網(wǎng)絡中來,當然,IP轉發(fā)存在不少的問題和漏洞,但是速度沒有什么問題。網(wǎng)關的另一個不足之處是,必須為每個網(wǎng)絡服務創(chuàng)建代理(proxy),為了在內部網(wǎng)絡和外部網(wǎng)絡之間建立連接需要兩個步驟。一些網(wǎng)關需要經過修改的客戶端,這即可以看作是進步也可以看作是退步,是進步還是退步主要看修改過的客戶端能否方便地使用防火墻。Telnet網(wǎng)關不一定要修改telnet客戶端,但是使用未經修改過的telnet客戶端軟件卻需要用戶改變他們的行為:用戶不得不直接登錄到內部的主機

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論