论文部分内容阅读
互连网在给人们带来极大便利和效益的同时,随之而来的威胁也逐渐显现,这种威胁使人们不得不强调网络安全的重要性。担当互连网络安全重任的先锋是防火墙(Firewall)。防火墙是一个或一组系统,它在网络之间执行相应的访问控制策略,防止来自“外部”世界未经授权的传输流进入内部,又允许内部的用户可以自由地或依循相关政策与外部通信。
防火墙有包过滤(Packet filtering)和应用代理(Application Proxy)两种基本类型。前者工作在网络层和传输层,直接转发报文,网络效率及对用户的透明性都比较好,但安全控制项目的设置能力相对不是非常丰富,因为它不涉及高层协议,在强调保障基本安全性能的前提下,更注重网络通信的高效率,故其接入带宽大都比较高,属于电信级的产品。应用代理(Application Proxy)的典型产品是美国网络联盟NAI的Gauntlet。它是一个软件产品,属于应用层的范畴,通过特定的代理程序对高层协议进行识别并采取预先编制的控制策略,服务内容也很丰富。不过实际应用中的硬件平台通常要采用性能较好的专用工作站,才能保证其理想的网络速度,故其总体投资也相对较高。
还有一种防火墙把包过滤和应用代理的功能结合起来,成为一种复合型的防火墙。美国WatchGuard 公司的Firebox II就是其中的代表。
WatchGuard公司是个比较专业的网络安全公司,它的目标市场放在了庞大的中小型网络客户群体里,其主流产品Firebox Ⅱ因为没有把自己定位在那些大带宽、高流量的电信级用户上,所以有充分的空间可以把众多应用代理的复杂功能也设计进来,使得自己的性能价格比非常优秀。它可承受的处理能力为实时64000 session,这对广大非电信级的网络用户来说足够用了。而且Firebox II没有用户数的限制,这也是它区别于很多竞争对手的一个优势所在。
Firebox Ⅱ是一个附带软件的硬件产品,它在后背板上具有3个独立的10兆和100兆自适应的RJ-45网口。一个是用来与路由器相连的外部口,一个是用来接在局域网络交换机上的内部口,还有一个是Optional口,辟用作停火区(DMZ)。这样不但有效地保护了内部网络,而且方便地提供了访问诸如Web、FTP、E-mail等公共服务器的高效通道。这是Firebox Ⅱ另一个比较独特的地方,
Firebox Ⅱ虽说是一个硬件产品,但却免费提供了一个超级软件包,里面包含有安全管理系统、Global Control、VPN、WebBlocker、Graphical Monitors、Historical Reports等6种较实用的软件。它在NT、WIN98或WIN95的软件平台上运行的图形管理界面直观易懂,调试起来也非常方便。
Firebox Ⅱ有“Packet Filters”、“Proxies”和“User Filters”三种可选择的服务类型,游刃有余地实现客户指定的各种安全策略的配置,既提供动态的IP包过滤功能,也提供诸如HTTP、SMTP、FTP、RealNetworks、StreamWorks等应用代理的控制机制。Firebox Ⅱ还提供有RADIUS、NT Domain、CRYPTOCard及Firebox II本身等多种用户认证方式,来满足购买者的网络安全。此外,其可在全球范围内进行集中或分布式管理的Global Control,以及使本地与远程用户之间通过Firebox Ⅱ的数据加密技术、保证企业内部数据的可靠传输的VPN功能,对集团用户来说,也格外具有吸引力。
作为一个防火墙,其基本的防护功能都必须提供。诸如地址翻译(NAT),可使用户隐藏内部主机及网络真实地址;防止Spoofing;阻止伪装地址的进攻;阻止对端口及地址空间的探测;阻止测试网络配置情况的IP Options等。Firebox Ⅱ不但都具备了,而且还提供对内部网络用户进行限制的相关控制策略,规范干线流量,从而使用户能充分地利用宝贵的带宽资源。
