防火墻技術(shù)淺析

2013-10-14 16:27:25 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

防火墻概念作為現(xiàn)代技術(shù)層面上非常好的一個(gè)網(wǎng)絡(luò)安全屏障，防火墻是由硬件和軟件設(shè)備組合而成的，人們往往將其設(shè)置在受保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間從而可以實(shí)現(xiàn)對網(wǎng)絡(luò)的保護(hù)。在設(shè)計(jì)防火墻系統(tǒng)的過程中，阻塞點(diǎn)

3.2代理服務(wù)技術(shù)

    Proxy Server是實(shí)現(xiàn)安全的一種非常重要的功能，它主要工作在開放系統(tǒng)互聯(lián)模型的對話層，是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。它的工作模塊是基于軟件形式的，但是它和過濾數(shù)據(jù)包的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式還是有一些不同的地方，它大多被用來實(shí)現(xiàn)網(wǎng)絡(luò)之間的互連。

    通常，我們使用網(wǎng)絡(luò)瀏覽器直接去連接其他網(wǎng)絡(luò)站點(diǎn)來獲取網(wǎng)絡(luò)信息的時(shí)候，我們直接連接到想要達(dá)到的站點(diǎn)的服務(wù)器，然后通過該服務(wù)器把我們想要得到的信息傳送回來。代理服務(wù)器的功能介于客戶端和Web服務(wù)器之間，通過它的使用，使得瀏覽器可以直接向代理服務(wù)器發(fā)出請求，而不需要再到Web服務(wù)器中取回網(wǎng)頁。

    就像一個(gè)高速緩沖存儲(chǔ)器一樣，大部分代理服務(wù)器也具備緩存功能，并且具有足夠存儲(chǔ)空間，源源不斷將最新獲得的數(shù)據(jù)存儲(chǔ)到本機(jī)的存儲(chǔ)器上，如果瀏覽器所想要得到的數(shù)據(jù)已經(jīng)出現(xiàn)在本機(jī)的存儲(chǔ)器上并且被存儲(chǔ)器更新，那么它就停止從Web服務(wù)器上繼續(xù)獲得數(shù)據(jù)，而是將存儲(chǔ)器上的數(shù)據(jù)直接傳送給用戶的瀏覽器，從而使得瀏覽速度和效率都獲得顯著的提高。

3.3應(yīng)用層網(wǎng)關(guān)（ALG）

    應(yīng)用層網(wǎng)關(guān)也叫應(yīng)用層防火墻或應(yīng)用層代理防火墻，通常被描述為第三代防火墻。當(dāng)受信任網(wǎng)絡(luò)上的用戶打算連接到不受信任網(wǎng)絡(luò)上的服務(wù)時(shí)，該應(yīng)用被引導(dǎo)至防火墻中的代理服務(wù)器。由于在代理服務(wù)中，內(nèi)外各個(gè)站點(diǎn)之間的連接被切斷了，都必須經(jīng)過代理方才能相互連接，所以說代理服務(wù)器可以偽裝成網(wǎng)絡(luò)上實(shí)際的服務(wù)器而不會(huì)被察覺。它可以對請求進(jìn)行評估，并根據(jù)一套單個(gè)網(wǎng)絡(luò)服務(wù)的規(guī)則決定允許或拒絕該請求。應(yīng)用層網(wǎng)關(guān)代理防火墻工作原理如圖1所示。

3.4網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

    網(wǎng)絡(luò)地址轉(zhuǎn)換屬接入廣域網(wǎng)（WAN）技術(shù)，是一個(gè)Internet工程任務(wù)組標(biāo)準(zhǔn)，通過該技術(shù)的使用，我們可以將私有（保留）地址轉(zhuǎn)化為合法的IP地址。它在多種不同類型Internet接入方式和多種不同類型的網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，它可以使得具有特定功能的網(wǎng)絡(luò)上使用特定地址段的多臺(tái)PC可以實(shí)現(xiàn)對單個(gè)或全局路由的IPv4地址的共享，即它支持網(wǎng)絡(luò)上的一個(gè)單一的地址對一個(gè)單一機(jī)構(gòu)的代理。通過NAT的使用，不僅增加了IP地址使用的寬度，而且能夠?qū)?nèi)、外網(wǎng)絡(luò)實(shí)現(xiàn)很好的隔離作用，從而使得網(wǎng)絡(luò)安全得到了保障。

    NAT設(shè)備具有如下的功能：它可以實(shí)現(xiàn)對一個(gè)狀態(tài)表的維護(hù)，該狀態(tài)表可以實(shí)現(xiàn)將內(nèi)部IP地址映射到合法IP地址上的功能。同時(shí)，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包經(jīng)過NAT設(shè)備以后將會(huì)被翻譯成正確的IP地址并被發(fā)往下一級。NAT設(shè)備會(huì)對經(jīng)過的數(shù)據(jù)包的包頭信息進(jìn)行相應(yīng)的修改，從而將原本用于網(wǎng)絡(luò)中的地址修改為專屬于NAT設(shè)備的網(wǎng)絡(luò)地址。

    3.5安全服務(wù)器網(wǎng)絡(luò)（SSN）

    為了能夠?qū)崿F(xiàn)逐年增加的用戶在使用網(wǎng)絡(luò)信息時(shí)對網(wǎng)絡(luò)安全進(jìn)行保護(hù)的要求，在設(shè)計(jì)出的最新防火墻技術(shù)中，我們將實(shí)現(xiàn)對用戶上網(wǎng)的分別保護(hù)，它功能的實(shí)現(xiàn)主要依賴于它利用一張網(wǎng)卡實(shí)現(xiàn)對外服務(wù)器功能的分割處理，使得對外服務(wù)器既處于內(nèi)部網(wǎng)絡(luò)中，又不與內(nèi)部網(wǎng)關(guān)有任何的接觸。這種技術(shù)被稱為安全服務(wù)器網(wǎng)絡(luò)（SSN）技術(shù)，通過該技術(shù)的使用，我們既可以分別處理服務(wù)器網(wǎng)絡(luò)上的主機(jī)，也可將其轉(zhuǎn)換成FTP，Telnet的形式并從內(nèi)部網(wǎng)上進(jìn)行處理。

    4 結(jié)語

    防火墻技術(shù)是現(xiàn)今非常重要的一種網(wǎng)絡(luò)安全技術(shù)，它簡單實(shí)用，透明度高，可被用于消除當(dāng)前網(wǎng)絡(luò)通信以及資源共享過程中遇到的種種安全威脅，對提高網(wǎng)絡(luò)通信的安全性以及保密性具有非常重要的作用。隨著計(jì)算機(jī)技術(shù)的發(fā)展，防火墻技術(shù)的研究將會(huì)變得越來越重要，也會(huì)越來越受到廣大網(wǎng)絡(luò)用戶的關(guān)注和青睞。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