腾讯分分彩是干什么的|腾讯分分彩有人控制没
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
 
首页 网站案例 高端邮箱 虚拟主机 域名服务 服务报价 联系我们
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
用户名:
密  码:
  管理登录】【手机登录
首页 >> 网站建设知识 >> 详细内容  
服务器安全技术之防火墙技术


服务器安全技术之防火墙技术
 
    防火墙技术
    防火墙作为内网与外网之间的屏障,简化了内网的安全管理,其作用越来越受到网站管理人员的重视,几乎成为网站必备的安全措施,下面分别讲述防火墙的概念、分类和配置方面的知识。
    (1)防火墙的概念和功能
    防火墙是指在两个网之间的一个组件和系统的集合体,集合体对系统穿透具有很强的抵抗力,使所有内外网之间的通信流都必须通过它,并且只有那些被本地安全策略定义并被授权的通信流才可以通过。
    防火墙可以具有以下功能?#21644;?#36807;包过滤,可以在其上实现网络安全策略,控制通过它的通信流;通过网络地址转换,可?#20113;簾文?#37096;网络结构,提高内网的保密性;实现审计和报警机制;其他功能,如虚拟专用网、代理、统计、计费、远程管理和一些特定功能等。
    防火墙的特点是能定义安全策略,阻止未被授权的访问等。
    (2)分类
    随着技术的发展,防火墙技术也在不断发展,到今天,防火墙的分类和功能也在不断细化,但总的来说,可以分为以下三大类:包过滤防火墙、应用级防火墙和正在发展中的监测型防火墙。
    ①包过滤防火墙。又叫网络级防火墙,因为工作在网络层。一般是通过检查单个包的地址、协议、端口等信息来决定是否允许数据包通过。路由器便是“传统”的网络级防火墙。网络级防火墙工作依据是网络中的分包传输技术,即网络上的数据被分割成为一定大小的数据包传递,以提高整体的传输效率。在每一个数据包中都会包含报头,报头中包含了一些基本的传输所用的信息,如源地址、目标地址、TCP/UDP源端口和目标端口等。网络级防火墙通过读取这些数据包中的地址信息来判断这些“包”是否来自可信任的站点,而一旦发现来自于可信任站点之外的数据包,防火墙便会将其过滤掉。
    包过滤技术的优点是简单实用,容易理解,而且实现成本?#31995;停?#23454;?#20013;式?#39640;。在应用环境比较简单的情况下,能够?#36234;?#23567;的代价在一定程度上保证系统的安全性。但是网络级防火墙对网络的保护很有限,因为只检查地址和端口,对网络更高协议层的信息无理解能力,因此攻击者可以利用此弱点对系统进行破坏。
    ②应用级防火墙。应用级防火墙能够检查进出的数据包,透视应用层协议,与既定的安全策?#36234;?#34892;比较。该类型防火墙能够进行更加细化复杂的安全访问控制,并做精细的注册和稽核。根据是否允许?#35762;?#36890;信主机直接建立连接,又可以分为网关和代理两种。网关允许?#35762;?#24314;立直接连接,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包。而代理要通过特定的代理程序在?#35762;?#20027;机间复制传递数据,不允许建立直接连接。这两种应用都需要相应的代理软件,因而使用时防火墙负载较大,效率不如网络级防火墙。
  ③监测型防火墙。正在发展中的新一代产品是监测型防火墙,这一技术实际已经开始超越最初的防火墙定义。防火墙的最大缺点就是被动防范,而检测型防火墙不是这样,它能够对各层的数据进行主动的、实时的监测,可以对各层数据进行分析,能够有效地判断高层中的(应用层的)非法侵入。同?#20445;?#36825;种检测型防火墙产品一般还带有分布式的?#35762;?#22120;,安置在各种应用服务器?#25512;?#20182;的网络节点之中,不仅能够检测来自网络外部的攻击,而且对来自内部的恶意破坏也有很强的防范作用。
  上面的分类是对防火墙原理而言,现在有些防火墙同时使用上面的几种技术,以提高其安全性。
    (3)常用防火墙配置方案
    根据网络安全性要求的高低,可以采用不同的配置方案。不同方案之间配置的复杂程?#21462;?#35774;备的成本和由此所带来的网络的安全性有极大的差别。下面分别介绍几种经典的配置方案。
    ①数据包过滤路由器。最普通的互联网防火墙配置方案是在内部网络和互联网之间放置数据包过滤路由器。数据包过滤路由器具有执行网络间转发通信并利用数据包过滤规则,许可或拒绝通信的典型路由选择功能。
  这种配置方案具有价格便宜和对用户透明等优点,但也具有明显的不足之处?#21644;?#19979;面两种方案相比,它最容易暴露在攻击之下,只要突破一层限制就可咀到达内部网;一旦被入侵者渗透后,内部网上的每个系统都将受?#25509;?#21709;。
    与这种配置相似的还有一种叫做双穴主机防火墙。双穴主机放在与上面包过滤路由器相同的位置,在主机上放两块网卡,一个连接外网,一个连接内网,两块网卡间不直接通信,而是用一个代理软件相连,可以在代理软件上设置相应的安全策略。
    ②屏蔽主机防火墙。对这种防火墙系统而言,堡垒主机配置在内部网上,从互联网到堡垒主机的数据包要先经过包过滤路由器的过滤,?#21592;?#22806;部系统能够只?#21592;?#22418;主机进行访问。内部系统可以直接访问互联网,但更多的是要求在堡垒主机上使用代理服务。
    显然,这一防火墙系统提供的安全等级比前一个高,由于外部访问先经过包过滤路由器,而且只能直接访问堡垒主机,不能到达内部网,在攻击内部网的安全性之前,入侵者不得不首先渗透两个单独?#21335;?#32479;。即使堡垒主机被攻破,对内部网的损害也很小。
  但由于堡垒主机在内部网络中,如果攻击者渗透了外部路由器之后,内部网将处于不安全的状态中。
  ③屏蔽子网防火墙。这种配置方案采用两个路由器:一个外部路由器,一个内部路由器。两个路由器之间形成小型独立的网络,通常称为停火区或非军事区。堡垒主机、信息服务器、调制解调器和公用服务器放置在停火区中。一般而言,互联网?#31995;南?#32479;和内部网?#31995;南?#32479;能够只访问停火区中有限数量?#21335;?#32479;,而不能跨越停火区直接通信传输。
该防火墙系统具有最高的安全性,因为它提供了三道安全防线,对于进来的信息,外部路由器防止典型的外?#25239;?#20987;(源IP地址伪装、源路由选择攻击等).井管理停火区中网络的互联网访问。它允许外部系统只访问堡垒主机(也可能是信息服务器)。堡垒主机一般都具有相当的抗渗透性,即使堡垒主机被攻破,还有内部路由器提供最后一道防线。
    由于外部路由器只将停火区发布到互联网上,所以互联网?#31995;南?#32479;没有通向被保护的内部网的路由。这样,网站管理员就可以确保“屏蔽”内部网,只有停火区上选定?#21335;?#32479;才能在互联网上通过路由表和DNS信息?#25442;?#30475;到。另一方面,由于内部路由器只将停火区发布到内部网上,所以内部网?#31995;南?#32479;没有通向互联网的直接路由,确保T内部用户必须通过驻留在堡垒主机上的代理服务访问互联网。
    尽管防火墙在防御外?#25239;?#20987;时被认为是简单高效的,但并不能保证系统的绝对安全,毕竟目前的防火墙还只是被动防范。而且,根据国际计算机安全协会的统计,在所有发生的?#22336;?#20107;件中,有80%来自防火墙内部,目前,架设在某独立网络与互联网之间的防火墙对来自内网的入侵者还无能为力,所以,防火墙只是维护网络安全的必备措施,不能片面依靠它。实践证明,只有提高网管人员的安全意识和防?#31471;?#24179;,才能保证同站安全的可靠性。

