网络安全相关技术产品及部署建议.doc

相关技术产品及部署建议
防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网()和互联网()之间的任何活动,保证了内部网络的安全。
防火墙系统已经基本成为和路由器、交换机等具有同等地位的网络基础设备。它能够把来自网络外部的绝大多数非法访问拒之门外。
防火墙技术主要分三种:包过滤,应用代理服务器,状态检测防火墙。每种防火墙都有其优点,也有与其它相比不足的地方。下面是对每种防火墙的主要描述:
包过滤防火墙
包过滤防火墙以cisco screen为典型,包过滤防火墙检查每个在网络间被传送的IP数据包中的内容,并根据它们的地址及指定的应用服务来决定接受或拒绝这个数据包。
互连的基本单位就是IP数据包。每个IP数据包包括一个包含源地址和目标地址的包头。在包过滤防火墙中,是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。安全策略由每个与指定的源地址、目标地址、服务、及动作(通过或拒绝)的有关规则组成。系统管理员必须将防火墙设置为准许或拒绝特殊类型的数据或地址,并允许授权一个时间密集的任务。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
任何类型的防火墙在某种程度上均会影响网络的性能,包过滤防火墙通常速度最快,因为它只检测每个数据包中最基本的包头信息。但包过滤策略的规则越多,就会发生越多的冲突。
因此,包过滤防火墙最适合于禁止多地址往来访问的相对封闭环境。
应用代理服务器
应用代理服务器以Axent raptor和NAI的gauntlet为典型,应用代理是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求,然后防火墙连接到服务器并代表这个客户端重复这个请求。返回时数据发送到代理服务器,然后再传送给用户,上出现。
状态检测防火墙
状态检测防火墙以check point 的Firewall-1 和Netscreen最为著名。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。它们不仅仅检测“to”或“from”的地址,而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通