|
知识路径: > 网络安全 > 防火墙应用 > 防火墙 >
|
相关知识点:16个
|
|
|
|
|
(1)网关:网关是在两个以上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序到在不同网域间的防火墙网关。
|
|
|
(2)电路级网关:电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能——网络地址转移,将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙;另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当有攻击发生时能提供容错功能。
|
|
|
(3)应用级网关。应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
|
|
|
(4)包过滤。包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一,在后面将做详细的讨论。
|
|
|
(5)代理服务器。代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,电路级网关也可作为代理服务器的一种。
|
|
|
(6)网络地址翻译。网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制。如果用户选择保留地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。
|
|
|
(7)堡垒主机。堡垒主机是一种被强化的可以防御攻击的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全的目的。从堡垒主机的定义可以看到,堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。单宿主堡垒主机是指一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程用来提供对从公网到私有网络的特殊协议路由。同样,如果用户想通过一台堡垒主机来路由E-mail、Web和FTP服务时,用户必须为每一个服务都提供一个守护进程。
|
|
|
(8)强化操作系统。防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳定性,防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品,包括AxentRaptor、CheckPOint和Network AssociatesGauntlet都可以在目前较流行的操作系统上运行。理论上讲,操作系统只需提供最基本的功能,这样利用系统漏洞来攻击的威胁就可以降低。
|
|
|
(9)非军事化区域。DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和内部私有网络。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护,但它引导了蜜罐技术的产生。
|
|
|
(10)筛选路由器。筛选路由器的另一个术语就是包过滤路由器。它至少有一个接口是连向公网的,对进出内部网络的所有信息进行分析,并按照一定的安全策略和信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能较差。由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性也较差。
|
|
|
(11)阻塞路由器。阻塞路由器(也叫内部路由器)保护内部网络免受Internet等其他网络的侵犯。内部路由器为用户防火墙执行大部分的数据包过滤工作,允许从内部网络到Internet的有选择的出站服务。内部路由器所允许的在堡垒主机和用户内部网之间的服务,可以不同于内部路由器所允许的在Internet和用户内部网之间的服务。限制堡垒主机和内部网之间服务可以减少由此而导致的受到来自堡垒主机攻击的数量。
|
|
|
|
(1)拒绝所有的流量,这需要在网络中特殊指定能够进入和出去的数据的类型。
|
|
|
(2)允许所有的流量,这种情况需要特殊指定要拒绝的数据的类型。
|
|
|
大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦用户安装防火墙后,用户需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
|
|
|