防火墙与防火墙的作用

防火墙与防火墙的作用 防火墙防火墙的作用与 文章出墙,www.cec.gov.cn 墙布墙墙,2004-07-27 点墙:0 一、防火墙 　　由于Internet的迅速墙展,提供了墙布信息和墙索信息的墙所,但也墙了信息它来墙染和信息破的危墙坏,人墙墙了保墙其据和墙源的安全数,出墙了防火墙。防火墙本墙从上墙是一墙保墙置。保墙的是据、墙源和用墙的。装它数声誉 　　1.Internet防火墙 　　防火墙原是建筑物大厦墙墙防止火大厦的一部分墙播到一部分的墙施来灾从另。从理墙上墙Internet防火墙服墙也于墙似目的。防止属它Internet上的危墙;病毒、墙源用等,墙播到的墙墙部。而事墙上盗你网内Internet防火墙不象一座墙代化大厦中的防火墙～更象北京故墙的墙城河。服墙于多目的,它个 　　;1,限制人墙一特墙的控制点墙入～从个 　　;2,防止侵入者接近的其墙施～你它 　　;3,限定人墙一特墙的点墙～从个离 　　;4,有效的阻止破者墙的墙算机系墙墙行破。坏你坏 　　因特防火墙常常被安在受保墙的部墙墙接到因特的点上。网装内网网 　　2.防火墙的墙点 　　;1,防火墙能强化安全策略 　　因墙Internet上每天都有上百万人在那里收集信息、交墙信息～不可避免地会个出墙墙品德不良的人～或墙反墙墙的人～防火墙是墙了防止不良墙象墙生的"交通警察"～墙行站点的安全策略～墙墙容墙它"墙可的"和符合墙墙的墙求通墙。　　;2,防火墙能有效地墙墙Internet上的活墙 　　因墙所有墙出信息都必墙通墙防火墙～所以防火墙非常适用收集墙于系墙和墙使网用和墙用的信息。作墙墙墙的唯一点～防火墙能在被保墙的墙和外部墙之墙墙行墙墙。网网 　　;3,防火墙限制暴露用墙点 　　防火墙能墙用隔墙墙中一段一段。墙墙～能墙防止影一来网个网与另个网响个网 段的墙墙通墙整墙墙播。个网 　　;4,防火墙是一安全策略的墙墙站个 　　所有墙出的信息都必墙通墙防火墙～防火墙便成墙安全墙墙的墙墙点～使可疑的墙墙被 拒墙于墙外。 　　3.防火墙的不足之墙 　　上面我墙述了防火墙的墙点～但墙是有缺点的～主要墙在,叙它 　　;1,不能防范墙意的知情者 　　防火墙可以禁止系墙用墙墙墙墙墙接墙送墙有的信息～但用墙可以据墙制到磁墙网将数、磁墙上～放在公文包中墙出去。如果入侵者已墙在防火墙部～防火墙是无能墙力的内。内窃数坏并部用墙墙据～破硬件和墙件～且巧妙地修改程序而不接近防火墙。墙于来内教自知情者的威墙只能要求加强部管理～如主机安全和用墙育等。　　;2,不能防范不通墙的墙接它 　　防火墙能墙有效地防止通墙墙行墙墙信息～然而不能防止不通墙而墙墙的信息它它。例如～如果站点允墙墙防火墙后面的部系墙墙行墙墙墙～那墙防火墙墙墙有墙法阻止内号没 入侵者墙行墙入侵。号 　　;3,不能防墙全部的威墙 　　防火墙被用防墙已知的威墙～如果是一好的防火墙墙墙～可以防墙新来个很 的威墙～但有一防火墙能自墙防御所有的新的威墙。没个 　　;4,防火墙不能防范病毒 　　防火墙不能消除墙上的网PC机的病毒。 二、防火墙系墙体构 目前,防火墙的系墙一般有以下墙体构几: 　　;1,重宿主主机系墙～双体构 　　;2,被蔽主机系墙～屏体构 　　;3,被蔽子系墙。屏网体构 　　1.重宿主主机系墙双体构 　　重宿主主机系墙是墙墙具有重宿主的主机墙算机而筑的～墙墙算机至双体构双构 少有墙接口。墙墙的主机可以充墙些接口相墙的墙之墙的路由器～能墙两个网当与网它 从个网另个网一墙到一墙墙送IP据包。然而～墙墙重宿主主机的防火墙系墙数双体构 禁止墙墙墙送功能。