| 出版日期:2001-03-29 总期号:1006 本年期号:21 |
|
 |
认识防火墙
保障网络安全的重要元素之一是我们非常熟悉的网络隔离与防火墙技术。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。 所谓“防火墙”,是指在安全需求不同的两个网段之间实施安全防范的系统,它实际上是一种隔离技术。“防火墙”就像中世纪的护城河,是保障局域网安全的重要设施。 实现防火墙的技术包括两大类型:包过滤型、应用级型。包过滤型防火墙检查的范围涉及网络层、传输层和会话层,过滤匹配的原则可以包括源地址、目的地址、传输协议、目的端口等。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用。 应用级防火墙能够检查进出的数据包,透视应用层协议,与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制,并做精细的注册和稽核。根据是否允许两侧通信主机直接建立链路,又可以分为网关和代理两种。目前在市场上流行的防火墙大多属于应用级防火墙。 防火墙可以配置在以下网络连接处: 1. 内部网与Internet之间连接处, 可利用防火墙作为网关设备实现地址转换(NAT)、网络隔离(DMZ)、存取安全控制。 2. 在广域网系统中,企业总部的局域网将各分支机构的局域网视为不安全系统。 需要各自安装防火墙,并可以利用防火墙的VPN功能组成虚拟专网。 3. 需要为移动拨号用户服务时,利用防火墙的VPN功能组成拨号VPN(VPDN)。 4. ISP可利用防火墙的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。 5.企业网中各部门网络之间存在信息控制需求时,可以使用防火墙。 中科网威的长城防火墙结合了包过滤和代理服务两种主要的防火墙技术,从网络层到应用层都提供了完善的防护机制。NAT功能能够隐藏局域网内部的网络拓扑,并解决IP资源不足的问题;强大的身份认证使授权用户能够安全地使用防火墙提供的服务;DMZ功能可对公用服务器进行保护;完善的日志管理和报警机制为管理员提供了有效的监控手段,防止非法入侵的发生。 中科网威“长城”防火墙灵活多样的模式配置更使其具有强大的活力,适用于任何现存的网络结构。独有的系统体系结构设计,高速的运行能力、强有力的安全性能和简单易用、方便操作等特点有机结合在一起,为企业的重要数据和内部网络系统提供了一层可靠的安全保障。 |
||||||||||||||||
