防火墻體系構建與設計

前言：本站為你精心整理了防火墻體系構建與設計范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：網絡平安已成為人日益關懷的問題。網絡防火墻技術作為內部網絡與外部網絡之間的第一道平安屏障，其中要作用是在網絡入口外檢查網絡通訊，更具用戶設定的平安規則，在維護內部網絡平安的前提下，保證內外網絡通訊，提供內部網絡的平安。

關鍵詞：內部網絡；外部網絡；平安

一、防火墻功用概述

防火墻是一個維護安裝，它是一個或一組網絡設備安裝。通常是指運轉特別編寫或更改正操作系統的計算機，它的目的就是維護內部網的訪問平安。防火墻能夠裝置在兩個組織構造的內部網與外部的Internet之間，同時在多個組織構造的內部網和Internet之間也會起到同樣的維護作用。它主要的維護就是增強外部Internet對內部網的訪問控制，它主要任務是允許特別的銜接經過，也能夠阻止其他不允許的銜接。防火墻只是網絡平安戰略的一局部，它經過少數幾個良好的監控位置來停止內部網與Internet的銜接。防火墻的中心功用主要是包過濾。其中入侵檢測，控管規則過濾，實時監控及電子郵件過濾這些功用都是基于封包過濾技術的。防火墻的主體功用歸結為以下幾點：依據應用程序訪問規則可對應用程序連網動作停止過濾；對應用程序訪問規則具有自學習功用；可實時監控，監視網絡活動；具有日志，以記載網絡訪問動作的細致信息；被攔阻時能經過聲音或閃爍圖標給用戶報警提示。

防火墻僅靠這些中心技術功用是遠遠不夠的。中心技術是根底，必需在這個根底之上參加輔助功用才干流利的工作。而完成防火墻的中心功用是封包過濾。在邏輯上，防火墻是一個別離器，一個限制器，也是一個剖析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的平安（見圖1）。

二、防火墻主要技術特性

應用層采用Winsock2SPI停止網絡數據控制、過濾；中心層采用NDISHOOK停止控制，特別是在Windows2000下，此技術屬微軟未公開技術。

此防火墻還采用兩種封包過濾技術：

一是應用層封包過濾，采用Winsock2SPI；

二是中心層封包過濾，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，屬于應用層的范疇。應用這項技術能夠截獲一切的基于Socket的網絡通訊。采用Winsock2SPI的優點是十分明顯的：其工作在應用層以DLL的方式存在，編程、測試便當；跨Windows平臺，能夠直接在Windows98/ME/NT/2000/XP上通用，Windows95只需裝置上Winsock2for95，也能夠正常運轉；效率高，由于工作在應用層，CPU占用率低；封包還沒有依照低層協議停止切片，所以比擬完好。而防火墻正是在TCP/IP協議在windows的根底上才得以完成。在構筑防火墻維護網絡之前，需求制定一套完好有效的平安戰略，這種平安戰略普通分為兩層：網絡效勞訪問戰略和防火墻設計謀略。

三、網絡效勞訪問戰略

網絡效勞訪問戰略是一種高層次的、詳細到事情的戰略，主要用于定義在網絡中允許的或制止的網絡效勞，還包括對撥號訪問以及SLIP/PPP銜接的限制。這是由于對一種網絡效勞的限制可能會促運用戶運用其他的辦法，所以其他的途徑也應遭到維護。網絡效勞訪問戰略不但應該是一個站點平安戰略的延伸，而且關于機構內部資源的維護也起全局的作用。這種戰略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到挪動介質的管理。

四、防火墻的設計謀略

防火墻的設計謀略是詳細地針對防火墻，擔任制定相應的規章制度來施行網絡效勞訪問戰略。在制定這種戰略之前，必需理解這種防火墻的性能以及缺陷、TCP/IP本身所具有的易攻擊性和風險。防火墻普通執行以下兩種根本戰略中的一種：除非明白不允許，否則允許某種效勞；除非明白允許，否則將制止某項效勞。

執行第一種戰略的防火墻在默許狀況下允許一切的效勞，除非管理員對某種效勞明白表示制止。執行第二種戰略的防火墻在默許狀況下制止一切的效勞，除非管理員對某種效勞明白表示允許。防火墻能夠施行一種寬松的戰略（第一種），也能夠施行一種限制性戰略（第二種），這就是制定防火墻戰略的動手點。一個站點能夠把一些必需的而又不能經過防火墻的效勞放在屏蔽子網上，和其他的系統隔離。

五、設計時需求思索的問題

為了肯定防火墻設計謀略，進而構建完成戰略的防火墻，應從最平安的防火墻設計謀略開端，即除非明白允許，否則制止某種效勞。戰略應該處理以下的問題：需求什么效勞；在哪里運用這些效勞；能否應當支持撥號入網和加密等效勞；提供這些效勞的風險是什么；若提供這種維護，可能會招致網絡運用上的不便當等負面影響，這些影響會有多大，能否值付出這種代價；和可用性相比，站點的平安性放在什么位置。

六、防火墻的缺乏

防火墻不能避免內部的攻擊，由于它只提供了對網絡邊緣的防衛。內部人員可能濫用被給予的訪問權，從而招致事故。防火墻也不能避免像社會工程攻擊一種很常用的入侵手腕，就是靠詐騙取得一些能夠毀壞平安的信息。另外，一些用來傳送數據的電話線很有可能被用來入侵內部網絡。固然如今有些防火墻能夠檢查病毒和特洛伊木馬，但這些防火墻只能阻撓已知的歹意程序，這就可能讓新的病毒和木馬溜進來。而且，這些歹意程序不只僅來自網絡，也可能來自軟盤。