|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作��,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計(jì)算機(jī)�、存儲(chǔ)資源���、數(shù)據(jù)資源�、信息資源����、知識(shí)資源、專家資源��、大型數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)����、傳感器等��。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享���,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。 一��、概述:
防火墻是充當(dāng)網(wǎng)絡(luò)與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)�。Internet 連接防火墻 (ICF) 是用來(lái)限制哪些信息可以從您的家庭或小型辦公網(wǎng)絡(luò)進(jìn)入 Internet 以及從 Internet 進(jìn)入您的家庭或小型辦公網(wǎng)絡(luò)的一種軟件。如果網(wǎng)絡(luò)使用 Internet 連接共享 (ICS) 來(lái)為多臺(tái)計(jì)算機(jī)提供 Internet 訪問(wèn)能力�����,則應(yīng)該在共享的 Internet 連接中啟用 ICF。但是����,ICS 和 ICF 可以單獨(dú)啟用。應(yīng)該在直接連接到 Internet 的任何一臺(tái)計(jì)算機(jī)的 Internet 連接上啟用 ICF����。
ICF 還能保護(hù)連接到 Internet 的單獨(dú)計(jì)算機(jī)。如果連接到 Internet 的單獨(dú)計(jì)算機(jī)具有電纜調(diào)制解調(diào)器����、DSL 調(diào)制解調(diào)器或撥號(hào)調(diào)制解調(diào)器����,則 ICF 將保護(hù)此 Internet 連接�。應(yīng)該在 VPN 連接 上啟用 ICF��,因?yàn)榇诉B接將干擾文件共享和其他 VPN 功能的操作�����。
二��、Internet 連接防火墻 (ICF) 如何工作
ICF 被視為狀態(tài)防火墻�����。狀態(tài)防火墻可監(jiān)視通過(guò)其路徑的所有通訊方面��,并且檢查所處理的每個(gè)消息的源和目標(biāo)地址����。為了防止來(lái)自連接公用端的未經(jīng)請(qǐng)求的通信進(jìn)入專用端����,ICF 保留了所有源自 ICF 計(jì)算機(jī)的通訊表。在單獨(dú)的計(jì)算機(jī)中���,ICF 將跟蹤源自該計(jì)算機(jī)的通信���。與 ICS 一起使用時(shí)�,ICF 將跟蹤所有源自 ICF/ICS 計(jì)算機(jī)的通信和所有源自專用網(wǎng)絡(luò)計(jì)算機(jī)的通信��。源自外部源 ICF 計(jì)算機(jī)的通訊(如 Internet)將被防火墻阻止���,和"天網(wǎng)"等防火墻軟件不一樣,ICF 不會(huì)向您發(fā)送活動(dòng)通知���,而是靜態(tài)地阻止未經(jīng)請(qǐng)求的通訊,防止像端口掃描這樣的常見(jiàn)黑客襲擊���。這樣的通知可能過(guò)于頻繁以至于成為一種干擾。ICF 可能創(chuàng)建安全日志以查看被防火墻跟蹤的活動(dòng)����。 你可以將服務(wù)配置成允許 ICF 計(jì)算機(jī)將來(lái)自 Internet 未經(jīng)請(qǐng)求的通信傳遞到專用網(wǎng)絡(luò)。例如���,如果您正在主持 HTTP Web 服務(wù)器服務(wù)�����,而且已啟用了 ICF 計(jì)算機(jī)上的 HTTP 服務(wù)���,則未經(jīng)請(qǐng)求的 HTTP 通信將由 ICF 計(jì)算機(jī)轉(zhuǎn)發(fā)至 HTTP Web 服務(wù)器�。ICF 需要一組操作信息(稱為服務(wù)定義)���,才會(huì)允許未經(jīng)請(qǐng)求的 Internet 通信轉(zhuǎn)發(fā)到專用網(wǎng)絡(luò)上的 Web 服務(wù)器����。
三��、Internet 連接防火墻使用注意事項(xiàng)
1.ICF 和家庭或小型辦公室通訊
不應(yīng)該在所有沒(méi)有直接連接到 Internet 的連接上啟用 Internet 連接防火墻 (ICF)����。如果在 ICS 客戶計(jì)算機(jī)的網(wǎng)絡(luò)適配器上啟用防火墻�����,則它將干擾該計(jì)算機(jī)和網(wǎng)絡(luò)上的所有其他計(jì)算機(jī)之間的某些通訊�����。出于類似的原因,網(wǎng)絡(luò)安裝向?qū)Р辉试S在 ICS 主機(jī)的專用連接(該連接將 ICS 主機(jī)與 ICS 客戶計(jì)算機(jī)連接起來(lái))上啟用 ICF��,因?yàn)樵谠撐恢脝⒂梅阑饓?huì)完全禁止網(wǎng)絡(luò)通訊�����。
如果網(wǎng)絡(luò)已經(jīng)具有防火墻或代理服務(wù)器����,則不需要 Internet 連接防火墻。
