zhs198424 发表于 2009-6-2 23:15:29

Eeteye 防火墙原理

Eeteye 防火墙是基于数据链路层的包过滤型防
火墙, 应用在需要实现安全保护的内部网与外部
Internet 网络之间, 在表现上相当于一个透明的网
桥。连接示意图见图1 。
Neteye 防火墙透明地连接在两块以太网卡之
间, 根据系统管理员设定的网络安全策略对目的及
来源IP 地址、MAC 地址和TCP/ IP 端口进行封包
过滤; 同时具有信息记录、分析等功能。Neteye
提供访问控制、网络地址转换、信息过滤、实时分
析、事后分析、状态监控等功能。系统设计成工作
在高度的安全性和透明性相统一的无IP 桥接状态
下, 具有高度的安全性和透明性, 同时通过高性能
的为了核心进行访问控制。
目前常见的防火墙本身都有IP 地址, 防火墙
也成了外界攻击的目标。Neteye 防火墙系统基于
数据链路层设计的, 其监控主机工作在无IP 方式
下。对截取到的包进行重组, 获得完整的信息, 为
事后的信息安全分析奠定了基础。整个系统几乎包
含了从数据链路层到应用层的全部功能, 实现了从
数据链路层、网络层、传输层到应用层的协议。
Neteye 的核心态处理基于包过滤技术的网络
访问控制、网络地址转换(NAT) 、IP/ MAC 地址
绑定、防DOS 攻击、防IP 地址欺骗等。这部分是
在操作系统的内核中实现, 直接操作网络设备, 使
系统的处理速度能与高速的网络设备相匹配, 不影
响网络的性能。
针对DOS 的攻击, Neteye 在其核心部分实现
了智能化的防攻击模块, 根据模式识别匹配理论对
攻击进行识别, 并采取不同的措施保护主机。
入侵和破坏的可能性始终存在, Neteye 配备
了日志系统和分析、监控工具, 用于进行攻击发生
后的恢复和对攻击行为的再现和追踪, 任何攻击行
为都会留下痕迹, 一些聪明的黑客会在攻击得手后
小心地消除痕迹, 但无法消除他看不到的系统对其
进行的记录。在线监控和分析工具, 可以对网络的
事业情况、网络上流动的年信息进行监控, 并对典
型应用进行信息的同步再现, 使网络可随时处于有
效的监控之下。基于关键字的内容分析, 还可以对
不良信息内容进行识别和过滤。
Neteye 防火墙系统具有内部IP 地址和MAC
地址进行绑定的功能, 使得即使盗用IP 地址, 也
因为MAC 地址不匹配而盗用失败, 这对于只由少
数有效IP 地址的大型网络具有重要作用。
211 包过滤路由器型
一般作用在网络层, 又称网络层防火墙或IP 过
滤器。它对进出内部网络的所有信息进行分析, 并
按照一定的安全策略对进出内部网络的信息进行限
制, 允许授权信息通过, 拒绝非授权信息通过。信
息过滤规则以其所收到的数据包头信息为基础, 当
一个数据包满足过滤规则, 则允许此数据包通过, 否
则拒绝此数据包通过, 相当于此数据包所要到达的
网络物理是被断开, 从而起到保护内部网络的作用。
其优点为: 处理包的速度快; 实现包过滤几乎不再
需要费用, 实现方便; 包过滤路由器对用户提供透
明服务, 不必对用户进行特殊培训和在每台主机上
安装特定的软件。其缺点为: 定义数据包过滤器比
较复杂, 维护比较困难; 只能阻止一种类型的IP 欺
骗, 不提供有用的日志; 无法对网络上流动的信息
提供全面的控制, 安全性差。
包过滤路由器型防火墙用一台过滤路由器来实
现安全控制功能, 其结构如图1 所示Internet~~><~~~过滤路由器~~〉《~~内部结构
防火墙的基本功能
Internet 防火墙是网络安全政策的有机组成部
分, 它通过控制和检测网络之间的信息交换和访问
行为来实现对网络的安全管理, 从总体上看, 其基
本功能为:
(1) 强化安全策略, 过滤进出网络的数据包;
(2) 记录通过防火墙的信息内容和网络活动;
(3) 限制用户暴露, 管理进出网络和封堵某些
禁止的访问行为;
(4) 集中安全策略, 对网络攻击进行检测和告
警。
/qzone/newblog/v5/editor/css/loading.gif
页: [1]
查看完整版本: Eeteye 防火墙原理