1 相关技术产品及部署建议 1
1 防火墙技术 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便
防火墙被设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网(Intranet)和互联网(Internet)之间的任何活动,保证了内部网络的安全
防火墙系统已经基本成为和路由器、交换机等具有同等地位的网络基础设备
它能够把来自网络外部的绝大多数非法访问拒之门外
防火墙技术主要分三种:包过滤,应用代理服务器,状态检测防火墙
每种防火墙都有其优点,也有与其它相比不足的地方
下面是对每种防火墙的主要描述: 包过滤防火墙 包过滤防火墙以 cisco 的pix和Netscreen为典型,包过滤防火墙检查每个在网络间被传送的IP数据包中的内容,并根据它们的地址及指定的应用服务来决定接受或拒绝这个数据包
Internet互连的基本单位就是IP数据包
每个 IP数据包包括一个包含源地址和目标地址的包头
在包过滤防火墙中,是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)
安全策略由每个与指定的源地址、目标地址、服务、及动作(通过或拒绝)的有关规则组成
系统管理员必须将防火墙设置为准许或拒绝特殊类型的数据或地址,并允许授权一个时间密集的任务
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上
