1 项目一、分析网络安全需求 任务 3 、了解防火墙的基本概念 防火墙(Firew all)通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网 Internet 之间的任何活动,保证了内部网络的安全。 图 1.2 防火墙逻辑位置示意图 由于防火墙设定了网络边界和服务,因此更适合于相对独立的网络,例如 Intranet等。防火墙成为控制对网络系统访问的非常流行的方法。事实上,在 Internet 上的Web 网站中,超过三分之一的 Web 网站都是由某种形式的防火墙加以保护,这是对黑客防范最严格,安全性较强的一种方式,任何关键性的服务器,都应放在防火墙之后。 2 1 .3 .1 防火墙的功能 防火墙能增强内部网络的安全性,加强网络间的访问控制,防止外部用户非法使用内部网络资源,保护内部网络不被破坏,防止内部网络的敏感数据被窃取。防火墙系统可决定外界可以访问哪些内部服务,以及内部人员可以访问哪些外部服务。 一般来说,防火墙应该具备以下功能: 1) 支持安全策略。即使在没有其他安全策略的情况下,也应该支持“除非 特别许可,否则拒绝所有的服务”的设计原则。 2) 易于扩充新的服务和更改所需的安全策略。 3) 具有代理服务功能(例如 FTP、Telnet等),包含先进的鉴别技术。 4) 采用过滤技术,根据需求允许或拒绝某些服务。 5) 具有灵活的编程语言,界面友好,且具有很多过滤属性,包括源和目的 IP 地址、协议类型、源和目的TCP/UDP 端口以及进入和输出的接口地址。 6) 具有缓冲存储的功能,提高访问速度。 7) 能够接纳对本地网的公共访问,对本地网的公共信息服务进行保护,并 根据需要删减或扩充。 8) 具有对拨号访问内部网的集中处理和过滤能力。 9) 具有记录和审计功能,包括允许等级通信和记录可以活动的方法,便于 检查和审计。 10) 防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全 性。 11) 防火墙应该是可检验和可管理的。 1 .3 .3 防火墙的工作方式 所有的防火墙都具有IP 地址过滤功能。这项任务要检查 IP...
