介紹一下防火墻技術

2013-08-09 11:37 作者：ly 瀏覽量：

　　網絡的安全不僅表現在網絡的病毒防治方面，而且還表現在系統抵抗外來非法黑客入侵的能力方面。對于網絡病毒，我們可以通過KV300或瑞星殺毒軟件來對付，那么對于防范黑客的入侵我們能采取什么樣的措施呢？在這樣的情況下，網絡防火墻技術便應運而生了。那么究竟什么叫防火墻呢？它有什么作用呢？請大家耐心往下看。

　　一、防火墻的基本概念

　　古時候，人們常在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵， 提供扼守本網絡的安全和審計的唯一關卡，它的作用與古時候的防火磚墻有類似之處，因此我們把這個屏障就叫做“防火墻”。

　　在電腦中，防火墻是一種裝置，它是由軟件或硬件設備組合而成，通常處于企業的內部局域網與Internet之間，限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問外界的權限。換言之，防火墻是一個位于被認為是安全和可信的內部網絡與一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間的一個封鎖工具。防火墻是一種被動的技術，因為它假設了網絡邊界的存在，它對內部的非法訪問難以有效地控制。因此防火墻只適合于相對獨立的網絡，例如企業內部的局域網絡等。

　　二、防火墻的基本準則

　　1.過濾不安全服務

　　基于這個準則，防火墻應封鎖所有信息流，然后對希望提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效實用的方法，可以造成一種十分安全的環境，因為只有經過仔細挑選的服務才能允許用戶使用。

　　2.過濾非法用戶和訪問特殊站點

　　基于這個準則，防火墻應先允許所有的用戶和站點對內部網絡的訪問，然后網絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。這種方法構成了一種更為靈活的應用環境，網絡管理員可以針對不同的服務面向不同的用戶開放，也就是能自由地設置各個用戶的不同訪問權限。

　　三、防火墻的基本措施

　　防火墻安全功能的實現主要采用兩種措施。

　　1.代理服務器(適用于撥號上網)

　　這種方式是內部網絡與Internet不直接通訊，內部網絡計算機用戶與代理服務器采用一種通訊方式，即提供內部網絡協議（NetBIOS、TCP/IP），代理服務器與Internet之間的通信采取的是標準TCP/IP網絡通信協議，防火墻內外的計算機的通信是通過代理服務器來中轉實現的，結構如下所示:

　　內部網絡→代理服務器→Internet

　　這樣便成功地實現了防火墻內外計算機系統的隔離，由于代理服務器兩端采用的是不同的協議標準，所以能夠有效地阻止外界直接非法入侵。

　　代理服務器通常由性能好、處理速度快、容量大的計算機來充當，在功能上是作為內部網絡與Internet的連接者，它對于內部網絡來說像一臺真正的服務器一樣，而對于互聯網上的服務器來說，它又是一臺客戶機。當代理服務器接受到用戶的請求以后，會檢查用戶請求的站點是否符合設定要求，如果允許用戶訪問該站點的話，代理服務器就會和那個站點連接，以取回所需信息再轉發給用戶。

　　另外，代理服務器還能提供更為安全的選項，例如它可以實施較強的數據流的監控、過濾、記錄和報告功能，還可以提供極好的訪問控制、登錄能力以及地址轉換能力。但是這種防火墻措施，在內部網絡終端機很多的情況下，效率必然會受到影響，代理服務器負擔很重，并且許多訪問Internet的客戶軟件在內部網絡計算機中無法正常訪問Internet。

　　2.路由器和過濾器

　　這種結構由路由器和過濾器共同完成對外界計算機訪問內部網絡的限制，也可以指定或限制內部網絡訪問Internet。路由器只對過濾器上的特定端口上的數據通訊加以路由，過濾器的主要功能就是在網絡層中對數據包實施有選擇的通過，依照IP（Internet Protocol）包信息為基礎，根據IP源地址、IP目標地址、封裝協議端口號，確定它是否允許該數據包通過。這種防火墻措施最大的優點就是它對于用戶來說是透明的，也就是說不須用戶輸入賬號和密碼來登錄，因此速度比代理服務器快，且不容易出現瓶頸現象。然而其缺點也是很明顯的，就是沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發現非法入侵的攻擊記錄。

做為一家企業IT服務提供商，我們有責任也有義務為企業提供IT外包的相關信息，為企業的發展提升更高的效率，創造更大價值。

艾銻無限，成就夢想！