防火墻網(wǎng)絡(luò)安全的重要性_第1頁(yè)
防火墻網(wǎng)絡(luò)安全的重要性_第2頁(yè)
防火墻網(wǎng)絡(luò)安全的重要性_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、防火墻網(wǎng)絡(luò)平安的重要性【摘要】隨著互聯(lián)網(wǎng)應(yīng)用的日益普及,網(wǎng)絡(luò)已成為主要的數(shù)據(jù)傳輸和信息交換平臺(tái),許多部門(mén)和企業(yè)在網(wǎng)上構(gòu)建了關(guān)鍵的業(yè)務(wù)流程,電子政務(wù)和電子商務(wù)將成為將來(lái)主流的運(yùn)作形式。網(wǎng)絡(luò)平安和信息平安是保障網(wǎng)上業(yè)務(wù)正常進(jìn)展的關(guān)鍵,并已日益成為網(wǎng)絡(luò)用戶普遍關(guān)注的焦點(diǎn)問(wèn)題。因此,網(wǎng)絡(luò)平安成為這兩年it業(yè)內(nèi)的熱點(diǎn)話題,而防火墻更是熱點(diǎn)中的一個(gè)焦點(diǎn)。因?yàn)?,防火墻是企業(yè)網(wǎng)絡(luò)平安的最重要的守護(hù)者?!娟P(guān)鍵詞】防火墻包過(guò)濾地址轉(zhuǎn)換nat代理型和監(jiān)測(cè)型防火墻技術(shù)是一種網(wǎng)絡(luò)平安保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目的就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保

2、護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。防火墻可以是獨(dú)立的系統(tǒng),也可以在一個(gè)進(jìn)展網(wǎng)絡(luò)互連的路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)平安必須考慮防火墻的網(wǎng)絡(luò)拓?fù)錁?gòu)造:屏蔽路由器,又稱包過(guò)濾防火墻;雙穴主機(jī),雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代;主機(jī)過(guò)濾構(gòu)造,這種構(gòu)造實(shí)際上是包過(guò)濾和代理的結(jié)合;屏蔽子網(wǎng)構(gòu)造,這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。根據(jù)防火墻所采用的技術(shù)不同,可以將它分為四種根本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換nat、代理型和監(jiān)測(cè)型。1包過(guò)濾型包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)根據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包為單位進(jìn)展傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含

3、一些特定信息,如數(shù)據(jù)的源地址、目的地址、tp/udp源端口和目的端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包是否來(lái)自可信任的平安站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈敏制訂判斷規(guī)那么。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)本錢較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,可以以較小的代價(jià)在一定程度上保證系統(tǒng)的平安。但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的平安技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目的和端口等網(wǎng)絡(luò)信息進(jìn)展判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的java小程序以及電子郵件中附帶的病毒。有經(jīng)歷的黑客很容易偽造ip地址,

4、騙過(guò)包過(guò)濾型防火墻。2網(wǎng)絡(luò)地址轉(zhuǎn)化nat網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ip地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的ip地址標(biāo)準(zhǔn)。它允許具有私有ip地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器獲得注冊(cè)的ip地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)平安網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)假裝的地址和端口,讓這個(gè)假裝的地址和端口通過(guò)非平安網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非平安網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的ip地址和端口來(lái)懇求訪問(wèn)。l防火墻根據(jù)預(yù)先定義好的映射規(guī)那么來(lái)判斷這個(gè)訪問(wèn)是否平安。當(dāng)符合規(guī)

5、那么時(shí),防火墻認(rèn)為訪問(wèn)是平安的,可以承受訪問(wèn)懇求,也可以將連接懇求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)那么時(shí),防火墻認(rèn)為該訪問(wèn)是不平安的,不能被承受,防火墻將屏蔽外部的連接懇求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)展設(shè)置,用戶只要進(jìn)展常規(guī)操作即可。3代理型代理型防火墻也可以被稱為代理效勞器,它的平安性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層開(kāi)展。代理效勞器位于客戶機(jī)與效勞器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理效勞器相當(dāng)于一臺(tái)真正的效勞器;而從效勞器來(lái)看,代理效勞器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用效勞器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)懇求發(fā)給代理效勞器,代理效勞器再根據(jù)

6、這一懇求向效勞器索取數(shù)據(jù),然后再由代理效勞器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部效勞器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意損害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是平安性較高,可以針對(duì)應(yīng)用層進(jìn)展偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都非常有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理效勞器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)展設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。4監(jiān)測(cè)型監(jiān)測(cè)型防火墻是新一代產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻可以對(duì)各層的數(shù)據(jù)進(jìn)展主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的根底上,監(jiān)測(cè)型防火墻可以有效地判斷出各層中的非法侵入。同時(shí),這種

7、監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用效勞器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅可以檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在平安性上也超越了前兩代產(chǎn)品,雖然監(jiān)測(cè)型防火墻平安性上已超越了包過(guò)濾型和代理效勞器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)本錢較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻?;趯?duì)系統(tǒng)本錢與平安技術(shù)本錢的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既可以保證網(wǎng)絡(luò)系統(tǒng)的平安性需求,同時(shí)也能有效地控制平安系統(tǒng)的總擁有本錢。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理效勞器也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。防火墻是一個(gè)具有主動(dòng)性的網(wǎng)絡(luò)平安模型,是以一個(gè)良好的平安策略為起點(diǎn)的。由于挪

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論