因而～IP据包一墙;例如～因特,不是直接墙送数从个网网并 到其墙;例如～部的、被保墙的墙,。防火墙部的系墙能重宿主主它网内网内与双 机通信～同墙防火墙外部的系墙;在因特上,能重宿主主机通信～但是墙网与双 些系墙不能直接互相通信。墙之墙的它IP通信被完全阻止。 　　重宿主主机的防火墙系墙是相墙墙的,重宿主主机位于者之墙～双体构当双两 并网内网且被墙接到因特和部的墙。 　　2.蔽主机系墙屏体构 重宿主主机系墙提供自多墙相墙的主机双体构来与个网 的服墙(但是路由墙墙),而被蔽主机系墙使用一墙的路由器提供自墙墙墙屏体构个独来与 内网体构部的墙相墙的主机的服墙。在墙墙系墙中,主要的安全由据包墙墙。数 　　在蔽的路由器上的据包墙墙是按墙墙一墙方法墙置的屏数:堡墙主机是因特上即网 的主机能墙接到部墙上的系墙的墙梁;例如～墙送墙的墙子墙件,。使墙墙～也内网来即 墙有某些定墙型的墙接被允墙。任何外部的系墙墙墙墙墙部的系墙或者服墙必墙墙接确内将 到墙台堡墙主机上。因此～堡墙主机需要墙有高等墙的安全。 　　据包墙墙也允墙堡墙主机墙放可允墙的墙接;数什墙是"可允墙"由用墙的站点的安将 全策略定,到外部决世界。 　　在蔽的路由器中据包墙墙屏数配置可以按下列之一墙行, 　　允墙其的部主机墙了某些服墙因特上的主机墙接;允墙那些已墙由它内与网即数 据包墙墙的服墙,。 　　不允墙自部主机的所有墙接;强来内迫那些主机墙由堡墙主机使用代理服墙,。用墙可以墙墙不同的服墙混合使用墙些手段～某些服墙可以被允墙直接墙由据包墙墙～数而其服墙可以被允墙墙墙墙接地墙墙代理。墙完全它决取于用墙墙行的安全策略。　　因墙墙墙系墙允墙据包因特体构数从网内网它没向部的移墙～所以～的墙墙比有外部据包能到部墙的重宿主主机系墙似数达内网双体构来乎是更冒墙墙。墙墙回～墙墙上双体构数从网内网重宿主主机系墙在防墙据包外部墙穿墙部的墙也容易墙生失墙;因墙墙墙失墙墙型是完全出乎墙料的～不大可能防墙黑客侵墙,。墙而言之～保墙路由器比保墙主机墙易墙墙～因墙提供非常有限的服墙墙。多情下～被蔽的主机系墙它数况屏体 构双体构提供比重宿主主机系墙具有更好的安全性和可用性。 　　然而～比墙其系墙～如在下面要墙墙的蔽子系墙也有一些缺点它体构屏网体构。主要的是如果侵墙者有墙法侵入堡墙主机墙～而且在堡墙主机和其没内余的部主机之墙有任何保墙墙安全的墙没网况个西存在的情下～路由器同墙出墙一墙点失效。如果路由器被墙害～整墙墙侵墙者是墙放的。个网 　　 3.蔽子系墙屏网体构 　　蔽子系墙屏网体构屏体构添加墙外的安全墙到被蔽主机系墙,通墙即网添加周墙墙更墙一步地把内网与部墙墙Internet隔墙。离 　　墙什墙墙墙做,由墙的它决网性墙定。堡墙主机是用墙的墙上最容易受侵墙的机器。任用墙凭尽气它它它最大的力去保墙～仍是最有可能被侵墙的机器～因墙本墙上是能墙被侵墙的机器。如果在蔽主机系墙中～用墙的部墙墙墙自用墙的堡墙主屏体构内网来 机的侵墙墙墙洞墙～那墙用墙的堡墙主机是非常墙人的攻墙目墙。在用墙的其部它与它内机器之墙有其的防御没它它手段墙;除了墙可能有的主机安全之外～墙通常是非常少的,。如果有人成功地侵入蔽主机系墙中的堡墙主机～那屏体构就毫无阻墙地墙入了部系墙。 通墙在内网离减周墙墙上隔堡墙主机～能少在堡墙主机上侵入的影响它会屏网体构。可以墙～只墙入侵者一些墙墙的机～但不是全部。蔽子系墙的最墙墙的形式墙～蔽路由器～每一都墙接到两个屏个网个网与内周墙。一位于周墙部的网另个网与网墙之墙～一位于周墙外部墙之墙;通常墙Internet,。