电子商务设计师考试复习之防火墙的概念及技术

  • 格式:doc
  • 大小:36.50 KB
  • 文档页数:6

电子商务设计师 /rk/dzsw/index.html

电子商务设计师考试复习之防火墙的概念及技术

防火墙的概念

在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。因特网防火墙服务于类似的目的,它主要是防止因特网的危险传播到内部网络。

防火墙

“防火墙”是一个通用术语,是指在两个网络之间执行控制策略的系统。

防火墙通常是由软件系统和硬件设备组合而成,在内部网和外部网之间构建起安全的保护屏障。其一般结构如图7.1所示。

防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接都必须经过此阻塞点,在此进行检查和连接,只有被授权的通信才能通过此阻塞点。防火墙使内部网络与外部网络在—定条件下隔离,从而防止非法入侵及非法使用系统资源。同时,防火墙还可以执行安全管制措施,记录所有可疑的事件。可以说,防火墙为网络安全起到了把关的作用。

尽管防火墙对内部网起到了很好的保护作用,但是,作为管理人员应当注意,防火墙并不是坚不可摧的。

首先,防火墙不能防范恶意的知情者。尽管防火墙可以禁止系统用户经过网络连接发送保密信息。但是用户可以将数据复制到磁盘、磁带、或者纸上,放在公文包里带出去。因此,如果侵袭者已经在防火墙的内部,防火墙实际上是无能为力的。内部用户能偷窃数据, 电子商务设计师 /rk/dzsw/index.html

破坏硬件和软件,并且巧妙地修改程序而从不接近防火墙。这种威胁只有靠加强内部安全防范来予以解决。

其次,防火墙不能控制不通过它的连接。防火墙仅能有效地控制穿过它的信息传输。然而,却无法控制不穿过它的信息传输。比如,用户或者系统管理员为了一时方便,临时地或者永久地设置了他们自己的网络“后门”(诸如拨号调制解调器连接等等)。这就为网络安全埋下了隐患,而且,这种隐患轻易不会被发现。

实际上,实现一个有效的防火墙比给您的个人计算机买一个防病毒软件要复杂得多。防火墙不仅仅是一段单独的计算机程序或一件设备,而是整个Intranet安全策略的体现。简单地将一个防火墙产品置于Intranet上并不能提供企业所需要的保护。相反地,如果这种方式误导了管理员对安全的感觉,而致使其忽略了易受攻击之处的话,反而会增加企业的风险。

事实上,对非法通信的完全防御和对授权通信的完全开放是存在对立性的两个方面。如果您的安全策略能够提供对外部侵入的完全保护,那么达到这一策略的最有把握的方式是删除所有与网络相连的路径。这种情况下的Intranet是完全与外界没有联系的。然而,当今世界的内外部联系在不断加强,这种极端的安全策略对企业是不合适的。建立一个有效的防火墙来实施安全策略,应选择最适合企业需求的技术,并正确地创建防火墙。

包过滤

在实际应用中,防火墙有时可能只是一个具备包过滤功能的简单路由器,用来支持Internet安全。这是实现企业内部网与Internet安全联接的一种简单方法,因为包过滤是路由器的固有属性

1、什么是包? 电子商务设计师 /rk/dzsw/index.html

包是网络上信息流动的单位。

在网上传输的文件一般在发出端被划分成一串包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。

每个包有两个部分:数据部分和包头。

包头中含有源地址和目标地址等信息。

2、包过滤

包过滤是一种简单而有效的拦截数据包的方法,可以通过读出并拒绝那些不符合标准的包头来过滤掉不应入站的信息。

包过滤器又称为筛选路由器,它通过将包头信息和管理员设定的规则表进行比较,发现不符合规则或不允许发送的某个包,路由器就将它丢弃。

包过滤型防火墙可以动态检查流过的TCP/IP报文头,检查报文头中的报文类型、源IP地址、目的IP地址、源端口号等,并根据事先定义的规则,决定哪些报文允许流过,哪些报文禁止通过。

