前言：本站為你精心整理了防火墻體系構(gòu)建與設(shè)計范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：網(wǎng)絡(luò)平安已成為人日益關(guān)懷的問題。網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道平安屏障，其中要作用是在網(wǎng)絡(luò)入口外檢查網(wǎng)絡(luò)通訊，更具用戶設(shè)定的平安規(guī)則，在維護(hù)內(nèi)部網(wǎng)絡(luò)平安的前提下，保證內(nèi)外網(wǎng)絡(luò)通訊，提供內(nèi)部網(wǎng)絡(luò)的平安。

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；平安

一、防火墻功用概述

防火墻是一個維護(hù)安裝，它是一個或一組網(wǎng)絡(luò)設(shè)備安裝。通常是指運(yùn)轉(zhuǎn)特別編寫或更改正操作系統(tǒng)的計算機(jī)，它的目的就是維護(hù)內(nèi)部網(wǎng)的訪問平安。防火墻能夠裝置在兩個組織構(gòu)造的內(nèi)部網(wǎng)與外部的Internet之間，同時在多個組織構(gòu)造的內(nèi)部網(wǎng)和Internet之間也會起到同樣的維護(hù)作用。它主要的維護(hù)就是增強(qiáng)外部Internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的銜接經(jīng)過，也能夠阻止其他不允許的銜接。防火墻只是網(wǎng)絡(luò)平安戰(zhàn)略的一局部，它經(jīng)過少數(shù)幾個良好的監(jiān)控位置來停止內(nèi)部網(wǎng)與Internet的銜接。防火墻的中心功用主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實(shí)時監(jiān)控及電子郵件過濾這些功用都是基于封包過濾技術(shù)的。防火墻的主體功用歸結(jié)為以下幾點(diǎn)：依據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作停止過濾；對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功用；可實(shí)時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動；具有日志，以記載網(wǎng)絡(luò)訪問動作的細(xì)致信息；被攔阻時能經(jīng)過聲音或閃爍圖標(biāo)給用戶報警提示。

防火墻僅靠這些中心技術(shù)功用是遠(yuǎn)遠(yuǎn)不夠的。中心技術(shù)是根底，必需在這個根底之上參加輔助功用才干流利的工作。而完成防火墻的中心功用是封包過濾。在邏輯上，防火墻是一個別離器，一個限制器，也是一個剖析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的平安（見圖1）。

二、防火墻主要技術(shù)特性

應(yīng)用層采用Winsock2SPI停止網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；中心層采用NDISHOOK停止控制，特別是在Windows2000下，此技術(shù)屬微軟未公開技術(shù)。

此防火墻還采用兩種封包過濾技術(shù)：

一是應(yīng)用層封包過濾，采用Winsock2SPI；

二是中心層封包過濾，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，屬于應(yīng)用層的范疇。應(yīng)用這項技術(shù)能夠截獲一切的基于Socket的網(wǎng)絡(luò)通訊。采用Winsock2SPI的優(yōu)點(diǎn)是十分明顯的：其工作在應(yīng)用層以DLL的方式存在，編程、測試便當(dāng)；跨Windows平臺，能夠直接在Windows98/ME/NT/2000/XP上通用，Windows95只需裝置上Winsock2for95，也能夠正常運(yùn)轉(zhuǎn)；效率高，由于工作在應(yīng)用層，CPU占用率低；封包還沒有依照低層協(xié)議停止切片，所以比擬完好。而防火墻正是在TCP/IP協(xié)議在windows的根底上才得以完成。在構(gòu)筑防火墻維護(hù)網(wǎng)絡(luò)之前，需求制定一套完好有效的平安戰(zhàn)略，這種平安戰(zhàn)略普通分為兩層：網(wǎng)絡(luò)效勞訪問戰(zhàn)略和防火墻設(shè)計謀略。

三、網(wǎng)絡(luò)效勞訪問戰(zhàn)略

網(wǎng)絡(luò)效勞訪問戰(zhàn)略是一種高層次的、詳細(xì)到事情的戰(zhàn)略，主要用于定義在網(wǎng)絡(luò)中允許的或制止的網(wǎng)絡(luò)效勞，還包括對撥號訪問以及SLIP/PPP銜接的限制。這是由于對一種網(wǎng)絡(luò)效勞的限制可能會促運(yùn)用戶運(yùn)用其他的辦法，所以其他的途徑也應(yīng)遭到維護(hù)。網(wǎng)絡(luò)效勞訪問戰(zhàn)略不但應(yīng)該是一個站點(diǎn)平安戰(zhàn)略的延伸，而且關(guān)于機(jī)構(gòu)內(nèi)部資源的維護(hù)也起全局的作用。這種戰(zhàn)略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問到挪動介質(zhì)的管理。

四、防火墻的設(shè)計謀略

防火墻的設(shè)計謀略是詳細(xì)地針對防火墻，擔(dān)任制定相應(yīng)的規(guī)章制度來施行網(wǎng)絡(luò)效勞訪問戰(zhàn)略。在制定這種戰(zhàn)略之前，必需理解這種防火墻的性能以及缺陷、TCP/IP本身所具有的易攻擊性和風(fēng)險。防火墻普通執(zhí)行以下兩種根本戰(zhàn)略中的一種：除非明白不允許，否則允許某種效勞；除非明白允許，否則將制止某項效勞。

執(zhí)行第一種戰(zhàn)略的防火墻在默許狀況下允許一切的效勞，除非管理員對某種效勞明白表示制止。執(zhí)行第二種戰(zhàn)略的防火墻在默許狀況下制止一切的效勞，除非管理員對某種效勞明白表示允許。防火墻能夠施行一種寬松的戰(zhàn)略（第一種），也能夠施行一種限制性戰(zhàn)略（第二種），這就是制定防火墻戰(zhàn)略的動手點(diǎn)。一個站點(diǎn)能夠把一些必需的而又不能經(jīng)過防火墻的效勞放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

五、設(shè)計時需求思索的問題

為了肯定防火墻設(shè)計謀略，進(jìn)而構(gòu)建完成戰(zhàn)略的防火墻，應(yīng)從最平安的防火墻設(shè)計謀略開端，即除非明白允許，否則制止某種效勞。戰(zhàn)略應(yīng)該處理以下的問題：需求什么效勞；在哪里運(yùn)用這些效勞；能否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等效勞；提供這些效勞的風(fēng)險是什么；若提供這種維護(hù)，可能會招致網(wǎng)絡(luò)運(yùn)用上的不便當(dāng)?shù)蓉?fù)面影響，這些影響會有多大，能否值付出這種代價；和可用性相比，站點(diǎn)的平安性放在什么位置。

六、防火墻的缺乏

防火墻不能避免內(nèi)部的攻擊，由于它只提供了對網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而招致事故。防火墻也不能避免像社會工程攻擊一種很常用的入侵手腕，就是靠詐騙取得一些能夠毀壞平安的信息。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。固然如今有些防火墻能夠檢查病毒和特洛伊木馬，但這些防火墻只能阻撓已知的歹意程序，這就可能讓新的病毒和木馬溜進(jìn)來。而且，這些歹意程序不只僅來自網(wǎng)絡(luò)，也可能來自軟盤。