防火墙系列连载之一—防火墙的基本概念

·Netscreen防火墙简单配置实例·防火墙的安全性分析与配置指南·零起点配置PIX防火墙 六大基本命令·零起点配置PIX防火墙 高级配置·DIY自己的防火墙设备 系统配置篇·全面实战Windows XP防火墙·有效防止盗号 三款主流防火墙横评·如何打造一道超级防御的电脑防火墙·世界排名第一?Comodo防火墙体验·轻松穿越防火墙之利器：Tftpd32

一、 防火墙

　　由于Internet的迅速发信息破坏的危险, 人们为了种保护装置。它保护的是数 展, 提供了发布信息和检索信息保护其数据和资源的安全, 出现据、资源和用户的声誉。 的场所, 但它也带来了信息污染和了防火墙。防火墙从本质上说是一 　　1. Internet防火墙 　　防火墙原是建筑物大厦讲Internet防火墙服务也属到你的网络内部。而事实上护城河。它服务于多个目的 设计来防止火灾从大厦的一部分于类似目的。它防止Internet上Internet防火墙不象一座现代化： 传播到另一部分的设施。从理论上的危险（病毒、资源盗用等）传播大厦中的防火墙，更象北京故宫的 　　（1） 限制人们从一个特别的控制点进入； 　　（2） 防止侵入者接近你的其它防御设施； 　　（3） 限定人们从一个特别的点离开； 　　（4） 有效的阻止破坏者对你的计算机系统进行破坏。 　　因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上

　　2.防火墙的优点 　　（1） 防火墙能强化安全策略 　　因为Internet上每天都德不良的人，或违反规则的的安全策略，仅仅容许“认 有上百万人在那里收集信息、交人，防火墙是为了防止不良现象可的”和符合规则的请求通过。 换信息，不可避免地会出现个别品发生的“交通警察”，它执行站点 　　（2） 防火墙能有效地记录Internet上的活动 　　因为所有进出信息都必须通过防火墙用的信息。作为访问的唯一点，防火墙能 ，所以防火墙非常适用收集关于系统和网络使用和误在被保护的网络和外部网络之间进行记录。 　　（3） 防火墙限制暴露用户点 　　防火墙能够用来隔开网络中一个网段通过整个网络传播。 与另一个网段。这样，能够防止影响一个网段的问题 　　（4） 防火墙是一个安全策略的检查站 　　所有进出的信息都必须绝于门外。 通过防火墙，防火墙便成为安全 问题的检查点，使可疑的访问被拒 　　3.防火墙的不足之处 　　上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在： 　　（1） 不能防范恶意的知情者 　　防火墙可以禁止系统用户经过网络连磁带上，放在公文包中带出去。如果入侵户偷窃数据，破坏硬件和软件，并且巧妙只能要求加强内部管理，如主机安全和用 接发送专有的信息，但用户可以将数据复制到磁盘、者已经在防火墙内部，防火墙是无能为力的。内部用地修改程序而不接近防火墙。对于来自知情者的威胁户教育等。 　　（2） 不能防范不通过它的连接 　　防火墙能够有效地防止，如果站点允许对防火墙后进行拨号入侵。 通过它进行传输信息，然而不能面的内部系统进行拨号访问，那 防止不通过它而传输的信息。例如么防火墙绝对没有办法阻止入侵者 　　（3） 不能防备全部的威胁 　　防火墙被用来防备已知但没有一个防火墙能自动防 的威胁，如果是一个很好的防火御所有的新的威胁。 墙设计方案，可以防备新的威胁， 　　（4） 防火墙不能防范病毒 　　防火墙不能消除网络上的PC机的病毒。

　　二、 防火墙体系结构

　　目前,防火墙的体系结构一般有以下几种: 　　（1） 双重宿主主机体系结构； 　　（2） 被屏蔽主机体系结构； 　　（3） 被屏蔽子网体系结构。 　　1. 双重宿主主机体系结构 　　双重宿主主机体系结构网络接口。这样的主机可以一个网络发送IP数据包。然，IP数据包从一个网络（例的网络）。防火墙内部的系能与双重宿主主机通信，但 是围绕具有双重宿主的主机计算充当与这些接口相连的网络之间而，实现双重宿主主机的防火墙如，因特网）并不是直接发送到统能与双重宿主主机通信，同时是这些系统不能直接互相通信。 机而构筑的，该计算机至少有两个的路由器；它能够从一个网络到另体系结构禁止这种发送功能。因而其它网络（例如，内部的、被保护防火墙外部的系统（在因特网上）它们之间的IP通信被完全阻止。 　　双重宿主主机的防火墙体系结构是相到因特网和内部的网络。 当简单的：双重宿主主机位于两者之间，并且被连接

　　2. 屏蔽主机体系结构 　　双重宿主主机体系结构提供来自与多主机体系结构使用一个单独的路由器提供系结构中,主要的安全由数据包过滤，其 个网络相连的主机的服务(但是路由关闭),而被屏蔽来自仅仅与内部的网络相连的主机的服务。在这种体结构如图3所示。

　　在屏蔽的路由器上的数能连接到内部网络上的系统定类型的连接被允许。任何机上。因此，堡垒主机需要 据包过滤是按这样一种方法设置的桥梁（例如，传送进来的电子外部的系统试图访问内部的系统拥有高等级的安全。 的: 即堡垒主机是因特网上的主机邮件）。即使这样，也仅有某些确或者服务将必须连接到这台堡垒主 　　数据包过滤也允许堡垒策略决定）到外部世界。 主机开放可允许的连接（什么是 “可允许”将由用户的站点的安全 　　在屏蔽的路由器中数据包过滤配置可以按下列之一执行： 　　•允许其它的内部主机为了某据包过滤的服务）。 些服务与因特网上的主机连接（即允许那些已经由数 　　•不允许来自内 部主机的所有连接（强迫那些主 机经由堡垒主机使用代理服务）。 　　用户可以针对不同的服而其它服务可以被允许仅仅 务混合使用这些手段；某些服务间接地经过代理。这完全取决于 可以被允许直接经由数据包过滤，用户实行的安全策略。 　　因为这种体系结构允许数据包从因特包能到达内部网络的双重宿主主机体系结体系结构在防备数据包从外部网络穿过内出乎预料的，不大可能防备黑客侵袭）。提供非常有限的服务组。多数情况下，被有更好的安全性和可用性。 网向内部网的移动，所以，它的设计比没有外部数据构似乎是更冒风险。话说回来，实际上双重宿主主机部的网络也容易产生失败（因为这种失败类型是完全进而言之，保卫路由器比保卫主机较易实现，因为它屏蔽的主机体系结构提供比双重宿主主机体系结构具 　　然而，比较其它体系结如果侵袭者没有办法侵入堡络安全的东西存在的情况下侵袭者是开放的。 构，如在下面要讨论的屏蔽子网垒主机时，而且在堡垒主机和其，路由器同样出现一个单点失效 体系结构也有一些缺点。主要的是余的内部主机之间没有任何保护网。如果路由器被损害，整个网络对