|
|
|
電信博物館 > 計(jì)算機(jī)網(wǎng)絡(luò) > 小心駛得萬(wàn)年船
拒敵千里的防火墻
什么是防火墻�����?“建造起來(lái)用于防止火勢(shì)蔓延的墻壁”�����。注意�����,這并不是說(shuō)把所有東西都從火中搶救出來(lái)��。真正的防火墻只是能延緩火勢(shì)在建筑物中的蔓延���。網(wǎng)絡(luò)中的防火墻更象一座裝有水力發(fā)電廠的大壩�。大壩上十分嚴(yán)格地預(yù)留了一定數(shù)量的開(kāi)口和溢流口�����,可以使一定數(shù)量的水流通過(guò)規(guī)定通道。原來(lái)我們希望建造網(wǎng)絡(luò)防火墻的真正目的就是這個(gè)�。可能你的用戶在準(zhǔn)備通過(guò)網(wǎng)絡(luò)時(shí)也會(huì)這么說(shuō)���。我們還可以把網(wǎng)絡(luò)防火墻比喻成國(guó)際機(jī)場(chǎng)的護(hù)照檢查和海關(guān)。在你得到允許進(jìn)出一個(gè)國(guó)家前�����,必須通過(guò)一系列的檢查點(diǎn)���。在網(wǎng)絡(luò)防火墻中�,每個(gè)包在得到許可繼續(xù)傳輸前也必須通過(guò)某些檢查點(diǎn)����。
防火墻如何運(yùn)作?防火墻要檢驗(yàn)每一個(gè)包����,確定是否可以進(jìn)出,如果防火墻拒絕其通過(guò)�����,對(duì)不起,這個(gè)包將被摔到一邊��。
用更專(zhuān)業(yè)一點(diǎn)的話來(lái)講��,防火墻(Fire Wall)就是一個(gè)或一組網(wǎng)絡(luò)設(shè)備(計(jì)算機(jī)系統(tǒng)或路由器等)�����,用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制�����,其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊�。可以這樣理解��,相當(dāng)于在網(wǎng)絡(luò)周?chē)诹艘粭l護(hù)城河�,在唯一的橋上設(shè)立了安全哨所,進(jìn)出的行人都要接受安全檢查����。
防火墻的組成可以這樣表示:防火墻=過(guò)濾器+安全策略(+網(wǎng)關(guān))。
一����、防火墻的實(shí)現(xiàn)方式
在邊界路由器上實(shí)現(xiàn)���;
在一臺(tái)雙端口主機(jī)(dual-homed host)上實(shí)現(xiàn);
在公共子網(wǎng)(該子網(wǎng)的作用相當(dāng)于一臺(tái)雙端口主機(jī))上實(shí)現(xiàn)�����,在此子網(wǎng)上可建立含有��;饏^(qū)結(jié)構(gòu)的防火墻��。
二�����、防火墻的網(wǎng)絡(luò)結(jié)構(gòu)
網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和防火墻的合理配置與防火墻系統(tǒng)的性能密切相關(guān)���,防火墻一般采用如下幾種結(jié)構(gòu)。
最簡(jiǎn)單的防火墻結(jié)構(gòu)
這種網(wǎng)絡(luò)結(jié)構(gòu)能夠達(dá)到使受保護(hù)的網(wǎng)絡(luò)只能看到“橋頭堡主機(jī)”( 進(jìn)出通信必經(jīng)之主機(jī))�����,同時(shí)���,橋頭堡主機(jī)不轉(zhuǎn)發(fā)任何TCP/IP通信包���,網(wǎng)絡(luò)中的所有服務(wù)都必須有橋頭堡主機(jī)的相應(yīng)代理服務(wù)程序來(lái)支持�。但它把整個(gè)網(wǎng)絡(luò)的安全性能全部托付于其中的單個(gè)安全單元��,而單個(gè)網(wǎng)絡(luò)安全單元又是攻擊者首選的攻擊對(duì)象��,防火墻一旦破壞�����,橋頭堡主機(jī)就變成了一臺(tái)沒(méi)有尋徑功能的路由器���,系統(tǒng)的安全性不可靠����。
單網(wǎng)端防火墻結(jié)構(gòu)
其中屏蔽路由器的作用在于保護(hù)堡壘主機(jī)(應(yīng)用網(wǎng)關(guān)或代理服務(wù))的安全而建立起一道屏障�。在這種結(jié)構(gòu)中可將堡壘主機(jī)看作是信息服務(wù)器,它是內(nèi)部網(wǎng)絡(luò)對(duì)外發(fā)布信息的數(shù)據(jù)中心����,但這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)仍把網(wǎng)絡(luò)的安全性大部分托付給屏蔽路由器。系統(tǒng)的安全性仍不十分可靠����。
增強(qiáng)型單網(wǎng)段防火墻的結(jié)構(gòu)
為增強(qiáng)網(wǎng)段防火墻安全性���,在內(nèi)部網(wǎng)與子網(wǎng)之間增設(shè)一臺(tái)屏蔽路由器,這樣整個(gè)子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)的聯(lián)系就各受控于一個(gè)工作在網(wǎng)絡(luò)級(jí)的路由器�,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)仍不能直接聯(lián)系,只能通過(guò)相應(yīng)的路由器與堡壘主機(jī)通信�。
含“停火區(qū)”的防火墻結(jié)構(gòu)
針對(duì)某些安全性特殊需要����,可建立如下的防火墻網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)的整個(gè)安全特性分擔(dān)到多個(gè)安全單元��,在外�;饏^(qū)的子網(wǎng)上可聯(lián)接公共信息服務(wù)器���,作為內(nèi)外網(wǎng)絡(luò)進(jìn)行信息交換的場(chǎng)所�����。
[上一頁(yè)] [下一頁(yè)]
|
|
|
