3.2防火墙技术
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewell已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
•包过滤技术 包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
•应用网关技术 是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
•代理服务技术 代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
•限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
•后门服务的可能性 防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SLIP或PPP连接在本质上是基他网络的连接点和潜在后门。
•其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特络依木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。
3.3基于LAN的安全技术
从共享到交换,增强系统的扩展性
取消共享式HUB,代替为SWITCH,是系统的体系结构可扩充到每秒处理百万数据包。
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewell已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
•包过滤技术 包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
•应用网关技术 是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
•代理服务技术 代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
•限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
•后门服务的可能性 防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SLIP或PPP连接在本质上是基他网络的连接点和潜在后门。
•其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特络依木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。
3.3基于LAN的安全技术
从共享到交换,增强系统的扩展性
取消共享式HUB,代替为SWITCH,是系统的体系结构可扩充到每秒处理百万数据包。
下一篇:移动数字电视相关技术研究(四)上一篇:网络安全技术论述(三)
责任编辑:DVBCN编辑部
为您推荐
2005沈阳国际数字电视广播通信网络展会
一、展会背景介绍数字电视是我国电视领域采用的最新先进技术。从节目制作、编辑到传输、播放、接收均采用数字技术,与现正在使用的模拟技术相比,具有清晰度高、存储方便快捷、信号稳定、可与用户互动等优点。2004年是国家广电总局确定的数字电视发展元年,2015年全国将停播模拟电视信号,取而代之的就是数字信号。东北地区计划在2010年前完成电视数字化进程,工程浩大、任务艰巨、影响深远。东三省广电局为加快数字电视发展,于2005年6月16日至19日在沈阳国际会展中心举办了“2005沈阳国际数字电视广播通信网络展览会”。电视台、数字电视和电视节目与大众生活息息相关。由于受益群体非常之大,观众的参观热情要高于房
NGN:具备全业务能力的完美网络
张雪丽下一代网络(NGN)是个有能力提供全业务的网络,包括话音、数据、视频、流媒体、Internet接入、数字TV广播、移动等各种带宽、有线和无线的业务及应用,并提供开放的业务接口,允许多种业务提供商构建和提供业务。从用户的角度看,NGN包含现有业务环境提供的所有电信业务和应用。从技术的角度看,NGN涉及电信技术、计算机技术、安全技术、电子应用技术、广播技术等多种技术手段。NGN网络可以为用户提供语音、数据、视频等多媒体业务和应用。从严格意义上讲,“业务”和“应用”是不同的。业务是网络中的功能模块,应用是在网络业务的基础上开发的,它不是网络内的组成成分,但它是终端用户可以使用的能力集,例如可视
