文档介绍:(一)防火墙概念防火墙不只是一种路山器、主系统或一批向网络捉供安全性的系统。相反,防火墙是一种获取安全性的方法:它有助于实施-个比较广泛的安全性政策,川以确定允许提供的服务和访问。就网络配置、i个或多个主系统和路山器以及其他安全性措施(如代替静态口令的先进验证)來说,防火墙是该政策的具体实施。防火墙系统的主要用途就是控制対受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。puterII II I 111应IIPacketI I I I用I IFilterI—I网IIRouterI网点系统I关II I路由器和应用网关防火墙范例防火墙系统可以是路山器,也可以是个人主机、主系统和一批主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。的连接处,但是防火墙系统可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。防火墙某木上是一个独立的进程或一组紧密结合的进程,运行fRouterorServer來控制经过防火墙的网络应用程序的通信流量。一般來说,防火墙置于公共网络(如In(er--net)人口处。它可以看作是交通警察。之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案:*谁在使用网络?*他们在网上做什么?*他们什么时间使用过网络?*他们上网时去了何处?*谁要上网但没有成功?(二)采川防火墙的必耍性引入防火墙是因为传统的子网系统会把口身暴露给NFS或NIS等先天不安全的服务,并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境屮,网络安全性完全依赖主系统安全性。在一定意义上,所有主系统必须通力协作來实现均匀一致的高级安全性。子网越人,把所有主系统保持在和同安全性水平上的可管理能力就越小。随着安全性的失误和失策越來越普遍,闯入时有发生,这不是因为受到多方的攻击,而仅仅是因为呢置错误、口令不适当而造成的。防火墙能提高主机整体的安全性,因而给站点带來了众多的好处。以下是使用防火墙的好处:1•防止易受攻击的服务防火墙可以大大提高网络安全性,并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此,子网网络环境町经受较少的风险,因为只有经过选择的协议才能通过FirewalloForexample,Firewallwf以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利丿IJ。而同时允许在大人降低被外部攻击者利用的风险悄况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用,并用来减轻主系统管理负担。防火墙还可以防护棊于路山选择的攻击,如源路Itl选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起來,防护有害的访问。除了邮件服务器或信息服务器等特姝情况外,网点可以防止外部対其主系统的访问。这就把防火墙特别損长执行的访问政策置于亟要地位:不访问不需要访问的主系统或服务。当不用访问或不需要访问时,为什么要提供能山攻击者利用的主系统和服务访问呢?例如,如果用户几乎不需要通过网络访问他的台式工作站,那么,防火墙就可执行这一政策。,而不是分散到每个主机屮,这样防火墙的保护就柑对集中一些,也相对便宜一-点。尤其对于密码口令系统或其他的身份认证软件等等,能访问的机器上。当然,还有一些关于网络安全的出來方法,比如Kerberos,包含了每个主机系统的改动。也许,在某些特定场合,Kerberos或其他类似的技术比防火墙系统史好一些。但有一-点不容忽视,曲于只需在防火墙上运行特定的软件,防火墙系统实现起來要简单的多。4•增强的保密、强化私有权对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往回成为攻击者灵感的源泉。使用防火墙系统,站点可以防止finger以及DNS域名服务。fing・•er会列出当前使用考名单,他们上次資录的时间,以及址否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率,是否有用户正衣使用,以及是否可能发动攻击而不被发现。防火墙也能封锁域名服务信息,外部主机无法获取站点名和Ip地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。有关网络使用、滥用的记录和统计如果对Intemel的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使川率的有