带你认识防火墙技术（2）

　　 
　　带你认识防火墙技术
　　 三、防火墙的基本措施

　　 防火墙安全功能的实现主要采用两种措施：

　　 Ａ、代理服务器（适用于拨号上网）

　　 这种方式是内部网络与Internet不直接通讯，内部网络计算机用户与代理服务器采用一种通讯方式，即提供内部网络协议（NETBIOS、TCP/IP），代理服务器与Internet之间的通信采取的是标准TCP/IP网络通信协议，防火墙内外的计算机的通信是通过代理服务器来中转实现的，结构图如下所示：
　　 内部网络－－－－代理服务器－－－－Internet

　　 这样便成功地实现了防火墙内外计算机系统的隔离，由于代理服务器两端采用的是不同的协议标准，所以能够有效地阻止外界直接非法入侵。

　　 代理服务器通常由性能好、处理速度快、容量大的计算机来充当，在功能上是作为内部网络与Internet的连接者，它对于内部网络来说是象一台真正的服务器一样，而对于因特网上的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求以后，会检查用户请求的站点是否符合设定要求，如果允许用户访问该站点的话，代理服务器就会和那个站点连接，以取回所需信息再转发给用户。

　　 另外，代理服务器还能提供更为安全的选项，例如它可以实施较强的数据流的监控、过滤、记录和报告功能，还可以提供极好的访问控制、登录能力以及地址转换能力。但是这种防火墙措施，在内部网络终端机很多的情况下，效率必然会受到影响，代理服务器负担很重，并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。

　　 Ｂ、路由器和过滤器

　　 这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问Internet。路由器只对过滤器上的特定端口上的数据通讯加以路由，过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照IP（Internet Protocol）包信息为基础，根据IP源地址、IP目标地址、封装协议端口号，确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不需要用户输入帐号和密码来登录，因此速度上要比代理服务器快，且不容易出现屏颈现象。然而其缺点也是很明显的，就是没有用户的使用记录，这样我们就不能从访问记录中发现非法入侵的攻击记录。


　　 四、防火墙常见产品

　　 防火墙产品是当前网络安全产品线中最为琳琅满目的一种，下面笔者简单介绍几种常见的产品。

　　 1、Firewall-1 (CheckPoint)

　　 这是最为流行、市场占有率最高的一种。支持网络地址翻译（NAT）、流量分担、VPN、加密认证等功能。

　　 2、PIX (Cisco)

　　 典型的网络层包过滤专用防火墙，支持网络地址翻译（NAT），在国内的163/169网络上面应用很多。但是没有能力防御应用层的攻击、无法进行内容过滤，例如Java、ActiveX以及病毒过滤等。

　　 3、NetScreen

　　 流量控制及实时监控流量控制功能为网络管理员提供了全部监测和管理网络的信息，诸如DMZ，服务器负载平衡和带宽优先级设置等先进功能，更是使NetScreen独树一帜。它能同时响应高达5，000条防火墙策略规则以及VPN加密（IPSec）VPN IPSEC，DES，Triple DES ，且支持透明的无IP地址设置。（完）

原文转自：http://www.ltesting.net