 

网站建设套餐
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
域名1个、100M空间
制作10个静态页面
简单型产品发布系统
送在线统计一个
免费维护一年……
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
1G邮箱、200M网站空间
制作15个精美页面
含新闻产品数据库
CDN全球镜像加速
免费维护一年
免费推广到百?#21462;?/td>
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站制作,昆明网站设计,昆明网络公司,昆明网站建设
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
1G高端企业邮箱20用户
500M顶级虚拟主机
增强型数据库功能
SEO关键词一组
CDN全球镜像加速
免费维护一年……
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
高端企业邮箱
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
重要邮箱短信提醒
全球邮件转发
反垃圾防病毒
电子传真
邮件监控
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
昆明企业邮箱,昆明网站制作,昆明网站设计,昆明网络公司
高端虚拟主机
昆明网站建设,昆明企业邮箱,昆明空间域名注册,昆明网站设计,昆明网络公司
顶级高速六线路机房
完善的数据备份系统
防攻击,防黑客
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
昆明网站建设,昆明网站制作,昆明网站设计,昆明网络公司
 
昆明家装公司 昆明家装 昆明侦探 昆明英语培训学校 昆明少儿英语培训 昆明英语培训班 昆明酒店用品公司 上海移民中介公司 昆明日语培训机构 昆明日语培训 昆明法语培训
昆明泰语培训班 贵阳丝足 昆明私家侦探公司 昆明私家侦探 昆明公关活动公司 贵阳私家侦探 昆明日语培训班 西安收账公司 贵阳丝足会所 贵阳纹身 昆明收账
昆明追债公司 老赖克星 成都收账公司 金鼎收账 昆明工商注册 西安讨债公司 西安追债公司 昆明风机 昆明婚车 昆明英语培训 昆明丝足会所
昆明货架 昆明货架厂 合法清债公司 云南私家侦探 莫凡侦探 成都专业收账 云南租车 昆明代理记账 成都老赖克星 昆明租车
关于我们 | 联系我们 | 资讯中心 | 网站建设 | 网络营销 | 工作机会 | 付款方式 | 网站地图 | RSS订阅
版权所有:昆明双鼎文化传播有限公司 2005-2010  All Rights Reserved.
商务一部服务热线:6422460 ?#21335;?#29983;       商务一部咨询QQ:512744461
商务二部服务热线:5309908 卞小姐       商务二部咨询QQ:65523411
电话:0871-5309908   传真:0871-5309908   咨询信箱:[email protected]     
地址:昆明市大观商城大观街52号-503  邮编:650021    滇ICP备08015125号
腾讯分分彩是干什么的 北京pk计划软件手机免费版 营长每天四胆 时时彩20分钟开奖 经典单机斗地主免费版 晴天棋牌 福彩3d内部包中 3d一胆多少钱 pk10七码两期一收技巧 天天助手彩票计划软件 时时彩平台排行