第第55章防火墙的构造与选章防火墙的构造与选择择25.15.1防火墙概述防火墙概述5.25.2防火墙的原理防火墙的原理5.35.3防火墙的选择和使用防火墙的选择和使用5.45.4分布式防火墙技术分布式防火墙技术35.15.1防火墙概述防火墙概述5.1.15.1.1防火墙的概念防火墙的概念5.1.25.1.2防火墙设计的基本原则防火墙设计的基本原则45.1.15.1.1防火墙的概念防火墙的概念防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。5.1防火墙概述55.1防火墙概述5.1.25.1.2防火墙设计的基本原则防火墙设计的基本原则防火墙的姿态机构的整体安全策略防火墙的费用防火墙的基本构件和拓扑结构防火墙的维护和管理方案65.25.2防火墙的原理防火墙的原理5.2.15.2.1防火墙设计的基本准则防火墙设计的基本准则5.2.25.2.2防火墙的组成防火墙的组成5.2.35.2.3防火墙不能对付的安全威胁防火墙不能对付的安全威胁5.2.45.2.4防火墙的分类防火墙的分类75.2.15.2.1防火墙设计的基本准则防火墙设计的基本准则一切未被允许的就是禁止的。一切未被允许的就是禁止的。如果防火墙采取第一个准则,那么需要确定所有可以如果防火墙采取第一个准则,那么需要确定所有可以被提供的服务以及它们的安全性,然后,开放这些服务,被提供的服务以及它们的安全性,然后,开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。优点并将所有其他未被列入的服务排除在外,禁止访问。优点是可以造成一种十分安全的环境,其缺点在于用户所能使是可以造成一种十分安全的环境,其缺点在于用户所能使用的服务范围受到很大限制。用的服务范围受到很大限制。一切未被禁止的就是允许的。一切未被禁止的就是允许的。如果防火墙采取第二个准则,需要确定那些被认为是如果防火墙采取第二个准则,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。这种方法构成了一种更为灵活的应用环境,的,允许访问。这种方法构成了一种更为灵活的应用环境,可以为用户提供更多的服务,其缺点在于很难提供可靠的可以为用户提供更多的服务,其缺点在于很难提供可靠的安全防护。安全防护。5.25.2防火墙的原防火墙的原理理85.2.25.2.2防火墙的组成防火墙的组成5.25.2防火墙的原理防火墙的原理E-mail处理域名服务网关代理认证SOCKS过滤器因特网Internet内部网Intranet安全操作系统E-mail域名询问高级协议访问IP级数据防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和E-mail处理。911安全操作系统安全操作系统防火墙本身必须建立在安全操作系统所提供的安全环境防火墙本身必须建立在安全操作系统所提供的安全环境中中,,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定的主机系统上执行,这种限击。这些防火墙的代码只允许在给定的主机系统上执行,这种限制可以减少非法穿越防火墙的可能性。制可以减少非法穿越防火墙的可能性。22过滤器过滤器防火墙的主要目的是控制数据包防火墙的主要目的是控制数据包,,只允许合法流通过,只允许合法流通过,它要对专用网和它要对专用网和InternetInternet之间传送的每一数据组进行干预。过之间传送的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则,检验各数据组,滤器则执行由防火墙管理机构制定的一组规则,检验各数据组,决定是否允许放行。这些规则按决定是否允许放行。这些规则按IPIP地址、端口号码和各类应用地址、端口号码和各类应用等参数确定。等参数确定。5.25.2防火墙的原理防火墙的原理105.25.2防火墙的原理防火墙的原理33网关网关应用网关应用网关(ApplicationGateway)(ApplicationGateway)可以在可以在TCP/IPTCP/IP应应用级上控制信息流...
