| 防火墙由的构成(一)(图) |
|
|
| 本站专稿 重庆金桥 2002-01-08 |
防火墙最基本的构件既不是软件也不是硬件,而是构造防火墙的人的思想。
尽管防火墙有各种不同的类型,但所有的防火墙都有一个共同的特征:基于源地址基础上的区分或拒绝某些访问的能力。
当您创建防火墙时,您必须要决定您的防火墙允许或不允许哪些传输信息从Internet传到本地网或从别的部门传到一个被保护的部门。您可以用一种能够屏蔽被选择的数据包从而控制传输信息、并可以在您现有主机上运行的proxy软件来控制传输信息。事实上,当您的需要变得更复杂时,您可以设计包括两种设置的防火墙。换句话说,您最好在防火墙里同时使用路由器和代理服务器,只有这样才能保护您网络的安全性。
3三种最流行的防火墙分别是:双主机防火墙,主机屏蔽防火墙,子网屏蔽防火墙。主机屏蔽和子网屏蔽防火墙是把路由器和代理服务器结合使用的。而双主机防火墙是使用两块独立的网卡。下面我将详细介绍3种最流行的防火墙。
1.双主机防火墙
双主机主防火墙是一种简单且非常安全的配置。在双主机防火墙中您应把一台主机作为本地网和Internet之间的分界线。这台计算机使用两块独立网卡把每个网络连接起来。当您使用双主机主防火墙时,您必须使主机的路由功能无效,这样,计算机就无尝通过软件把两个网络连接起来。
双主机防火墙配置的最大缺点是,用户很容易意外地使内部路由有效,并攻破防火墙,图1显示了双主机防火墙的配置实例。
图1 双主机防火墙
双主机防火墙是运行一组应用层代理软件或链路层代理软件来工作的。 proxy软件控制数据包从一个网流向另一个网。因为主机是双主机(连接两个网络),这时防火墙可以观测到两个网络上的数据包。防火墙运行 proxy软件来控制两个网络上的传输信息――两个本地网或一个本地网和Internet。
我们知道,网络使用双主机防火墙时,安全性中最重要的是您必须使主机内部路由无效。随着路由的无效,数据必须穿过阻塞点,应用层是在网络或网段之间的唯一路径。网段可以是网络中的任何部分,在某种意义上是自我包含,例如,您必须把您的办公网分成销售段和补充段,并用路由器或防火墙把这两段分开。
然而,您如果在主机内能使标准开放的内部路由有效,防火墙将变得无用。例如,如果您通过设置主机的内部路由使IP向前,数据则容易避开双主机防火墙应用层的作用。图2表示了没有使路由无效时,使用双主机的危险性。
图2 数据避开双主机防火墙
在Unix环境运行的网络对双主机主防火墙固有的危险性特别敏感。一些Unix变量(著名的 Berkeley Unix)缺省时使路由能力有效。因此在基于Unix的网络中,您必须验证操作系统已经使在双主机防火墙中的所有路由无效。如果操作系统没有使路由能力无效,那么您必须在防火墙机器内重新配置并重建Unix核心以保证操作系统使路由能力无效。
|
|
|
|
|
 |
|
|
|
|
|
|
|
