防火墙的基本准则和类型 冼沛勇 1997-01-01   防火墙是在内部网络(如企业内部网)与外部网络(如Internet网)之间实施安全防范的系统,是一种访问控制机制,用于确定哪些内部服务允许外部访问以及允许哪些外部服务访问内部服务。 #2  一、防火墙的基本准则 #3  1.一切未被允许的就是禁止的   基于这个准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许使用。它的不足是安全性高于用户使用的方便性,用户所能使用的服务范围受到限制。 #3  2.一切未被禁止的就是允许的   基于这个准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。它的不足是在日益增多的网络服务面前,网络管理员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。 #2  二、防火墙的基本类型 #3  1.包过滤型   包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤功能,另外计算机上同样可以安装包过滤软件。包过滤规则以IP(Internet Protocol)包信息为基础,对IP源地址、IP目标地址、封装协议端口号等进行筛选。   用路由器实现包过滤和用PC机实现包过滤均在OSI(Open System Interconnection)协议网络层进行。 #3  2.代理服务型   代理服务型防火墙通常由两部分构成,一是服务器端程序,二是客户端程序。客户端程序与中间节点连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网络与外部网络之间不存在直接的连接,同时提供日志和审计服务。 #3  3.复合型   把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机,负责提供代理服务。 #3  4.双端主机型   堡垒主机充当网关,并在其上运行防火墙软件。内部网络与外部网络之间不能直接进行通信,必须经过堡垒主机。 #3  5.屏蔽主机型   一个包过滤路由器与外部网络相连,同时一个堡垒主机安装在内部网络上,使堡垒主机成为外部网络所能达到的唯一节点,确保内部网络不受非授权用户的攻击。 #3  6.加密路由器型   加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解包和解密。