防火墙技术对网络安全的影响(第2页)(4421字)

当前所在位置: 首页 > 网络工程 > 正文

防火墙技术对网络安全的影响(第2页)

【字体：大中小】

　　4.2 基于代理的(也称应用网关)防火墙技术

　　它通过被配置为“双宿主网关”,具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是按装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。

　　4.3 包过滤技术

　　系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。

　　4.4 动态防火墙技术

　　动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(1024-65 535)端要么开发，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息;同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。

　　4.5 一种改进的防火墙技术(或称复合型防火墙技术)

　　由于过滤型防火墙安全性不高，代理服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求，由于对内部网的威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其他处理。

　　5.防火墙的应用

　　5.1 硬件防火墙的设置

　　下面以思科PIX 501型防火墙为例，设置如下：要设置内部接口的IP地址，使用如下命令：

　　PIX1(config)# ip address inside 10.1.1.1 255.0.0.0

　　PIX1(config)#

　　现在，设置外部接口的IP地址：

　　PIX1(config)# ip address outside 1.1.1 255.255.255.0

　　PIX1(config)#

　　下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，enthernet0接口是外部接口，它在PIX 501防火墙中只是一个10base-T接口。ether-net1接口是内部接口，是一个100Base-T接口。下面是启动这些接口的方法：

　　PIX1(config)# interface ethernet0 10baset

　　PIX1(config)# interface ethernet1 100full PIX1(config)#

　　最后设置一个默认的路由，这样，发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10.76.12.254)：