局域网中防火墙技术的应用
1、防火墙的基本类型1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。
2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
在概念上,有两种类型的防火墙:
网络级防火墙
应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened hostfirewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(dual homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
2、防火墙十大热门产品:
1、思科
/qzone/newblog/v5/editor/css/loading.gif
2、H3C NS-SecPath F100-S-AC
/qzone/newblog/v5/editor/css/loading.gif
3、诺基亚 IP1260
/qzone/newblog/v5/editor/css/loading.gif
4、华为 Eudemon 300
/qzone/newblog/v5/editor/css/loading.gif
5、思科 ASA5520-BUN-K9
/qzone/newblog/v5/editor/css/loading.gif
6、思科 ASA5505-K8
/qzone/newblog/v5/editor/css/loading.gif
7、华为 Eudemon100
/qzone/newblog/v5/editor/css/loading.gif
8、Juniper NetScreen-25
/qzone/newblog/v5/editor/css/loading.gif
9、H3C NS-SecPath F100-C-AC
/qzone/newblog/v5/editor/css/loading.gif
10、H3C Secpath F100-A-SI
/qzone/newblog/v5/editor/css/loading.gif
3、防火墙品牌:
思科/qzone/newblog/v5/editor/css/loading.gif飞塔/qzone/newblog/v5/editor/css/loading.gifJuniper/qzone/newblog/v5/editor/css/loading.gif联想/qzone/newblog/v5/editor/css/loading.gifNETGEAR/qzone/newblog/v5/editor/css/loading.gif方正/qzone/newblog/v5/editor/css/loading.gif金山KingGae/qzone/newblog/v5/editor/css/loading.gifH3C/qzone/newblog/v5/editor/css/loading.gif东软/qzone/newblog/v5/editor/css/loading.gif阿姆瑞特/qzone/newblog/v5/editor/css/loading.gif清华紫光/qzone/newblog/v5/editor/css/loading.gif神州数码/qzone/newblog/v5/editor/css/loading.gif天融信/qzone/newblog/v5/editor/css/loading.gif华为赛门克(/qzone/newblog/v5/editor/css/loading.gif网御州……
4、防火墙的原理:
页:
[1]