1.1 相关技术产品及部署建议 1 .1 .1 防火墙技术 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网(Intranet)和互联网(Internet)之间的任何活动,保证了内部网络的安全。 防火墙系统已经基本成为和路由器、交换机等具有同等地位的网络基础设备。它能够把来自网络外部的绝大多数非法访问拒之门外。 防火墙技术主要分三种:包过滤,应用代理服务器,状态检测防火墙。每种防火墙都有其优点,也有与其它相比不足的地方。下面是对每种防火墙的主要描述: 包过滤防火墙 包过滤防火墙以 cisco 的pix和Netscreen为典型,包过滤防火墙检查每个在网络间被传送的IP数据包中的内容,并根据它们的地址及指定的应用服务来决定接受或拒绝这个数据包。 Internet互连的基本单位就是IP数据包。每个 IP数据包包括一个包含源地址和目标地址的包头。在包过滤防火墙中,是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。安全策略由每个与指定的源地址、目标地址、服务、及动作(通过或拒绝)的有关规则组成。系统管理员必须将防火墙设置为准许或拒绝特殊类型的数据或地址,并允许授权一个时间密集的任务。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与 Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 任何类型的防火墙在某种程度上均会影响网络的性能,包过滤防火墙通常速度最快,因为它只检测每个数据包中最基本的包头信息。但包过滤策略的规则越多,就会发生越多的冲突。 因此,包过滤防火墙最适合于禁止多地址往来访问的相对封闭环境。 应用代理服务器 应用代理服务器以 Axent raptor和 NAI的 gauntlet为典型,应用代理是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用...
