以文本方式查看主题 - 开封论坛 (http://www.izhen.cn/dv/index.asp) -- 电脑网络 (http://www.izhen.cn/dv/list.asp?boardid=18) ---- 防火墙介绍 (http://www.izhen.cn/dv/dispbbs.asp?boardid=18&id=39601) |
-- 作者:newsone -- 发布时间:2007-11-21 08:55:16 -- 防火墙介绍
代理服务器是防火墙系统中的一个服务器进程, 它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关, 一个为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用, 比如Telnet或者ftp,同代理服务器打交道, 代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后, 代理服务器连通远程主机, 为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是: 它只由用户标识和口令构成。但是, 如果防火墙是通过Internet可访问的, 我们推荐使用更强的认证机制,比如一次性口令或挑战-回应式系统。 屏蔽路由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则比较困难、屏蔽路由器的管理成本、还有用户级身份认证的缺乏。路由器生产商们正在着手解决这些问题。特别值得注意的是, 它们正在开发编辑包过滤规则的图形用户界面。他们也在制订标准的用户级身份认证协议, 来提供远程身份认证拨入用户服务(REDIUS)。 代理服务器的优点是用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实: 要想提供全面的安全保证, 就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纳。最近, 一个名叫SOCKS的包罗万象的代理服务器问世了。SOCKS主要由一个运行在防火墙系统上的代理服务器软件包和一个链接到各种网络应用程序的库函数包组成。这样的结构有利于新应用的挂接。 屏蔽路由器和代理服务器通常组合在一起构成混合系统,其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是Dual-homed防火墙, 被屏蔽主机型防火墙, 以及被屏蔽子网型防火墙。 尽管防火墙已经在Internet业界得到了广泛的应用, 关于防火墙的话题仍然十分敏感。防火墙的拥护者们把防火墙看成是一种重要的新型安全措施, 因为它把诸多安全功能集中到一点上, 大大简化了安装、配置和管理的手续。许多公司把防火墙当做自己单位驻Internet的大使馆, 当做关于其项目、产品、服务等公共信息的仓库。从美国生产厂家的观点来看, 防火墙技术是很有意义的, 因为它不用加密, 因而在出口上不受限制。但是, 目前提供的大多数防火墙产品确实支持这种或那种的IP层加密功能, 从而在这方面受到美国出口政策的控制。防火墙的另一个特色是它不限于TCP/IP协议, 从而不只适用于Internet。 确实, 类似的技术完全可以用在任何分组交换网络当中, 例如X.25或ATM都可以。防火墙的批评者们一般关注的是防火墙的使用不便之处, 例如: 需要多次登录及其他不受约束的机制, 影响Internet的使用甚至影响Internet的生存。他们声称: 防火墙给人制造一种虚假的安全感, 导致在防火墙内部放松安全警惕。 他们也注意到, 许多攻击是内部犯罪, 这是任何基于隔离的防范措施都无能为力的。同样, 防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行, 那个程序很可能就包含一段恶意的代码, 或泄露敏感信息, 或对之进行破坏。随着Java、JavaScript和Active X控件及其相应浏览器的大量持续推广, 这一问题变得更加突出和尖锐。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的 "监狱看守 "型的防火墙, 大多数的产品还停留在需要网络管理员手工建立的水平上。当然, 这一方面马上会出现重大的变化。 尽管存在这些争议, 防火墙的拥护者和批评者都承认, 防火墙不能替代墙内的谨慎的安全措施。防火墙在当今Internet世界中的存在是有生命力的。它是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的,因此, 它不是解决所有网络安全问题的万能药方, 而只是网络安全政策和策略中的一个组成部分。 [此贴子已经被太阳雨于2007-11-22 22:00:01编辑过]
|
-- 作者:wll88 -- 发布时间:2007-11-22 14:11:17 -- 来找我吧,有8G防火墙,嘿嘿 |
-- 作者:米爱 -- 发布时间:2008-07-14 23:18:49 -- 防火墙容易使我家电脑变成智障 |
-- 作者:zhyghg -- 发布时间:2009-04-15 20:03:01 -- 感谢分享。 |
-- 作者:niuniuma -- 发布时间:2009-04-22 16:02:04 -- 顶 |