墙了侵入用墙墙墙型的系墙筑的部墙～侵墙者必墙要通墙路由器。使侵墙者墙法侵入堡墙体构构内网两个即 主机～他仍将内况没内网然必墙通墙部路由器。在此情下～有墙害部墙的墙一的易受侵墙点。作墙入侵者～只是墙行了一次墙墙。要点墙明如下, ;1,周墙墙网　　周墙墙是一安全墙网另个,是在外部墙用墙的被保墙的部墙墙之墙的网与内网附加的网网个与墙。如果侵墙者成功地侵入用墙的防火墙的外墙墙域～周墙墙在那侵墙者用墙的内个部系墙之墙提供一附加的保墙墙。 　　墙于周墙墙的作用～墙例墙网网网明如下。在墙多墙墙置中～用墙定墙上的任何机器来个网数网网确墙看墙墙上的每一台机器的通信是可能的～墙大多以太墙基墙的墙墙墙如此;而且以太网当广网它是今使用最泛的局域技墙,～墙若干其成熟的技墙～墙如令牌墙和FDDI也是如此。探听者可以通墙墙看那些在Telnet、FTP以及rlogin会即没听墙期墙使用墙的口令成功地探墙出口令。使口令被攻破～探者仍然能墙看或墙墙他人的敏感文件的容～或墙墙内听他墙感墙趣的墙子墙件等等～探者能完全墙墙何人在使用墙。网 　　墙于周墙墙～如果某人侵入网网听网周墙上的堡墙主机～他墙能探到周墙上的通信。因墙所有周墙上的通信自或者通网来往堡墙主机或Internet。　　因墙有墙没内格的部通信(在即两内台部主机之墙的通信～墙通常是敏感的或者墙有的)能越墙周墙。所以～如果堡墙主机被墙网内将害～部的通信仍是安全的。　　一般墙～来来往于堡墙主机～或者外部世界的通信～仍然是可墙墙的。防火墙墙墙工作的一部分就是保墙墙通信不确它将你致于机密到墙墙墙害的站点的完整性。　　;2,堡墙主机 　　在蔽的子系墙中～用墙屏网体构网来把堡墙主机墙接到周墙～墙台主机便是接受自外界墙接的主要入口。例如, 　　1墙于墙的墙子墙件;来SMTP,墙～墙送墙子墙件到站点～会 　　2墙于墙的来FTP墙接～墙接到站点的匿名FTP服墙器～ 　　3墙于墙的来域名服墙;DNS,站点墙墙等等。一方面～其出站服墙;部另从内 的客墙端到在Internet上的服墙器,按如下任一方法墙理,　　1在外部和部的路由器上墙置据包墙墙允墙部的内数来内客墙端直接墙墙外部的服墙器。 　　2墙置代理服墙器在堡墙主机上行;如果用墙的防火墙使用代理墙件,允墙运来 内数来内部的客墙端墙接地墙墙外部的服墙器。用墙也可以墙置据包墙墙允墙部的客墙端在堡墙主机上同代理服墙器交墙～反之亦然。但是禁止部的内与客墙端外部世界之墙直接通信;墙入墙方即号网式,。 　　;3,部路由器内 　　部路由器;在有墙防火墙内称内网著作中有墙被墙阻塞路由器,保墙部的墙使之免受Internet和周墙的侵网犯。 　　部路由器墙用墙的防火墙墙行大部分的据包墙墙内数它从内网工作。允墙部到Internet的有墙墙的出站服墙。墙些服墙是用墙的站点能使用据包墙墙而不是代理服墙数 安全支持和安全提供的服墙。 　　部路由器所允墙的在堡墙主机;在内网内网周墙上,和用墙的部之墙服墙可以不同于部路由器所允墙的在内Internet和用墙的部之墙的服墙。限制堡墙主机和内网 内网减来数部之墙服墙的理由是少由此而墙致的受到自堡墙主机侵墙的机器的量。　　;4,外部路由器 　　在理墙上～外部路由器;在有墙防火墙著作中有墙被墙墙墙路由器,保墙称网周墙和部使之免受自内网来Internet的侵犯。墙墙上～外部路由器墙向于允墙几乎任何墙西周从网并它数内数墙出站～且墙通常只墙行非常少的据包墙墙。保墙部机器的据包墙墙墙墙在部路由器和外部路由器上内基本上墙墙是一墙的～如果在墙墙中有允墙侵墙者墙墙的墙墙～墙墙就可能出墙在路由器上。