网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络安全预防措施

网络学堂二十三:防火墙技术及设计(4)

  与透明模式在称呼上相似的”透明代理“,和传统代理一样,可以比包过滤更深层次地检查数据信息。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。

  防火墙使用透明代理技术后,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通信。当内部网络用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便了用户的使用。

  一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数,如在浏览器中有专门的设置来指明HTTP或FTP协议所使用的IP地址和端口等。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。

  防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。

  8、屏蔽路由器

  屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现,而且不能识别不同的用户。

  9.阻塞路由器

  阻塞路由器也称为”内部路由器“,它保护内部网络使之免受外部网络的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。这些服务是用户的站点能使用数据包过滤,而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机和内部网之间服务可以不同于内部路由器所允许的在外部和内部网之间的服务。

  10、 隔离域名服务器(Split Domain Name Server )

  这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。

  11、 邮件转发技术(Mail Forwarding)

  当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。 

  12、 状态监视器(StatefulInspection):
 
  状态监视器作为一个最新的防火墙技术,其安全特性最佳。它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其它安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测RemoteProcedureCall和User DatagrqamProtocol类的端口信息。其缺点是配置非常复杂,而且会降低网络的速度。

7

  二、几种典型的防火墙设计

  在防火墙已走过的历史中,主要出现过以下几种设计结构模式,它们各自代表着相应时期的防火墙技术。

  1、屏蔽路由器模式

(责任编辑:admin)