|
当前位置: Home > 防火墙 > 文章
|
|
|
基于NAT的混合型防火墙
|
|
文章来源: Internet
文章作者: 刘玉岩 罗军舟
发布时间: 2002-03-12
字体:
[大
中
小]
|
|
|
上述几种技术都属于网络安全的被动防范技术,为了更有效的遏止黑客的恶意攻击行为,该防火墙系统采用主动防范技术——网络监控技术。网络监控系统负责截取到达防火墙网关的所有数据包,对信息包报头和内容进行分析,检测是否有攻击行为,并实时通知系统管理员。
基于WEB的防火墙管理系统负责对防火墙系统进行远程的管理和配置,管理员可在任何一台主机上控制防火墙系统,增加系统利用的灵活性。
系统的实现
1、网络地址转换模块
NAT模块是本系统核心部分,而且只有本模块与网络层有关,因此,这一部分应和Unix系统本身的网络层处理部分紧密结合在一起,或对其直接进行修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理子模块、连接记录子模块与真实地址分配子模块及传输层过滤子模块。
2、集中访问控制模块
集中访问控制模块可进一步细分为请求认证子模块和连接中继子模块。请求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各种身份鉴别信息,识别出合法的用户,并根据用户预先被赋予的权限决定后续的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的连接通道,并在需要的情况下向内部服务器传送鉴别过的用户身份信息,以完成相关服务协议中所需的鉴别流程。
3、临时访问端口表
为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授权的利用,网关把内部主机使用的临时端口、协议类型和内部主机地址登记在临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口,故临时端口使用表是由网关根据接收的数据包动态生成的。对于入向的数据包,防火墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。
4、 认证与访问控制系统
认证与访问控制系统包括用户鉴别模块和访问控制模块,实现用户的身份鉴别和安全策略的控制。其中用户鉴别模块采用一次性口令(One-Time Password)认证技术中Challenge/Response机制实现远程和当地用户的身份鉴别,保护合法用户的有效访问和限制非法用户的访问。它采用Telnet和WEB两种实现方式,满足不同系统环境下用户的应用需求。访问控制模块是基于自主型访问控制策略(DAC),采用ACL的方式,按照用户(组)、地址(组)、服务类型、服务时间等访问控制因素决定对用户是否授权访问。
5、 网络安全监控系统
监控与入侵检测系统作为系统端的监控进程,负责接受进入系统的所有信息,并对信息包进行分析和归类,对可能出现的入侵及时发出报警信息;同时如发现有合法用户的非法访问和非法用户的访问,监控系统将及时断开访问连接,并进行追踪检查。
6、基于WEB的防火墙管理系统
管理系统主要负责网络地址转换模块、集中访问控制模块、认证与访问控制系统、监控系统等模块的系统配置和监控。它采用基于WEB的管理模式,由于管理系统所涉及到的信息大部分是关于用户帐号等敏感数据信息,故应充分保证信息的安全性,我们采用JAVA APPLET技术代替CGI技术,在信息传递过程中采用加密等安全技术保证用户信息的安全性。
防火墙系统的应用
防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而用防火墙型技术通过监测、限制、更改跨越防火墙的数据流及通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构来实现对网络的安全保护。由此可见,防火墙型系统比较适合相对独立、与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。常见的Internet与Intranet的连接即属于此类。但防火墙技术原理上对来自网络内部的安全威胁不具备防范作用,并且常常需要有特殊的、相对较为封闭的网络拓扑结构来支持,因而对网络安全功能的加强往往是以网络服务的灵活性、多样性和开放性为代价的,并且需要较大的网络管理开销。由于防火墙技术的实施相对简单,因此是目前应用较广的网络安全技术。但防火墙技术的基本特征及运行代价局限了它在开放型的大规模网络系统中应用的潜力,并且由于它只在网络边界上具有安全保障功能,其实用范围相对有限,安全保障的程度也不易度量和维持在稳定水平,因而防火墙型安全系统往往是针对特定需要而专门设计实施的系统,是一类短期内实用的解决方案。
共2页: 上一页 [1] 2 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
