防火墙的架构与工作方式
应用科技
防火墙的架构与工作方式
王长征
(曲阜师范大学日照校区计算机科学学院,山东日照276826)
喃鞫防火墙可以使用户的网络攫刘乏加清晰明了,全面防止≯擎越权限的数据访问(因为有些人登录后的第一件事就是试匿超越权限限制)。如果没有防火墙的话,你可能会接到许许多多类似这样的报告,比如单位内部的财务掘告刚刚被数万个E嫩il由p件炸烂。或者用户的
个人主页被人恶意连接到了Playboy。而报告链接E却指定了另一家色情网站。
碍撇】防火墙;路由器;服务器
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是—个多端口的IP路由器,它通过对每一个到来的IP包依
据组规则进行检查来判断是否对之进行转发。屏蔽路由器从IP包的包
头取得信息,例如f揪号、收发报文的IP地址和端口号、连接标志以
至另外一些lP选项,对IP包进行过滤。
代理服务器是防火墙中的一个服务器进程,它能够代替网络用户
完成特定的TCP/IP功能。—个代理服务器本质上是一个应用层的网关,
一个为特定网络应用而连接两个网络的网关。用户就一项TCP/lP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用
户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及t^证信息后,代理自爱务器接通远程主机,为2个通信点充当中继。整个
过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户
级的认证。最简单的认证是:它只由用户标识和口令构成。但是,如果
防火墙是通过Internet来访问的,应推荐用户使用更强的认证机制,例如一次性口令或回应式系统等。
屏蔽路由器的最大优点就是架构简单且硬件成本较低,而缺点则
是建立包过滤规Ⅲ0比较困难,加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。代理目睫务器的优点在于用户级的身份认证、日志记录和
账号管理。其缺点是要想提供全面的安全保证,就要对每一项服务都建
立对应的应用层网关。这个事实严重地限制了新应用的使用。屏蔽路由器和f镪堇月艮务器通常组合在—起构成混合系统,其中屏蔽路由器主要用来防止IP欺骗攻击。目前采用最广泛的配置是Dualhomed防火墙、
被屏蔽主机型防火墙以及被屏蔽子网型防火墙。通常架设防火墙需要数
-T--甚至上万美元的投入,而且防火墙需要运行于一台独立的计算机E,因此只用一台计算机连入互联网的用户是不必要架设防火墙的,使用一般的个人防火墙即可。
防火墙用来保护由许多台计算机组成的大型网络,这也是黑客高
手们真正感兴趣的地方。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是—样,都是监测并过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来通讯发生的时间和操作等等,新—代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。当用户将单位内部的局部网连
入互联网时,肯定不愿意让全世界的人随意翻阅你单位内部人员的工资
单、各种文件资料或者是数据库,但即使在单位内部也存在数据攻击的可能性。例如一些心怀叵测的电脑高手,可能会修改工资表和财务报告。而通过设置防火墙后,管理员就可以限定单位内部员工使用E—
mail、浏览\^^^n^/以及文件传输,但不允许外界任意访问单位内部的计算机,同时管理员也可以禁止单位中不同部门之间互相访问。
将局部网络放置防火墙之后可以阻止来自外界的攻击。而防火墙通常是运行在一台单独的计算机之七的一个特别的软件,它可以识别并屏蔽非法的请求。例如一台WWW代理服务器,所有的请求都间接地
由代理服务器处理,这台服务器不同于普通的代理服务器,它不会直接
地处理请求,它会验证请求发出者的身份、请求的目的和请求内容。如果一切符合要求的话,这个请求会被批准送到真正的W\^Mf服务器上。当真正的W\^M『且民务器处理完这个请求后并不会直接把结果发送
给请求者,它会把结果送至0代理服务器,代理服务器会按照事先的规定
真正地送到请求者的手里。
既然没有办法阻止黑客的产生,那么只有加强对黑客的防范,也就是采取一些措施来尽可能减少黑客对网络计算机的威胁,减少数据的
损失。在全球信息化的网络安全危机逐渐蔓延的时候,有人提出了一个
概念,即采用某种验证机制或者加密的办法来对那些需要保护的计算机数据进行加密,并结合某些身份验证方法来对付那些黑客,从而保证重
要数据资料的安全。这个概念一经提出,立刻得到了广泛的支持,许多大型企业纷纷投资开发这种网络安全设备,这种设备被命名为防火墙。防火墙的位置处在内网和外网之间,它起到的作用就是把内网和外网隔离开,但不是绝对的隔离,而是半开放的,对符合身份验证的人是透明
的,对那些身份不明的采客是完全拒绝的。同时,它还可以根据用户身份的类别来限制用户访问的区域。这个工作原理类似于—个大门,而防
火墙起到警卫的作用,他首先要检查每个进入的人,确定他们的身份,也就是说确定他们是员工还是陌生人,如果是员工,按照员工的身份确
定他们能够访问的区域,如果是陌生人,则要看他是否持有合法的邀请,合法的邀请是麓够进^的,但是要受到访问区域的限制,如果没有
合法的邀请,只能拒绝他进八。
[参考文献】
11】1潘志翔,岑进锋黑客攻防编程解析fMl北京:机械工业出版{{L2003.
f2】谢希仁.计算柯网络(第四版)fMl.北京:电子T业出版丰t,2005.
13】楚狂等网络安全与防火墙技术fM】一E京:人民邮电出版社,2000.
f41李秉键.浅谈分布式防火墙Ⅱ1网络安全技术与应用,2005.
t罗万伯等泽北京:机械工业出版社姗slwilliaml王_,Chesw
ick,StevenM。Bdlovio.
n.防火墙与因特网安全fMl.戴宗坤检查这个结果是否违反了安全规定,当这—切都通过后,返回结果才会