但是,包过滤不能有效到足以保证站点的安全。目前,连接Internet的站点受到许多新的协议的威胁,有些协议能毫不费力地通过网络过滤器。例如,对于FTP协议,包过滤就不十分有效,因为为完成数据传输,FTP允许联接外部服务器并使联接返回到端口20。这甚至成为一条规则附加于路由器之上,即内部网络机器上的端口20可用于探查外部情况。因此,黑客们很容易“欺骗”这些路由器。但防火墙会使这些“欺骗”变得困难,甚至几乎不可能实现。

堡垒主机

通常,防火墙是位于内部网或Web站点与Internet之间的一个路由器或一台计算机。 电子商务设计师 /rk/dzsw/index.html

当防火墙位于一台计算机上时,这台计算机通常称为堡垒主机。其目的如同一个安全门,为门内的部门提供安全,控制并检查站点的访问者。堡垒主机通常是运行代理软件的计算机,它暴露于受保护网络之外,是一个多边协议路由器。

堡垒主机有两个网络联接:一边与内部网相联,另一边与Internet相联。在有的配置中,堡垒主机经常作为公共Web服务器、FTP服务器或E-mail服务器使用。

代理服务器

由于包过滤并不总是十分有效,因此,在应用中,如果数据流的实际内容很重要,并且需要控制,就应使用代理服务。一个应用代理可以用来限制FTP用户,控制他们与Internet的通信,例如:可以使他们只能够从Internet上得到文件,而不能把文件上载到Internet上。

代理服务器在内部网和外部网之间充当“中间人”的作用。代理服务器允许直接从防火墙后访问Internet并允许进行信息交流。代理服务器软件可以独立地在一台机器上运行,或者与诸如包过滤器的其他软件一起运行。

代理服务器还用于控制出入Web站点或任何内部网络的访问。它可以对客户机和服务器访问加以限制,只允许他们访问预先选定的服务器或主机。可控制哪些站点允许用户访问,哪些站点不允许访问。

代理服务器还可以对不同的协议进行检查,以保护指令的完整性,滤去可疑的URL及其他的HTTP子集,以及不连贯的或形式错误的HTML指令。通过滤去已知的危险和陌生的数据和程序,使内部网的安全得到保障。

代理服务器的功能很强大,如果正确配置,代理服务器将非常安全。它们是站点忠实的“看门狗”,决不允许任何未授权的联接进入。但在设置代理服务器时,应确保设置的准 电子商务设计师 /rk/dzsw/index.html

确性。若不仔细操作,也会给站点带来不利影响。

防火墙的安全策略

防火墙的安全策略有两种:允许和禁止。

1、允许访问

允许访问是指在防火墙的安全策略中没有被列为允许访问的服务都是被禁止的。这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外,禁止访问。

2、禁止访问

禁止访问是指在防火墙的安全策略中没有被列为禁止访问的服务都是被允许的。这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。

防火墙技术

防火墙技术大体上分为以下两类:网络层和应用层。但现在多数防火墙新产品都具有双重特性。

1、网络层

这一类型的防火墙,通常使用简单的路由器,采用包过滤技术,检查个人的IP包并决定允许或不允许基于资源的服务、目的地址及使用端口。

网络层技术保护整个网络不受非法入侵,其比较典型的一个范例就是包过滤技术。它简单检查所有进入网络的信息,并将不符合预先设定标准的数据丢掉。

网络层防火墙采用的另一种技术是授权服务器,由它来验证用户登录的身份。 电子商务设计师 /rk/dzsw/index.html

2、应用层

这一类防火墙通常是运行在防火墙之上的软件部分,这一类设备称为应用网关,它是运行代理服务器软件的计算机。由于代理服务器在同一级上运行,故它对采集访问信息并加以控制是非常有用的,例如记录什么样的用户在什么时候联接了什么站点,这对识别网络入侵是有价值的。因此,此类防火墙能提供关于出入站访问的详细信息,从而较之网络层防火墙,其安全性更强。

应用层技术可以控制对应用程序的访问。例如,代理服务器可以允许对某些程序的访问,而阻止对其它应用程序的访问。

更多电子商务设计师考试资讯,请到希赛软考学院。