一旦有非法的外部入侵及未经授权的内部出访活动,Watchguard 公司产品的多级日志和报告功能可立即有弹出菜单、E-mail、记入日志及自动运行客户预先编制的相应程序等多种响应动作。协助用户进行网络管理和记录。(作者E-mail:[email protected])
防火墙有包过滤(Packet filtering)和应用代理(Application Proxy)两种基本类型。前者工作在网络层和传输层,直接转发报文,网络效率及对用户的透明性都比较好,但安全控制项目的设置能力相对不是非常丰富,因为它不涉及高层协议,在强调保障基本安全性能的前提下,更注重网络通信的高效率,故其接入带宽大都比较高,属于电信级的产品。应用代理(Application Proxy)的典型产品是美国网络联盟NAI的Gauntlet。它是一个软件产品,属于应用层的范畴,通过特定的代理程序对高层协议进行识别并采取预先编制的控制策略,服务内容也很丰富。不过实际应用中的硬件平台通常要采用性能较好的专用工作站,才能保证其理想的网络速度,故其总体投资也相对较高。
还有一种防火墙把包过滤和应用代理的功能结合起来,成为一种复合型的防火墙。美国WatchGuard 公司的Firebox II就是其中的代表。
WatchGuard公司是个比较专业的网络安全公司,它的目标市场放在了庞大的中小型网络客户群体里,其主流产品Firebox Ⅱ因为没有把自己定位在那些大带宽、高流量的电信级用户上,所以有充分的空间可以把众多应用代理的复杂功能也设计进来,使得自己的性能价格比非常优秀。它可承受的处理能力为实时64000 session,这对广大非电信级的网络用户来说足够用了。而且Firebox II没有用户数的限制,这也是它区别于很多竞争对手的一个优势所在。
Firebox Ⅱ是一个附带软件的硬件产品,它在后背板上具有3个独立的10兆和100兆自适应的RJ-45网口。一个是用来与路由器相连的外部口,一个是用来接在局域网络交换机上的内部口,还有一个是Optional口,辟用作停火区(DMZ)。这样不但有效地保护了内部网络,而且方便地提供了访问诸如Web、FTP、E-mail等公共服务器的高效通道。这是Firebox Ⅱ另一个比较独特的地方,
Firebox Ⅱ虽说是一个硬件产品,但却免费提供了一个超级软件包,里面包含有安全管理系统、Global Control、VPN、WebBlocker、Graphical Monitors、Historical Reports等6种较实用的软件。它在NT、WIN98或WIN95的软件平台上运行的图形管理界面直观易懂,调试起来也非常方便。
Firebox Ⅱ有“Packet Filters”、“Proxies”和“User Filters”三种可选择的服务类型,游刃有余地实现客户指定的各种安全策略的配置,既提供动态的IP包过滤功能,也提供诸如HTTP、SMTP、FTP、RealNetworks、StreamWorks等应用代理的控制机制。Firebox Ⅱ还提供有RADIUS、NT Domain、CRYPTOCard及Firebox II本身等多种用户认证方式,来满足购买者的网络安全。此外,其可在全球范围内进行集中或分布式管理的Global Control,以及使本地与远程用户之间通过Firebox Ⅱ的数据加密技术、保证企业内部数据的可靠传输的VPN功能,对集团用户来说,也格外具有吸引力。
作为一个防火墙,其基本的防护功能都必须提供。诸如地址翻译(NAT),可使用户隐藏内部主机及网络真实地址;防止Spoofing;阻止伪装地址的进攻;阻止对端口及地址空间的探测;阻止测试网络配置情况的IP Options等。Firebox Ⅱ不但都具备了,而且还提供对内部网络用户进行限制的相关控制策略,规范干线流量,从而使用户能充分地利用宝贵的带宽资源。
一旦有非法的外部入侵及未经授权的内部出访活动,Watchguard 公司产品的多级日志和报告功能可立即有弹出菜单、E-mail、记入日志及自动运行客户预先编制的相应程序等多种响应动作。协助用户进行网络管理和记录。(作者E-mail:[email protected])