日韩床上生活一级视频|能看毛片的操逼网站|色悠悠网站在线观看视频|国产免费观看A淫色免费|国产av久久久久久久|免费A级视频美女网站黄|国产毛片av日韩小黄片|热久久免费国产视频|中文字幕无码色色|成人在线视频99久久久

    摘 要�� 介紹了防火墻的概念、原理、分類及比較,指出傳統(tǒng)防火墻存在的不足之處,提出了一種新型防火墻系統(tǒng)—嵌入式防火墻系統(tǒng),最后對(duì)防火墻的發(fā)展作了前景展望。

    關(guān)鍵詞�� 互聯(lián)網(wǎng) 防火墻 網(wǎng)絡(luò)安全 包過(guò)濾 嵌入式防火墻系統(tǒng)

    國(guó)際互聯(lián)網(wǎng)（Internet）的迅速發(fā)展,為信息共享提供了一條全球性的高速通道,同時(shí)也為各種新興娛樂(lè)方式、商業(yè)形式的形成和發(fā)展創(chuàng)造了有利條件。然而不幸的是,由于目前采用的TCP／IP協(xié)議族潛在著安全漏洞以及安全機(jī)制不健全,Internet網(wǎng)上的黑客趁機(jī)而入,非法進(jìn)入企業(yè)的內(nèi)部網(wǎng)并存取、破壞、竊聽數(shù)據(jù)。因此,如何保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源及信息不受外部攻擊者肆意破壞或盜竊,是企業(yè)網(wǎng)絡(luò)安全需要解決的重要問(wèn)題。

    防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一,它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障,以防止不可預(yù)測(cè)的、潛在破壞的非法入侵。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況,以此來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。

    １ 防火墻的概念、原理

    防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)�？烧J(rèn)為它是一種訪問(wèn)控制機(jī)制,用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn),以及允許哪些外部服務(wù)訪問(wèn)內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出企業(yè)網(wǎng)。防止非授權(quán)用戶訪問(wèn)企業(yè)內(nèi)部、允許使用授權(quán)機(jī)器的用戶遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部、管理企業(yè)內(nèi)部人員對(duì)Internet的訪問(wèn)。防火墻的組成可用表達(dá)式說(shuō)明如下：

    防火墻＝過(guò)濾器＋安全策略（網(wǎng)關(guān)）

    防火墻通過(guò)逐一審查收到的每個(gè)數(shù)據(jù)包,判斷它是否有相匹配的過(guò)濾規(guī)則（用表格的形式表示,包括Match,Action,Trace,Target四個(gè)條件項(xiàng)）。即按表格中規(guī)則的先后順序以及每條規(guī)則的條件項(xiàng)進(jìn)行比較,直到滿足某一條規(guī)則的條件,并作出規(guī)定的動(dòng)作（停下或向前轉(zhuǎn)發(fā)）,從而來(lái)保護(hù)網(wǎng)絡(luò)的安全。

    ２ 防火墻的分類及比較

    防火墻一般可以分為以下幾種：包過(guò)濾型防火墻、電路級(jí)網(wǎng)關(guān)型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻、代理服務(wù)型防火墻、狀態(tài)檢測(cè)型防火墻、自適應(yīng)代理型防火墻。下面分析各種防火墻的優(yōu)缺點(diǎn)。

    包過(guò)濾型防火墻 它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,也可稱之為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。它的優(yōu)點(diǎn)是：邏輯簡(jiǎn)單,成本低,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,通常安裝在路由器上。缺點(diǎn)是：很難準(zhǔn)確地設(shè)置包過(guò)濾器,缺乏用戶級(jí)的授權(quán);包過(guò)濾判別的條件位于數(shù)據(jù)包的頭部,由于IPV4的不安全性,很可能被假冒或竊取;是基于網(wǎng)絡(luò)層的安全技術(shù),不能檢測(cè)通過(guò)高層協(xié)議而實(shí)施的攻擊。

    電路級(jí)網(wǎng)關(guān)型防火墻 它起著一定的代理服務(wù)作用,監(jiān)視兩主機(jī)建立連接時(shí)的握手信息,判斷該會(huì)話請(qǐng)求是否合法。一旦會(huì)話連接有效后,該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它在IP層代理各種高層會(huì)話,具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力,且透明性高。但由于其對(duì)會(huì)話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析,因此安全性低。

    應(yīng)用網(wǎng)關(guān)型防火墻 它是在應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能,針對(duì)特別的網(wǎng)絡(luò)應(yīng)用協(xié)議制定數(shù)據(jù)過(guò)濾邏輯。應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。由于它工作于應(yīng)用層,因此具有高層應(yīng)用數(shù)據(jù)或協(xié)議的理解能力,可以動(dòng)態(tài)地修改過(guò)濾邏輯,提供記錄、統(tǒng)計(jì)信息。它和包過(guò)濾型防火墻有一個(gè)共同特點(diǎn),就是它們僅依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò),一旦符合條件,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部網(wǎng)絡(luò)能直接了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這大大增加了實(shí)施非法訪問(wèn)攻擊的機(jī)會(huì)。

