|
|
電信博物館 > 計算機網(wǎng)絡(luò) > 小心駛得萬年船
拒敵千里的防火墻
什么是防火墻?“建造起來用于防止火勢蔓延的墻壁”。注意,這并不是說把所有東西都從火中搶救出來。真正的防火墻只是能延緩火勢在建筑物中的蔓延。網(wǎng)絡(luò)中的防火墻更象一座裝有水力發(fā)電廠的大壩。大壩上十分嚴(yán)格地預(yù)留了一定數(shù)量的開口和溢流口,可以使一定數(shù)量的水流通過規(guī)定通道。原來我們希望建造網(wǎng)絡(luò)防火墻的真正目的就是這個?赡苣愕挠脩粼跍(zhǔn)備通過網(wǎng)絡(luò)時也會這么說。我們還可以把網(wǎng)絡(luò)防火墻比喻成國際機場的護照檢查和海關(guān)。在你得到允許進出一個國家前,必須通過一系列的檢查點。在網(wǎng)絡(luò)防火墻中,每個包在得到許可繼續(xù)傳輸前也必須通過某些檢查點。
防火墻如何運作?防火墻要檢驗每一個包,確定是否可以進出,如果防火墻拒絕其通過,對不起,這個包將被摔到一邊。
用更專業(yè)一點的話來講,防火墻(Fire Wall)就是一個或一組網(wǎng)絡(luò)設(shè)備(計算機系統(tǒng)或路由器等),用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制,其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。可以這樣理解,相當(dāng)于在網(wǎng)絡(luò)周圍挖了一條護城河,在唯一的橋上設(shè)立了安全哨所,進出的行人都要接受安全檢查。
防火墻的組成可以這樣表示:防火墻=過濾器+安全策略(+網(wǎng)關(guān))。
一、防火墻的實現(xiàn)方式
在邊界路由器上實現(xiàn);
在一臺雙端口主機(dual-homed host)上實現(xiàn);
在公共子網(wǎng)(該子網(wǎng)的作用相當(dāng)于一臺雙端口主機)上實現(xiàn),在此子網(wǎng)上可建立含有;饏^(qū)結(jié)構(gòu)的防火墻。
二、防火墻的網(wǎng)絡(luò)結(jié)構(gòu)
網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和防火墻的合理配置與防火墻系統(tǒng)的性能密切相關(guān),防火墻一般采用如下幾種結(jié)構(gòu)。
最簡單的防火墻結(jié)構(gòu)
這種網(wǎng)絡(luò)結(jié)構(gòu)能夠達(dá)到使受保護的網(wǎng)絡(luò)只能看到“橋頭堡主機”( 進出通信必經(jīng)之主機),同時,橋頭堡主機不轉(zhuǎn)發(fā)任何TCP/IP通信包,網(wǎng)絡(luò)中的所有服務(wù)都必須有橋頭堡主機的相應(yīng)代理服務(wù)程序來支持。但它把整個網(wǎng)絡(luò)的安全性能全部托付于其中的單個安全單元,而單個網(wǎng)絡(luò)安全單元又是攻擊者首選的攻擊對象,防火墻一旦破壞,橋頭堡主機就變成了一臺沒有尋徑功能的路由器,系統(tǒng)的安全性不可靠。
單網(wǎng)端防火墻結(jié)構(gòu)
其中屏蔽路由器的作用在于保護堡壘主機(應(yīng)用網(wǎng)關(guān)或代理服務(wù))的安全而建立起一道屏障。在這種結(jié)構(gòu)中可將堡壘主機看作是信息服務(wù)器,它是內(nèi)部網(wǎng)絡(luò)對外發(fā)布信息的數(shù)據(jù)中心,但這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)仍把網(wǎng)絡(luò)的安全性大部分托付給屏蔽路由器。系統(tǒng)的安全性仍不十分可靠。
增強型單網(wǎng)段防火墻的結(jié)構(gòu)
為增強網(wǎng)段防火墻安全性,在內(nèi)部網(wǎng)與子網(wǎng)之間增設(shè)一臺屏蔽路由器,這樣整個子網(wǎng)與內(nèi)外部網(wǎng)絡(luò)的聯(lián)系就各受控于一個工作在網(wǎng)絡(luò)級的路由器,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)仍不能直接聯(lián)系,只能通過相應(yīng)的路由器與堡壘主機通信。
含“;饏^(qū)”的防火墻結(jié)構(gòu)
針對某些安全性特殊需要,可建立如下的防火墻網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)的整個安全特性分擔(dān)到多個安全單元,在外;饏^(qū)的子網(wǎng)上可聯(lián)接公共信息服務(wù)器,作為內(nèi)外網(wǎng)絡(luò)進行信息交換的場所。
[上一頁] [下一頁]
|
|
|