防火墙的安全保障技术发布者：本站     时间：2019-11-20 14:11:41

并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受 到攻击。 Internet I防火墙可以作为部署NAT( Network Address Translator，网络地址变换)的逻
辑地址。因此，防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。防火墙的安全保障技术防火墙的安全保障技术是基于被保护网络具有明确定义的边界和服务，并且网络安全的屏蔽有关被保护网络的信息、结构，实现对网络的安全保护，因而比较适合于相对独立，与外 威胁仅来自于外部网络。它通过监测、限制以及更改跨越防火墙的数据流，尽可能地对外部网部网络互联途径有限并且网络服务种类相对单一集中的网络系统。防火墙系统在技木原理上对来自内部网络系统的安全威胁不具备防范作用，并且常常需要有特殊的较为封闭的网络拓扑结构来支持。对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价且需要较大的网络管理开销。回直当，日通内阻野，头国，政语，图年的尽管防火墙已经在 Internet业界得到了广泛的应用，但与防火墙有关的话题仍然十分敏感。防火墙的用户把防火墙看作是一种重要的新型安全措施，因为它把诸多安全功能集于二点上，大大简化了安装、配置和管理的手续。防火墙的另一特色是它不限于TCP/IP协议，从而不只适用于 Internet，类似的技术完全可以在任何分组交换的网络当中使用。例如x.25或ATM都可以。会的金同内业生限不的思中図内业全个部分。安全策略建立全方位的防御体系基至包括:告诉用户应有的任公司规定的网 防火墙不仅仅是路由器、堡全主机或任何提供网络安全的设备的组合，而且是安全策略的络访间、服务访问、本地和远地的用户认证、投人和出、磁盘和数据加密、病毒防护措施，以及 雇员培训等。所有可能受到攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
 
3.过滤网上信息。数据包过滤技术顾名思义，是在网络中适当的位置对数据包实施有选择的通过，选择的依据即为系统内设置的过滤原则(通常称为访问控制表 Access ControlList)。只有满足过滤规则的数据包才被转发至相应的目的地，其余的数据包则被从数据流中删除。包过滤技术的实现方式相当简洁，目前大多数网络的路由设备通常都具有一定的数据包过滤能力。因而是路由设备在完成路由和转发功能之外，同时进行包过滤，可以提供廉价有效、容易重新配置和具有一定灵活性的网络级安全。此外，在工作站上使用软件进行包过滤，也不失为一种可行的方案，但较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称为屏蔽路由器 Screening Route)，则通常不需要额外增加硬件软件配置，也不需要对网络拓扑结构作改动。但是，包过滤是在网络层和传输层上运作的技术，本身对网络的保护功能有局限性，对位于网络更高协议层的信息无理解力，因而也对通过网络应用层协议实现的安全威胁无防范作用。目前商业包过滤防火墙超出常规的路由器，它增加了广泛的记录功能和安全功能，如侦察电子欺骗(外部机器声称自己是受委托主机)。记录功能不仅能分析进攻的情况，而且对保护网络和提供法律依据都是极其重要的。