防火墙选购配置实例及前景.pdf

维普资讯 第 20卷第3期 广东工业大学学报 vo1．20 No．3 2OO3年 9月 Jeamalt，fG姗嚷dl0 Universit~t，fTechnology September2003 防火墙选购 、配置实例及前景 沈芳阳 ，阮洁珊 ，李振坤 ，黄智勇。，邓 静 ，刘怀亮 ，柳正青 (1．广东工业大学 计算机学院，广东 广州 510090；2．广东省化学工业学校 机电科，广东 广州 510320； 3．广州大学 教务处 ，广东 广州 510405) 摘要 ：简要介绍防火墙的概念 ，提 出选购防火墙的十项主要参考标准，并 以一个公司为例，说 明防火 墙的配置 ，最后指出防火墙技术的前景 ，如安全协议的开发 ，防火墙产品的危险评估和重要数据的加 密 ． 关键词：防火墙 ；防火墙选购；防火墙配置 中图分类号-TP309．2 文献标识码：A 文章编号：I(KI／．7162(2003)03-004~06 随着 Intemet的普及与发展，网络安全成为一个备受关注的问题．防火墙作为一种确保网络 安全的重要手段 ，也 日益受到重视 ．本文对如何选购防火墙做了介绍 ，举例说明防火墙的配置， 同时指出防火墙技术的前景． 1 防火墙概述 为了防止 内部网络不被入侵 ，企业 内部网在接人 Intemet的时就必须利用防火墙技术来保 护 内部网．防火墙实际上是一种隔离技术 ．它在两个网络通信是执行的一种访 问控制手段 ，最大 限度地阻止网络中的黑客来访 问你的网络 ，防止他们更改 、复制和毁坏重要信息． 防火墙的组成 ：防火墙 =过滤器 +安全策略 (网关)uJ 防火墙通过逐一审查收到的每个数据包 ，判断它是否有相匹配的过滤规则 ，直到满足某一 条规则的条件 ，并做出规定的动作来保护网络的安全． 按照 OSI／RM，防火墙可以在 OSI／RM七层中的第五层设置 ．一般的防火墙模型如图1所示 ． 2 防火墙选购 2．1 防火墙应具备的基本功能 防火墙系统可以说是网络的第一道防线，一个成功的防火墙产品应该具有下述基本功能 ： (1)防火墙的设计策略应遵循安全防范的基本原则—— “除非明确允许 ，否则就禁止” ； (2)防火墙本身支持安全策略，而不是添加上去的； (3)如果组织机构的安全策略发生改变，可 以加入新的服务 ； (4)有先进的认证手段或有挂钩程序，可以安装先进的认证方法 ； (5)如果需要 ，可 以运用过滤技术允许和禁止服务； (6)可以使用 FIP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上； 收稿 日期 ：2002-11—11 作者简介：沈芳阳(1975一)，男 ，研究生，主要研究方向为计算机 网络与分布式系统 维普资讯 第 3期 沈芳阳，等 ：防火墙选购、配置实例及前景 41 防火墙 卜I_-安全区域——一，叶·1．—一 防火墙系统————————_II叶—‘一非安全区域—_|一叫 图 1 防火墙与 OSI模型 (7)拥有界面友好 、易于编程的II)过滤语言，并可以根据数据包 的性质进行包过滤 ，数据包 的性质有 目标和源 II地址 、协议类型、源和 目的 TCP／UDP端 口、TCP包的 ACK位 、出站 和人站网络接 口等． 如果用户需要 NNTP(网络消息传输协议)、哪 和 Gopher等服务 ，防火墙应该包含相应的 代理服务程序 ．防火墙也应具有集中邮件的功能 ，以减少 SMTP服务器和外界服务器的直接连 接 ，并可以集中处理整个站点的电子邮件 ．防火墙应允许公众对站点的访 问，应把信息服务器和 其他 内部服务器分开 ．