网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　包过滤路由器的局限性在于定义包过滤是个复杂的工作，网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解：面对复杂的过滤需求，过滤规则将是一个冗长而复杂、不易理解和管理的集合，同样也很难测试规则的正确性;任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击;随着过滤数目的增加，将降低路由器包的吞吐量，同时耗费更多CPU的时间而影响系统的性能;再者IP包过滤难以进行行之有效的流量控制，因为它可以许可或拒绝一个特定的服务，但无法理解一个特定服务的内容或数据。

　　2、应用层网关

　　应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码(一个代理服务)，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关(bastion host)。

　　应用层网关安全性的提高是以购买同关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

　　应用层网关的好处，在于它授予网络管理员对每一个服务的完全控制权，由代理服务限制了命令集合和哪一台内部主机支持相应的服务。同时，网络管理员对支持哪些服务可以完全控制。另外，应用层网关支持强的用户认证、提供详细的日志信息、以及较包过滤路由器更易于配置和测试的过滤规则。

　　当然，应用层网关的最大的局限性在于它需要用户或者改变其性能，或者在需要访问代理服务的系统上安装特殊的软件。

　　3、链路层网关

　　链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。

　　基于防火墙构建安全网络的基本原则

　　在进行防火墙设计过程中，网络管理员应考虑的问题为：防火墙的基本准则：整个企业网的安全策略;防火墙的财务费用的预算;以及防火墙的部件或构建块。

　　1、防火墙的基本准则

　　防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则：

　　其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。

　　其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网安全性的难度。

　　2、企业网的安全策略

　　在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。

　　3、防火墙的费用

　　简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。

　　至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。

　　因而，防火墙的配备是需要相当的费用，如何以最小的费用来最大限度地满足企业网的安全需求，这将是企业网决策者应该周密考虑的问题。

　　结束语

　　当然，防火墙本身也有其局限性，即不经过防火墙的入侵，防火墙则是无能为力的，如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户，则会造成安全隐患。此时，为了保证安全性，防火墙代理服务器在使用到ISP的SLIP和PPP连接时，需要附加一些新的权限条件。同时，硬件方式构建的防火墙，如： PIX 520，其不够灵活的问题也是固化防火墙的共同问题，所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取相应的安全策略。