1、淺析防火墻體系構造和設計摘要：網(wǎng)絡平安已成為人日益關心的問題。網(wǎng)絡防火墻技術作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的第一道平安屏障，其中要作用是在網(wǎng)絡入口外檢查網(wǎng)絡通信，更具用戶設定的平安規(guī)那么，在保護內(nèi)部網(wǎng)絡平安的前提下，保障內(nèi)外網(wǎng)絡通信，提供內(nèi)部網(wǎng)絡的平安。關鍵詞：內(nèi)部網(wǎng)絡；外部網(wǎng)絡；平安一、防火墻功能概述防火墻是一個保護裝置，它是一個或一組網(wǎng)絡設備裝置。通常是指運行特別編寫或更改正操作系統(tǒng)的計算機，它的目的就是保護內(nèi)部網(wǎng)的訪問平安。防火墻可以安裝在兩個組織構造的內(nèi)部網(wǎng)與外部的internet之間，同時在多個組織構造的內(nèi)部網(wǎng)和internet之間也會起到同樣的保護作用。它主要的保護就是加強外部inte

2、rnet對內(nèi)部網(wǎng)的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其他不允許的連接。防火墻只是網(wǎng)絡平安策略的一部分，它通過少數(shù)幾個良好的監(jiān)控位置來進展內(nèi)部網(wǎng)與internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)那么過濾，實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術的。防火墻的主體功能歸納為以下幾點：根據(jù)應用程序訪問規(guī)那么可對應用程序連網(wǎng)動作進展過濾；對應用程序訪問規(guī)那么具有自學習功能；可實時監(jiān)控，監(jiān)視網(wǎng)絡活動；具有日志，以記錄網(wǎng)絡訪問動作的詳細信息；被攔阻時能通過聲音或閃爍圖標給用戶報警提示。防火墻僅靠這些核心技術功能是遠遠不夠的。核心技術是根底，必須在這個根底

3、之上參加輔助功能才能流暢的工作。而實現(xiàn)防火墻的核心功能是封包過濾。在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的平安見圖1。二、防火墻主要技術特點應用層采用insk2spi進展網(wǎng)絡數(shù)據(jù)控制、過濾；核心層采用ndishk進展控制，尤其是在inds2000下，此技術屬微軟未公開技術。此防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用insk2spi；二是核心層封包過濾，采用ndis_hk。insk2spi工作在api之下、driver之上，屬于應用層的范疇。利用這項技術可以截獲所有的基于sket的網(wǎng)絡通信。采用i

4、nsk2spi的優(yōu)點是非常明顯的：其工作在應用層以dll的形式存在，編程、測試方便；跨inds平臺，可以直接在inds98/e/nt/2000/xp上通用，inds95只需安裝上insk2fr95，也可以正常運行；效率高，由于工作在應用層，pu占用率低；封包還沒有按照低層協(xié)議進展切片，所以比較完好。而防火墻正是在tp/ip協(xié)議在inds的根底上才得以實現(xiàn)。在構筑防火墻保護網(wǎng)絡之前，需要制定一套完好有效的平安策略，這種平安策略一般分為兩層：網(wǎng)絡效勞訪問策略和防火墻設計策略。三、網(wǎng)絡效勞訪問策略網(wǎng)絡效勞訪問策略是一種高層次的、詳細到事件的策略，主要用于定義在網(wǎng)絡中允許的或制止的網(wǎng)絡效勞，還包括對撥

5、號訪問以及slip/ppp連接的限制。這是因為對一種網(wǎng)絡效勞的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。網(wǎng)絡效勞訪問策略不但應該是一個站點平安策略的延伸，而且對于機構內(nèi)部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到挪動介質(zhì)的管理。四、防火墻的設計策略防火墻的設計策略是詳細地針對防火墻，負責制定相應的規(guī)章制度來施行網(wǎng)絡效勞訪問策略。在制定這種策略之前，必須理解這種防火墻的性能以及缺陷、tp/ip自身所具有的易攻擊性和危險。防火墻一般執(zhí)行以下兩種根本策略中的一種：除非明確不允許，否那么允許某種效勞；除非明確允許，否那么將制止某項

6、效勞。執(zhí)行第一種策略的防火墻在默認情況下允許所有的效勞，除非管理員對某種效勞明確表示制止。執(zhí)行第二種策略的防火墻在默認情況下制止所有的效勞，除非管理員對某種效勞明確表示允許。防火墻可以施行一種寬松的策略第一種，也可以施行一種限制性策略第二種，這就是制定防火墻策略的入手點。一個站點可以把一些必須的而又不能通過防火墻的效勞放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。五、設計時需要考慮的問題為了確定防火墻設計策略，進而構建實現(xiàn)策略的防火墻，應從最平安的防火墻設計策略開始，即除非明確允許，否那么制止某種效勞。策略應該解決以下的問題：需要什么效勞；在哪里使用這些效勞；是否應當支持撥號入網(wǎng)和加密等效勞；提供這些效勞的風險是什么；假設提供這種保護，可能會導致網(wǎng)絡使用上的不方便等負面影響，這些影響會有多大，是否值付出這種代價；和可用性相比，站點的平安性放在什么位置。六、防火墻的缺乏防火墻不能防止內(nèi)部的攻擊，因為它只提供了對網(wǎng)絡邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防止像社會工程攻擊一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞平安的信息。另外，一些用來傳送數(shù)據(jù)的 線很有可能被用來入侵內(nèi)部網(wǎng)絡。雖然如今有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網(wǎng)絡，也可