解析計(jì)算機(jī)網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)論文.doc

解析計(jì)算機(jī)網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)論文 防火墻指的是一個由軟件和硬件設(shè)備組合而成,是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外,所有的進(jìn)出信息必須要經(jīng)過防護(hù)網(wǎng),它是安全問題的檢查點(diǎn)。防火墻本身要具有非常強(qiáng)的抗攻擊免疫力,要像個衛(wèi)士一樣時(shí)刻保護(hù)著互聯(lián)網(wǎng)的安全,它對阻止非法入侵起著很大的作用。因此對防護(hù)墻的裝置需要有一定的技巧和智慧,一個不經(jīng)意間的疏忽就會給電腦帶來巨大的安全隱患。下面我將詳細(xì)地介紹計(jì)算機(jī)網(wǎng)絡(luò)防火墻的五種體系結(jié)構(gòu)。 1雙宿主主機(jī)防火墻結(jié)構(gòu) 雙宿主主機(jī)結(jié)構(gòu)是圍繞著至少具有兩個網(wǎng)絡(luò)接口的雙宿主主機(jī)而構(gòu)成的。雙宿主主機(jī)的內(nèi)網(wǎng)與外網(wǎng)均可與雙宿主主機(jī)間實(shí)現(xiàn)互通,然而它的內(nèi)網(wǎng)與外網(wǎng)間IP數(shù)據(jù)流被雙宿主主機(jī)完全切斷,內(nèi)網(wǎng)與外網(wǎng)間是不能互通的。在使用的時(shí)候,用戶可以選擇直接登錄雙宿主機(jī)或者是在雙宿主機(jī)上運(yùn)行代理服務(wù)器。若是用戶自己登陸的話,會在不經(jīng)意間給入侵者提供了相對容易的入侵途徑;若是選擇后者的話,先要通過服務(wù)器認(rèn)證,再通過代理服務(wù)器訪問,則相對安全些。因?yàn)榇矸?wù)器它也能像應(yīng)用程序一樣回應(yīng)輸入封包，同時(shí)封鎖其他的封包，達(dá)到類似于和防火墻一樣的效果。但我們也應(yīng)該看到,雙宿主主機(jī)防火墻拒絕所有的網(wǎng)絡(luò)服務(wù),其中也含有DNS,要使他運(yùn)行必須要滿足應(yīng)用網(wǎng)關(guān)有代理模塊的網(wǎng)絡(luò)服務(wù)才行。所以我們應(yīng)該認(rèn)識到,雙宿主主機(jī)防火墻最大的弊端就是不具有靈活性,但在一些領(lǐng)域它仍然被使用著。 2主機(jī)過濾防火墻結(jié)構(gòu) 主機(jī)過濾防火墻是通過過濾路由器來實(shí)現(xiàn)其功能的。它會更加仔細(xì)地檢查數(shù)據(jù)包，除了決定是否有到達(dá)目標(biāo)地址的路徑外，還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包。 這種主機(jī)雖然可實(shí)現(xiàn)認(rèn)證與互交,能為互聯(lián)網(wǎng)的使用提供更加完備的服務(wù),但它依賴一個單一的部件來保護(hù)系統(tǒng)。我們應(yīng)該看到,如果這個單一的保護(hù)系統(tǒng)出現(xiàn)問題,互聯(lián)網(wǎng)的安全性就得不到保證,對于黑、客來說,他們會更加容易侵入到用戶的電腦。所以我們應(yīng)該認(rèn)識到,這種防火墻雖然使用的資金并不多,成本不高,使用起來也容易、方便,但它的安全性得不到保證,存在著安全隱患。 3子網(wǎng)屏蔽防火墻結(jié)構(gòu) 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將內(nèi)網(wǎng)與外網(wǎng)分開。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。 在使用時(shí),若是侵入者想要破壞這種防火墻,需要重新配置連接三個網(wǎng)的路由器或者是侵入者先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來破壞屏蔽路由器。侵入者要想在能入侵成功的同時(shí),但又不被發(fā)現(xiàn),不能引起警報(bào),這對他們來說還是有一定的難度。但是子網(wǎng)屏蔽防火墻的配置并不是那么難的可見,可以很容易獲得。所以我們應(yīng)該認(rèn)識到,這種防火墻的安全性是有保障的,侵入者并不是那么容易侵入的,它應(yīng)該算得上是一種比較好的安全防范模式。 4過濾路由器防火墻結(jié)構(gòu) 過濾路由器防火墻是基于所收到的數(shù)據(jù)包的源地址、目的地址、TCP/UDP、源端口號及目的端口號、分組出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與管理者預(yù)定的訪問控制表(擬定一個提供接收和服務(wù)對象的清單，一個不接受訪問或服務(wù)對象的清單)進(jìn)行比較，按所定安全政策允許或拒絕訪問，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)或丟棄，即實(shí)施信息過濾。 它是最簡單的一種防火墻。它的特殊之處就是在一般的路由器中加入了過濾的功能。由于有了這種功能,任何非法的入侵都不能立馬的侵入到我們的電腦,它能起到透明化的作用,及時(shí)的發(fā)現(xiàn)問題,并采取措施。但是與此同時(shí),一旦這種過濾的功能出現(xiàn)了問題,網(wǎng)絡(luò)對于入侵者來說就是一種直通狀態(tài),他們可以為所欲為。所以我們應(yīng)該認(rèn)識到,這種防火墻它所提供的安全性不是很有效,現(xiàn)在已經(jīng)基本不使用,在早期的互聯(lián)網(wǎng)中才能見到它的身影。 5吊帶式防火墻的結(jié)構(gòu) 吊帶式防火墻除了有代理和認(rèn)證服務(wù)器外,還有內(nèi)部過濾器用來保證內(nèi)網(wǎng)的安全。這就增加了互聯(lián)網(wǎng)的安全性。入侵者要想非法入侵,首先要通過代理服務(wù)器和認(rèn)證服務(wù)器的認(rèn)證,即使通過這兩項(xiàng)認(rèn)證,還有內(nèi)部過濾器來保證互聯(lián)網(wǎng)的安全性。黑、客們要想侵入電腦,就必須要通過吊帶式防火墻為互聯(lián)網(wǎng)的安全性提供了雙層的保障。所以我們應(yīng)該認(rèn)識到,吊帶式防火墻它是一種最簡單的防入侵的安全模式,但是它的應(yīng)用并沒有得到一個很好的推廣,在實(shí)際中的應(yīng)用并不常見,希望在未來可以更加廣泛的使用它,使互聯(lián)網(wǎng)更加的安全。 現(xiàn)在是信息時(shí)代,互聯(lián)網(wǎng)在飛速的發(fā)展,計(jì)算機(jī)的應(yīng)用也越來越廣泛,對計(jì)算機(jī)的安全性也越來越嚴(yán)格。我們都知道,計(jì)算機(jī)上儲存著大量的信息,個人的或是公司的等等。若是計(jì)算機(jī)存在著安全隱患,這些重要的信息可能會泄露出去,可能會造成個人的財(cái)產(chǎn)損失,公司機(jī)密的泄露,或者是對國家安全造成隱患。為了能更好的發(fā)揮計(jì)算機(jī)強(qiáng)大的功能,我們需要提供安全有效的防火墻體系,讓計(jì)算機(jī)的安全能得到保證。但現(xiàn)在的防火墻體系結(jié)構(gòu)并不