防火墙系列连载之六—数据包精密过滤器的技术
网络安全策略的一个目标就是要提供一个透明机制,以便这些策略不会对用户产生障碍。因为包过滤工作在OSI模型的网络层和传输层,而不是在应用层,这种方法一般来说比防火墙方法更具透明性。记住防火墙是工作在OSI模型的应用层的,在这一层的安全措施不应成为透明的。
由器可以利用包过滤作为手段来提高网络的安全性。过滤功能也可以由许多商用防火墙产品来完成,或由基于软件的产品,如Karlbrige基于PC的精密过滤器来完成。许多商业路由器都可以通过编程来执行过滤功能。路由器制造商,如Cisco、3Com 、Newbridge 、ACC等提供的路由器都可以通过编程来执行包过滤功能。
1. 包过滤和网络策略
包过滤可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说明被保护的源和服务的类型、它们的重要程度和这些服务要保护的对象。
一般来说,网络安全策略主要集中在阻截入侵者,而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据,而不是阻止内部用户使用外部网络服务。这种类型的网络安全策略决定了过滤路由器应该放在哪里和怎样通过编程来执行包过滤。一个好的网络安全策略还应该使内部用户难以危害网络的安全。
2.一个简单的包过滤模型
包通常置于一个或多个网段之间,如图3所示。网络段区分为外部网段或内部网段。外部网段把你的网络连接到外面的网络如Internet上,内部网段用来连接公司的主机和其它网络资源。
包精密过滤器设备的每一端口都可用来完成网络安全策略,该策略描述了通过此端口可访问的网络服务类型。如果连在包过滤设备上的网络段的数目很大,那么包过滤所要完成的就会变得很复杂。一般来说,应当避免对网络安全问题采取的过于复杂的解决方案,理由如下:
(1) 它们难以维护。
(2) 配置包过滤时容易出错。
(3) 它们对所实施的设备的功能有副作用。
大多数情况下,如图4所示的一个简单的模型可以用于完成网络安全策略。这个模型表明该包过滤设备只连有两个网段。典型的是,一个是外部网段,另一个是内部网段。包过滤用来限制那些它拒绝的服务的网络流量。因为网络策略是应用于那些与外部主机有联系的内部用户的,所以过滤路由器端口两面的精密过滤器必须以不同的方式工作。换句话说,是非对称的。
但是,从纯经济的角度来看,通常决定买具有外部端口的一个路由器,而不买几个小的路由器。具有几个端口的路由器的好处是它与CPU接口的广度和处理的容量。另外,由于包过滤原则通常适用于一个接口,那么,如果用户的设计合适,一个多端口的路由器将是一个易于管理的方案。
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 0 | 2010-1-20 |
| · | 3 | 2010-1-19 |
| · | 3 | 2010-1-19 |
| · | 1 | 2010-1-19 |
| · | 1 | 2010-1-19 |
| · | 1 | 2010-1-19 |
| · | 2 | 2010-1-19 |
| · | 2 | 2010-1-19 |
| · | 2 | 2010-1-19 |
| · | 2 | 2010-1-19 |
| · | 3 | 2010-1-19 |
【】-【】-【第2页】/【共70页】-【】-【】-