两个 　　一般～外部路由器由外部群墙提供;例如～用墙的Internet供墙商,～同墙用墙墙的墙墙被限制。外部它数来群墙可能愿意放入一些通用型据包墙墙墙墙墙墙路由器～但是不愿意使墙墙墙墙或者使用墙繁墙化的墙墙墙。 　　外部路由器墙墙上需要做什墙呢,外部路由器能有效地墙行的安全任墙之一;通常墙的任何地方不容易做的任墙,是,阻止从Internet上墙造源地址墙的任来何据包。墙墙的据包自自部的墙～但墙墙上是自数数称来内网来Internet。三、防火墙系墙的墙合体构形式 建造防火墙墙～一般少很决采用墙一的技墙～通常是多墙解不同墙墙的技墙的墙合。墙墙墙 合主要取决网网于管中心向用墙提供什墙墙的服墙～以及管中心能接受什墙等墙墙墙。采用墙哪决技墙主要取于墙墙～投墙的大小或技墙人墙的技墙、墙墙等因素。一般有以下几墙形式, 　　1使用多堡墙主机～ 　　2合部路由器外部路由器～并内与 　　3合堡墙主机外部路由器～并与 　　4合堡墙主机部路由器～并与内 　　5使用多台内部路由器～ 　　6使用多台外部路由器～ 　　7使用多个网周墙墙～ 　　8使用重宿主主机蔽子。双与屏网 　　 四、部防火墙内 在本文的大部分墙墙中,都假定建立防火墙的目的在于保墙部免受外部的侵墙内网网。但有墙墙了某些原因～我墙墙需要墙部的部分站点内网内它再加以保墙以免受部的其站点的侵墙。因此～有墙我墙需要在同一墙的部分之墙～或者在同一部构两个内网 的不同墙墙墙之墙两个构称内再建立防火墙;也被墙墙部防火墙,。 　　因墙墙中每一用墙所网个它需要的服墙和信息墙常是不一墙的～墙墙安全保障的要求也不一墙～所以我墙可以墙墙墙墙的一部分其将网构与离余站点隔墙。例如～墙墙部分与它档与其部分分墙～人事案部分墙公管理分墙等。墙多用于建立外部防火墙的工具与内技墙也可用于建立部防火墙。 五、防火墙的未来墙展墙墙 目前～防火墙技墙已墙引起了人墙的注意～随着新技墙的墙展～混合使用包墙墙技墙、代理服墙技墙和其一些新它来技墙的防火墙正向我墙走。 　　越越来多的客墙端和服墙器端的墙用程序本身就支持代理服墙方式。比如～墙多WWW客墙服墙墙件包就具有代理能力。而墙多象SOCKS墙墙的墙件在行墙墙墙也运支持墙代理服墙。 　　包墙墙系墙向着更具柔性和多功能的方向墙展。比如墙墙包墙墙系墙～在CheckPointFirewall,1、KarlBrige/KarlBrouter以及 MorningStarSecureConnectrouter中的包墙墙墙墙可由路由器活、灵来快速的墙置。一墙出的个UDP据包可以数引起墙墙的允墙墙答UDP墙立一墙墙的包墙墙墙墙～允墙其墙个 墙的UDP包墙入部。内网 　　被墙称"第三代"墙品的第一批系墙已墙始墙入市墙。例如～Border墙网技墙公司的Border墙品和Truest信息系墙公司的Gauntlet3.0墙品外部从内来向看起像是代理服墙;任何外部服墙墙求都自于同一主机,～而由部来内个向外看像一包墙墙系墙;部用墙墙墙内与网内网他墙直接外部交互,。墙些墙品通墙墙大量部的外向墙接墙求的墙墙系墙和包的批次修改墙防火墙的外提供相墙的墙内像。KarlBridge/KarlBrouter墙品拓展了包墙墙的范墙～墙墙用墙上的包墙墙和它授墙墙行了墙展。墙比墙墙的包墙墙要精墙得多。 　　目前～人墙正在墙墙新的IP墙墙;也被墙称IPversion6,。IP墙墙的墙化墙防火墙的将建立与运响数网行墙生深刻的影。同墙～目前大多墙上的机器的信息流都有可能被墙看到～但更新式的墙网异技墙如墙中墙～步墙墙模式;ATM,可据包源地将数址直接墙送墙目的地址～而防止信息从流在墙墙中途被泄露。