淺析防火墻體系結(jié)構(gòu)和設(shè)計(jì)

1、淺析防火墻體系構(gòu)造和設(shè)計(jì)摘要：網(wǎng)絡(luò)平安已成為人日益關(guān)心的問(wèn)題。網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道平安屏障，其中要作用是在網(wǎng)絡(luò)入口外檢查網(wǎng)絡(luò)通信，更具用戶(hù)設(shè)定的平安規(guī)那么，在保護(hù)內(nèi)部網(wǎng)絡(luò)平安的前提下，保障內(nèi)外網(wǎng)絡(luò)通信，提供內(nèi)部網(wǎng)絡(luò)的平安。關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；平安一、防火墻功能概述防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫(xiě)或更改正操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問(wèn)平安。防火墻可以安裝在兩個(gè)組織構(gòu)造的內(nèi)部網(wǎng)與外部的internet之間，同時(shí)在多個(gè)組織構(gòu)造的內(nèi)部網(wǎng)和internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部inte

2、rnet對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制，它主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡(luò)平安策略的一部分，它通過(guò)少數(shù)幾個(gè)良好的監(jiān)控位置來(lái)進(jìn)展內(nèi)部網(wǎng)與internet的連接。防火墻的核心功能主要是包過(guò)濾。其中入侵檢測(cè)，控管規(guī)那么過(guò)濾，實(shí)時(shí)監(jiān)控及電子郵件過(guò)濾這些功能都是基于封包過(guò)濾技術(shù)的。防火墻的主體功能歸納為以下幾點(diǎn)：根據(jù)應(yīng)用程序訪問(wèn)規(guī)那么可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)展過(guò)濾；對(duì)應(yīng)用程序訪問(wèn)規(guī)那么具有自學(xué)習(xí)功能；可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)；具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息；被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶(hù)報(bào)警提示。防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是根底，必須在這個(gè)根底

3、之上參加輔助功能才能流暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過(guò)濾。在邏輯上，防火墻是一個(gè)別離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安見(jiàn)圖1。二、防火墻主要技術(shù)特點(diǎn)應(yīng)用層采用insk2spi進(jìn)展網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾；核心層采用ndishk進(jìn)展控制，尤其是在inds2000下，此技術(shù)屬微軟未公開(kāi)技術(shù)。此防火墻還采用兩種封包過(guò)濾技術(shù)：一是應(yīng)用層封包過(guò)濾，采用insk2spi；二是核心層封包過(guò)濾，采用ndis_hk。insk2spi工作在api之下、driver之上，屬于應(yīng)用層的范疇。利用這項(xiàng)技術(shù)可以截獲所有的基于sket的網(wǎng)絡(luò)通信。采用i

4、nsk2spi的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以dll的形式存在，編程、測(cè)試方便；跨inds平臺(tái)，可以直接在inds98/e/nt/2000/xp上通用，inds95只需安裝上insk2fr95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，pu占用率低；封包還沒(méi)有按照低層協(xié)議進(jìn)展切片，所以比較完好。而防火墻正是在tp/ip協(xié)議在inds的根底上才得以實(shí)現(xiàn)。在構(gòu)筑防火墻保護(hù)網(wǎng)絡(luò)之前，需要制定一套完好有效的平安策略，這種平安策略一般分為兩層：網(wǎng)絡(luò)效勞訪問(wèn)策略和防火墻設(shè)計(jì)策略。三、網(wǎng)絡(luò)效勞訪問(wèn)策略網(wǎng)絡(luò)效勞訪問(wèn)策略是一種高層次的、詳細(xì)到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或制止的網(wǎng)絡(luò)效勞，還包括對(duì)撥

5、號(hào)訪問(wèn)以及slip/ppp連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)效勞的限制可能會(huì)促使用戶(hù)使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。網(wǎng)絡(luò)效勞訪問(wèn)策略不但應(yīng)該是一個(gè)站點(diǎn)平安策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問(wèn)到挪動(dòng)介質(zhì)的管理。四、防火墻的設(shè)計(jì)策略防火墻的設(shè)計(jì)策略是詳細(xì)地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)施行網(wǎng)絡(luò)效勞訪問(wèn)策略。在制定這種策略之前，必須理解這種防火墻的性能以及缺陷、tp/ip自身所具有的易攻擊性和危險(xiǎn)。防火墻一般執(zhí)行以下兩種根本策略中的一種：除非明確不允許，否那么允許某種效勞；除非明確允許，否那么將制止某項(xiàng)

6、效勞。執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的效勞，除非管理員對(duì)某種效勞明確表示制止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下制止所有的效勞，除非管理員對(duì)某種效勞明確表示允許。防火墻可以施行一種寬松的策略第一種，也可以施行一種限制性策略第二種，這就是制定防火墻策略的入手點(diǎn)。一個(gè)站點(diǎn)可以把一些必須的而又不能通過(guò)防火墻的效勞放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。五、設(shè)計(jì)時(shí)需要考慮的問(wèn)題為了確定防火墻設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)策略的防火墻，應(yīng)從最平安的防火墻設(shè)計(jì)策略開(kāi)始，即除非明確允許，否那么制止某種效勞。策略應(yīng)該解決以下的問(wèn)題：需要什么效勞；在哪里使用這些效勞；是否應(yīng)當(dāng)支持撥號(hào)入網(wǎng)和加密等效勞；提供這些效勞的風(fēng)險(xiǎn)是什么；假設(shè)提供這種保護(hù)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響，這些影響會(huì)有多大，是否值付出這種代價(jià)；和可用性相比，站點(diǎn)的平安性放在什么位置。六、防火墻的缺乏防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問(wèn)權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會(huì)工程攻擊一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞平安的信息。另外，一些用來(lái)傳送數(shù)據(jù)的 線很有可能被用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。雖然如今有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來(lái)。而且，這些惡意程序不僅僅來(lái)自網(wǎng)絡(luò)，也可