網(wǎng)絡(luò)防火墻產(chǎn)生的原因_第1頁(yè)
網(wǎng)絡(luò)防火墻產(chǎn)生的原因_第2頁(yè)
網(wǎng)絡(luò)防火墻產(chǎn)生的原因_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)防火墻產(chǎn)生的原因GhentClientClientGhentClientClient隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,因特網(wǎng)已經(jīng)走進(jìn)千家萬(wàn)戶。網(wǎng)絡(luò)犯罪的遞增、大量黑客網(wǎng)站的產(chǎn)生,促使人們思考網(wǎng)絡(luò)的安全性問(wèn)題。網(wǎng)絡(luò)防火墻作為最受人注目的網(wǎng)絡(luò)安全工具應(yīng)運(yùn)而生。一、防火墻的基本概念防火墻是一個(gè)系統(tǒng)或一組系統(tǒng),它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略,所有從因特網(wǎng)流入或流向因特網(wǎng)的信息按照此策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許。防火墻加強(qiáng)了網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,以保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù):提供網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能,有助于緩解IP地址資源緊張的問(wèn)題,同時(shí),可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩;防火墻可查詢或登記因特網(wǎng)的使用情況,可以確認(rèn)因特網(wǎng)連入的代價(jià)、潛在的帶寬瓶頸;在其上可以配置相應(yīng)的WWW和FTP服務(wù),使因特網(wǎng)用戶僅可以訪問(wèn)此類服務(wù),而禁止對(duì)保護(hù)網(wǎng)絡(luò)的其他系統(tǒng)的訪問(wèn)等。User二、防火墻的基本類型防火墻的基本類型包括包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT、應(yīng)用代理和狀態(tài)檢測(cè)。1、 包過(guò)濾包過(guò)濾是防火墻的初級(jí)類型,依靠自身的數(shù)據(jù)安全保護(hù)機(jī)制來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成,防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間河根據(jù)地址薄進(jìn)行設(shè)置規(guī)則。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。2、 網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的、注冊(cè)的外部IP地址。網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)通過(guò)地址轉(zhuǎn)換訪問(wèn)因特網(wǎng),用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄,系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。使得有限的外網(wǎng)IP就能滿足內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn),同時(shí)還能夠避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。緩解了地址空間的短缺問(wèn)題,節(jié)省了資源,降低了成本。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。3、應(yīng)用代理代理型防火墻的優(yōu)點(diǎn)是安全性較高。應(yīng)用代理完全接管了用戶與服務(wù)器的訪問(wèn),把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來(lái)。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò),只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問(wèn)Internet主機(jī),同時(shí)只有被認(rèn)為""可信任的""代理服務(wù)器才可以允許通過(guò)應(yīng)用代理。在實(shí)際的應(yīng)用中,應(yīng)用代理的功能是由代理服務(wù)器來(lái)完成的。4、狀態(tài)檢測(cè)狀態(tài)檢測(cè)防火墻是新一代的防火墻技術(shù),由CheckPoint公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài),并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻。通過(guò)狀態(tài)檢測(cè)技術(shù),動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)。狀態(tài)檢測(cè)在包過(guò)濾的同時(shí),檢查數(shù)據(jù)包之間的關(guān)聯(lián)性和數(shù)據(jù)包中的動(dòng)態(tài)變化。三、防火墻的未來(lái)發(fā)展方向在防火墻性能和功能不斷發(fā)展的同時(shí),大多數(shù)業(yè)內(nèi)專家認(rèn)為,以下五個(gè)方面將是未來(lái)防火墻的發(fā)展方向。1、 防火墻的性能將不斷突破。隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富,網(wǎng)絡(luò)帶寬需求會(huì)不斷的增長(zhǎng),并對(duì)防火墻的性能提出更高的要求,滿足千兆、萬(wàn)兆以及更高的帶寬要求是防火墻發(fā)展的一個(gè)方向。2、 防火墻將不斷的深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展,網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來(lái)越少,但應(yīng)用層的安全問(wèn)題卻越來(lái)越突出,防火墻將會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上,不斷挖掘應(yīng)用防護(hù)的深度和廣度。3、 防火墻將支持更多的應(yīng)用層協(xié)議。對(duì)應(yīng)用協(xié)議支持的廣度,也是防火墻的發(fā)展趨勢(shì),它將支持更多新的應(yīng)用協(xié)議,使更多的應(yīng)用程序能和防火墻協(xié)同工作。4、 防火墻將作為企業(yè)安全管理平臺(tái)的一個(gè)組件。隨著安全管理平臺(tái)的發(fā)展,未來(lái)企業(yè)所有的安全設(shè)備將由安全管理平臺(tái)統(tǒng)一調(diào)度和管理,防火墻需要向安全管理平臺(tái)提供安全策略管理接口、安全事件管理接口、安全審計(jì)接口。5、 防火墻將更可靠、更智能化。一方面,防火墻越來(lái)越穩(wěn)定可靠,同時(shí)也更趨于智能化,并將解決IPV6未來(lái)會(huì)出現(xiàn)的安全問(wèn)題?,F(xiàn)有防火墻技術(shù)仍無(wú)法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。攻擊時(shí)的變數(shù)太大,所以對(duì)網(wǎng)絡(luò)安全的需求對(duì)防火墻提出了

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論