多媒體

移動通信

計算機網(wǎng)絡(luò)

  無限網(wǎng)絡(luò)今日始
  羽檄交馳話通信
  計算機網(wǎng)絡(luò)的五臟六腑
  嫦娥孤凄與誰鄰
  因特網(wǎng)的游戲規(guī)則
  團結(jié)的力量――網(wǎng)絡(luò)互連
  Internet今昔談
  網(wǎng)絡(luò)應(yīng)用萬花筒
  小心駛得萬年船

智能網(wǎng)

光通信

微波通信

衛(wèi)星通信

交換網(wǎng)

接入網(wǎng)

電信管理網(wǎng)

 

 

  
  電信博物館 > 計算機網(wǎng)絡(luò) > 小心駛得萬年船


 


拒敵千里的防火墻

  什么是防火墻?“建造起來用于防止火勢蔓延的墻壁”。注意,這并不是說把所有東西都從火中搶救出來。真正的防火墻只是能延緩火勢在建筑物中的蔓延。網(wǎng)絡(luò)中的防火墻更象一座裝有水力發(fā)電廠的大壩。大壩上十分嚴(yán)格地預(yù)留了一定數(shù)量的開口和溢流口,可以使一定數(shù)量的水流通過規(guī)定通道。原來我們希望建造網(wǎng)絡(luò)防火墻的真正目的就是這個?赡苣愕挠脩粼跍(zhǔn)備通過網(wǎng)絡(luò)時也會這么說。我們還可以把網(wǎng)絡(luò)防火墻比喻成國際機場的護照檢查和海關(guān)。在你得到允許進出一個國家前,必須通過一系列的檢查點。在網(wǎng)絡(luò)防火墻中,每個包在得到許可繼續(xù)傳輸前也必須通過某些檢查點。

  防火墻如何運作?防火墻要檢驗每一個包,確定是否可以進出,如果防火墻拒絕其通過,對不起,這個包將被摔到一邊。

  用更專業(yè)一點的話來講,防火墻(Fire Wall)就是一個或一組網(wǎng)絡(luò)設(shè)備(計算機系統(tǒng)或路由器等),用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制,其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。可以這樣理解,相當(dāng)于在網(wǎng)絡(luò)周圍挖了一條護城河,在唯一的橋上設(shè)立了安全哨所,進出的行人都要接受安全檢查。

  防火墻的組成可以這樣表示:防火墻=過濾器+安全策略(+網(wǎng)關(guān))。 

一、防火墻的實現(xiàn)方式 

  在邊界路由器上實現(xiàn); 

  在一臺雙端口主機(dual-homed host)上實現(xiàn); 

  在公共子網(wǎng)(該子網(wǎng)的作用相當(dāng)于一臺雙端口主機)上實現(xiàn),在此子網(wǎng)上可建立含有;饏^(qū)結(jié)構(gòu)的防火墻。

二、防火墻的網(wǎng)絡(luò)結(jié)構(gòu)

  網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和防火墻的合理配置與防火墻系統(tǒng)的性能密切相關(guān),防火墻一般采用如下幾種結(jié)構(gòu)。

  最簡單的防火墻結(jié)構(gòu)

  這種網(wǎng)絡(luò)結(jié)構(gòu)能夠達(dá)到使受保護的網(wǎng)絡(luò)只能看到“橋頭堡主機”( 進出通信必經(jīng)之主機),同時,橋頭堡主機不轉(zhuǎn)發(fā)任何TCP/IP通信包,網(wǎng)絡(luò)中的所有服務(wù)都必須有橋頭堡主機的相應(yīng)代理服務(wù)程序來支持。但它把整個網(wǎng)絡(luò)的安全性能全部托付于其中的單個安全單元,而單個網(wǎng)絡(luò)安全單元又是攻擊者首選的攻擊對象,防火墻一旦破壞,橋頭堡主機就變成了一臺沒有尋徑功能的路由器,系統(tǒng)的安全性不可靠。

  單網(wǎng)端防火墻結(jié)構(gòu)

  其中屏蔽路由器的作用在于保護堡壘主機(應(yīng)用網(wǎng)關(guān)或代理服務(wù))的安全而建立起一道屏障。在這種結(jié)構(gòu)中可將堡壘主機看作是信息服務(wù)器,它是內(nèi)部網(wǎng)絡(luò)對外發(fā)布信息的數(shù)據(jù)中心,但這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)仍把網(wǎng)絡(luò)的安全性大部分托付給屏蔽路由器。系統(tǒng)的安全性仍不十分可靠。

  增強型單網(wǎng)段防火墻的結(jié)構(gòu)

  為增強網(wǎng)段防火墻安全性,在內(nèi)部網(wǎng)與子網(wǎng)之間增設(shè)一臺屏蔽路由器,這樣整個子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)的聯(lián)系就各受控于一個工作在網(wǎng)絡(luò)級的路由器,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)仍不能直接聯(lián)系,只能通過相應(yīng)的路由器與堡壘主機通信。

  含“;饏^(qū)”的防火墻結(jié)構(gòu)

  針對某些安全性特殊需要,可建立如下的防火墻網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)的整個安全特性分擔(dān)到多個安全單元,在外;饏^(qū)的子網(wǎng)上可聯(lián)接公共信息服務(wù)器,作為內(nèi)外網(wǎng)絡(luò)進行信息交換的場所。

[上一頁] [下一頁]