網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源����、數(shù)據(jù)資源����、信息資源、知識(shí)資源����、專家資源、大型數(shù)據(jù)庫(kù)����、網(wǎng)絡(luò)、傳感器等����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段����。
網(wǎng)絡(luò)地址翻譯(NAT) 網(wǎng)絡(luò)地址解釋是對(duì)Internet隱藏內(nèi)部地址����,防止內(nèi)部地址公開(kāi)����。這一功能可以克服IP尋址方式的諸多限制����,完善內(nèi)部尋址模式����。把未注冊(cè)IP地址映射成合法地址����,就可以對(duì)Internet進(jìn)行訪問(wèn)。對(duì)于NAT的另一個(gè)名字是IP地址隱藏����。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機(jī)制,以下地址作為保留地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
如果你選擇上述例表中的網(wǎng)絡(luò)地址����,不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊(cè)即可使用。使用這些網(wǎng)絡(luò)地址的一個(gè)好處就是在互聯(lián)網(wǎng)上永遠(yuǎn)不會(huì)被路由��������;ヂ(lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò)ID時(shí)都會(huì)自動(dòng)地丟棄。
堡壘主機(jī)
堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)����,被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)����,以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決,從而省時(shí)省力����,不用考慮其它主機(jī)的安全的目的。從堡壘主機(jī)的定義我們可以看到����,堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)����。所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)����。你可以使用單宿主堡壘主機(jī)。多數(shù)情況下����,一個(gè)堡壘主機(jī)使用兩塊網(wǎng)卡,每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)����。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來(lái)管理����、控制和保護(hù),而另一塊連接另一個(gè)網(wǎng)絡(luò)����,通常是公網(wǎng)也就是Internet。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)����。網(wǎng)關(guān)服務(wù)是一個(gè)進(jìn)程來(lái)提供對(duì)從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由,反之亦然����。在一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)里,你想使用的每一個(gè)應(yīng)用程協(xié)議都需要一個(gè)進(jìn)程����。因此����,你想通過(guò)一臺(tái)堡壘主機(jī)來(lái)路由Email,Web和FTP服務(wù)時(shí)����,你必須為每一個(gè)服務(wù)都提供一個(gè)守護(hù)進(jìn)程。
強(qiáng)化操作系統(tǒng)
防火墻要求盡可能只配置必需的少量的服務(wù)����。為了加強(qiáng)操作系統(tǒng)的穩(wěn)固性����,防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品����,包括Axent Raptor(www.axent.com),CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統(tǒng)上運(yùn)行����。如Axent Raptor防火墻就可以安裝在Windows NT Server4.0,Solaris及HP-UX操作系統(tǒng)上����。理論上來(lái)講,讓操作系統(tǒng)只提供最基本的功能����,可以使利用系統(tǒng)BUG來(lái)攻擊的方法非常困難。最后����,當(dāng)你加強(qiáng)你的系統(tǒng)時(shí)����,還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上����。
非軍事化區(qū)域(DMZ)
DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間����。這個(gè)網(wǎng)絡(luò)由篩選路由器建立����,有時(shí)是一個(gè)阻塞路由器。DMZ用來(lái)作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)����。DMZ另一個(gè)名字叫做Service Network,因?yàn)樗浅7奖����。這種實(shí)施的缺點(diǎn)在于存在于DMZ區(qū)域的任何服務(wù)器都不會(huì)得到防火墻的完全保護(hù)。
篩選路由器
篩選路由器的另一個(gè)術(shù)語(yǔ)就是包過(guò)濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的����,如Internet。它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析����,并按照一定的安全策略——信息過(guò)濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制����,允許授權(quán)信息通過(guò)����,拒絕非授權(quán)信息通過(guò)����。信息過(guò)濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的����。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快����、實(shí)現(xiàn)方便����,但安全性能差,且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同����,故兼容性差����。
阻塞路由器
阻塞路由器(也叫內(nèi)部路由器)保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯����。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作����。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)����。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù)安全支持和安全提供的服務(wù)����。內(nèi)部路由器所允許的在堡壘主機(jī)(在周邊網(wǎng)上)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量����。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此����,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上����、所用標(biāo)準(zhǔn)上......����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)����,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑����。