    代理服務(wù)型防火墻 代理服務(wù)器接收客戶請(qǐng)求后,會(huì)檢查并驗(yàn)證其合法性,如合法,它將作為一臺(tái)客戶機(jī)向真正的服務(wù)器發(fā)出請(qǐng)求并取回所需信息,最后再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界完全隔離開來(lái),從外面只看到代理服務(wù)器,而看不到任何內(nèi)部資源,而且代理服務(wù)器只允許被代理的服務(wù)通過(guò)。代理服務(wù)安全性高,還可以過(guò)濾協(xié)議,通常認(rèn)為它是最安全的防火墻技術(shù)。其不足主要是不能完全透明地支持各種服務(wù)、應(yīng)用,它將消耗大量的CPU資源,導(dǎo)致低性能。

    狀態(tài)檢測(cè)型防火墻 它將動(dòng)態(tài)記錄、維護(hù)各個(gè)連接的協(xié)議狀態(tài),并在網(wǎng)絡(luò)層對(duì)通信的各個(gè)層次進(jìn)行分析、檢測(cè),以決定是否允許通過(guò)防火墻。因此它兼?zhèn)淞溯^高的效率和安全性,可以支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用,且可以方便地?cái)U(kuò)展實(shí)現(xiàn)對(duì)各種非標(biāo)準(zhǔn)服務(wù)的支持。

    自適應(yīng)代理型防火墻 它可以根據(jù)用戶定義的安全策略,動(dòng)態(tài)適應(yīng)傳送中的分組流量。如果安全要求較高,則最初的安全檢查仍在應(yīng)用層完成。而一旦代理明確了會(huì)話的所有細(xì)節(jié),那么其后的數(shù)據(jù)包就可以直接經(jīng)過(guò)速度快得多的網(wǎng)絡(luò)層。因而它兼?zhèn)淞舜�理技術(shù)的安全性和狀態(tài)檢測(cè)技術(shù)的高效率。

    ３ 新型防火墻系統(tǒng)

    ３．１ 傳統(tǒng)防火墻的缺點(diǎn)

    傳統(tǒng)防火墻結(jié)構(gòu)在其技術(shù)原理上對(duì)來(lái)自內(nèi)部的安全威脅不具備防范能力,且具有以下不足：

    · 高成本：內(nèi)部網(wǎng)中需要保護(hù)的主機(jī)或者資源越多,就要設(shè)置更多的安全檢查點(diǎn),即需要更高的設(shè)備成本及系統(tǒng)維護(hù)開銷。

    · 高管理負(fù)擔(dān)：IT管理人員將面臨極大的挑戰(zhàn)來(lái)管理,維護(hù)更多的防火墻設(shè)備。

    · 存在盲點(diǎn)：由于傳統(tǒng)防火墻將檢查點(diǎn)設(shè)立在一個(gè)“可信子網(wǎng)”的入口處,來(lái)自子網(wǎng)內(nèi)部任何主機(jī)的攻擊都將成為該防火墻的盲點(diǎn)。

    · 低性能：由于大量的安全檢查點(diǎn)被安置于企業(yè)內(nèi)的各種路由設(shè)備上,內(nèi)部網(wǎng)中所有的通信都將不可避免地經(jīng)過(guò)若干個(gè)安全檢查點(diǎn),以至于造成相應(yīng)的傳輸延遲,使網(wǎng)絡(luò)性能降低了。

    ３．２ 嵌入式防火墻系統(tǒng)概述

    為了有效地解決日益突出的內(nèi)部網(wǎng)安全問(wèn)題,作者提出了一種新型的防火墻系統(tǒng)—嵌入式防火墻系統(tǒng)（EFS）。它不僅是一種單純的提供訪問(wèn)控制手段的防火墻設(shè)備,還集成了一整套解決網(wǎng)絡(luò)安全問(wèn)題的各種應(yīng)用,為大量的網(wǎng)絡(luò)用戶及需要保護(hù)的網(wǎng)絡(luò)資源提供了一個(gè)可管理的、分布式的、安全的計(jì)算環(huán)境。它使用了一種簡(jiǎn)化的,基于公鑰的Kerberos協(xié)議以實(shí)現(xiàn)透明的認(rèn)證,并綜合了其它一些網(wǎng)絡(luò)安全技術(shù),包括授權(quán)、安全數(shù)據(jù)傳輸、審計(jì)等,并提供了一種集中式的管理機(jī)制。