如果網(wǎng)絡(luò)只有一個(gè)共享 Internet 連接��,則應(yīng)該啟用 Internet 連接防火墻對(duì)其進(jìn)行保護(hù)����。各個(gè)客戶計(jì)算機(jī)也可以有適配器(例如撥號(hào)、DSL 調(diào)制解調(diào)器)��,這些調(diào)制解調(diào)器可提供單獨(dú)的 Internet 連接��,但它們不受防火墻的保護(hù)�����。ICF 只能檢查通過(guò)已對(duì)其啟用了該設(shè)置的 Internet 連接的通訊��。因?yàn)?ICF 針對(duì)每個(gè)連接工作�����,所以為了確保能夠保護(hù)整個(gè)網(wǎng)絡(luò)�,需要在所有連接 Internet 的計(jì)算機(jī)上啟用它�。如果已經(jīng)對(duì) ICS 主機(jī)的 Internet 連接啟用了防火墻,但直接連接 Internet 的客戶端計(jì)算機(jī)沒(méi)有使用防火墻進(jìn)行保護(hù)����,那么,您的網(wǎng)絡(luò)將因?yàn)榇宋词鼙Wo(hù)的連接而存在安全缺陷���。
允許服務(wù)操作跨越 ICF 的服務(wù)定義也是針對(duì)每個(gè)連接而工作的��。如果網(wǎng)絡(luò)有多個(gè)防火墻連接���,則必須為每個(gè)希望服務(wù)通過(guò)的有防火墻的連接配置服務(wù)定義。
[page_break]2.ICF 和通知消息
由于 ICF 檢查所有傳入通訊���,而某些程序(尤其是電子郵件程序)可能在啟用 ICF 時(shí)做出不同動(dòng)作�。某些電子郵件程序?qū)⒍ㄆ谳喸兤潆娮余]件服務(wù)器以查看是否有新的郵件��,而且某些電子郵件程序?qū)⒌却娮余]件服務(wù)器的通知��。
例如�,當(dāng) Outlook Express 的計(jì)時(shí)器告訴它要檢查是否有新電子郵件時(shí),Outlook Express 將自動(dòng)執(zhí)行該操作�。當(dāng)新的電子郵件出現(xiàn)時(shí),Outlook Express 會(huì)用新電子郵件通知消息來(lái)提示用戶�。ICF 不會(huì)影響該程序的行為,因?yàn)閷?duì)新電子郵件通知的請(qǐng)求是從防火墻內(nèi)部發(fā)出的��。防火墻會(huì)在表中建立一項(xiàng)信息以記錄外傳通訊�。當(dāng)新的電子郵件響應(yīng)被郵件服務(wù)器承認(rèn)時(shí),防火墻將在表中查找關(guān)聯(lián)項(xiàng)����,并允許該通訊通過(guò),然后用戶就能接收到新電子郵件已到達(dá)的通知��。
但是 Office 2000 Outlook 被連接到 Microsoft Exchange 服務(wù)器��,而該服務(wù)器使用遠(yuǎn)程過(guò)程調(diào)用 (RPC) 將新電子郵件通知發(fā)送給客戶端���。當(dāng) Office 2000 Outlook 連接到 Exchange 服務(wù)器時(shí),該程序不會(huì)自動(dòng)檢查新的電子郵件����。新的電子郵件到達(dá)時(shí),Exchange 服務(wù)器將通知 Office 2000 Outlook�����。因?yàn)?RPC 通知是從防火墻外的 Exchange 服務(wù)器���、而不是由防火墻內(nèi)的 Office 2000 Outlook 初始化的�,所以 ICF 無(wú)法找到表中的對(duì)應(yīng)項(xiàng)����,而且發(fā)自 Internet 的 RPC 消息不允許進(jìn)入家庭網(wǎng)絡(luò)。RPC 通知消息會(huì)被丟棄��。用戶可以發(fā)送和接收電子郵件��,但需要手動(dòng)檢查是否有新的電子郵件�����。
四�����、高級(jí) ICF 設(shè)置
ICF 安全記錄功能可以提供一種方式來(lái)創(chuàng)建防火墻活動(dòng)的日志文件。ICF 能夠記錄被許可的和被拒絕的通信�。例如,默認(rèn)情況下�����,防火墻不允許來(lái)自 Internet 的傳入回顯請(qǐng)求通過(guò)�����。如果沒(méi)有啟用 Internet 控制消息協(xié)議 (ICMP)"允許傳入的回顯請(qǐng)求"���,那么傳入請(qǐng)求將失敗�,并生成傳入失敗的日志項(xiàng)�。
通過(guò)啟用各種 ICMP 選項(xiàng)(例如"允許傳入的回顯請(qǐng)求"、"允許傳入的時(shí)間戳請(qǐng)求"�����、"允許傳入的路由器請(qǐng)求"和"允許重定向")��,ICMP 允許您來(lái)修改防火墻的行為���。"ICMP"選項(xiàng)卡上提供了對(duì)這些選項(xiàng)的簡(jiǎn)短描述�。您可以設(shè)置允許大小的安全日志文件���,來(lái)防止拒絕服務(wù)攻擊所導(dǎo)致的潛在溢出����。生成事件日志的格式是擴(kuò)展日志文件格式��,與萬(wàn)維網(wǎng)聯(lián)盟 (W3C) 建立的相同��。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中����,正因如此�����,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上�、軟件上、所用標(biāo)準(zhǔn)上......�,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑���。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站����!
