lch 2002年08月22日 09:13
防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。
防火墙的基本模式有:
线路级门关(Circuit-LevelGateway)
其放置的物理位置在INTERNET网和内部局域网之间,逻辑地工作在OSI协议的下三层,根据客户要求,开通或封闭基于TCP/IP的连接,使得连接直接建立于资源和目的地之间。它适合于网络内部对外的访问限制,不能实施强验证和协议的过滤。这是防火墙的初级形式。
包过滤路由器(PackedFiltersRouter)
是一个检查通过它的数据包的路由器,它限定外部用户注入局域网的数据包。通常运用IP地址和端口号来进行限定处理,依据协议,按照规则,允许某些IP地址范围的某些端口通过路由器,限定其他的IP地址的某些端口号通过路由器。由于过滤是在七层协议的下三层实现的,它的类型可以进行拦截和登录,比其他类型的防火墙易于实现。
应用门关(ApplicationGateway)
应用门关防火墙的物理位置与包过滤路由器一样,但是它的逻辑位置是在OSI七层协议的应用层上。它采用应用协议代理服务(ProxyServices)的工作方式实施安全策略。
根据防火墙的特点选择包过滤路由器为宜,同时可考虑增设仲堡垒主机或入侵检测传感器NETRANGER,可以方便实现网络层(包过滤)和应用层(代理服务)安全。
