应用状态信息,根据其源和目的ip地址,传输层协议和源及目的端口来区分每一连接,并建立动态连接表为所有连接存储其状态和上下文信息;同时为检查后续通讯。应及时更新这些信息,当连接结束时,也应及时从连接表中删除其相应信息。
4.5 一种改进的防火墙技术(或称复合型防火墙技术) 由于过滤型防火墙安全性不高,代理服务器型防火墙速度较慢,因而出现了一种综合上述两种技术优点的改进型防火墙技术,它保证了一定的安全性,又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求,由于对内部网的安全威胁不大,因此可直接下载外部网建立连接,对于那些从外部网向内部网提出的请求,先要通过包过滤型防火墙,在此经过初步安全检查,两次检查确定无疑后可接受其请求,否则,就需要丢弃或作其他处理。
5 防火墙的应用
5.1 硬件防火墙的设置
下面以思科pix 501型防火墙为例,设置如下:要设置内部接口的ip地址,使用如下命令:
pix1(config)# ip address inside 10. 1. 1. 1 255. 0. 0. 0
pix1(config)#
现在,设置外部接口的ip地址:
pix1(config)#ip address outside 1.1.1.1 255.255.255.0
pix1(config)#
下一步,启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意,ethernet0接口是外部接口,它在pix 501防火墙中只是一个10base-t接口。ether-net1接口是内部接口,是一个100base-t接口。下面是启动这些接口的方法:
pix1(config)# interface ethernet0 10baset
pix1(config)# interface ethernet1 100full
pix1(config)#
最后设置一个默认的路由,这样,发送到pix防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的ip地址是10. 76. 12. 254):
pix1(config)#route outside 0 0 10. 76. 12. 254
pix1(config)#
当然, pix防火墙也支持动态路由协议(如rip和ospf协议)。
现在,我们接着介绍一些更高级的设置。网络地址解析
由于我们有ip地址连接,我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“pat”或者“natoverload”的网络地址解析。这样,所有内部设备都可以共享一个公共的ip地址(pix防火墙的外部ip地址)。要做到这一点,请输入这些命令:
pix1(config)#nat ( inside) 1 10. 0. 0. 0 255. 0. 0. 0
pix1(config)#global (outside) 1 10. 1. 1. 2
global10. 1. 1. 2 will be portaddresstranslated
pix1(config)#
使用这些命令之后,全部内部客户机都可以连接到公共网络的设备和共享ip地址10. 1. 1. 2。然而,客户机到目前为止还没有任何规则允许他们这样做。
5.2 软件防火墙的设置以天网、诺顿防火墙为例:
5.2.1 天网防火墙(2.60版) 在天网防火墙的主面板上点击“系统设置”按钮,在弹出的“系统设置”窗口中,点击“规则设定”中的“向导”,就会弹出设置向导。
在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮,进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”,软件便会自动探测本机的ip地址并显示在下方。接下来,一路点击“下一步”按钮即可完成设置了。
5.2.2 诺顿个人防火墙 在软件的主界面左侧点击“internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
6 结束语
防火墙技术是目前应对网络安全问题的有效的技术手段之一,但是网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全
上一页 [1] [2]