Communication 版 (精华区)

发信人: Iamhere (灯火阑珊), 信区: Communication
标  题: Internet防火墙系统的设计与实现(3)      dormouse 
发信站: 哈工大紫丁香 (2001年06月15日23:40:08 星期五), 站内信件

发信人: arclight (别惹我，正烦着呢！), 信区: CRC
标  题: Internet防火墙系统的设计与实现(3)
发信站: 紫 丁 香 (Wed Jul  7 12:27:33 1999), 转信



　　这样由于内部网络只接受来自代理服务器的服务请求和外部网络的响应，  
所以解决了文献［4］指出的包过滤防火墙几个技术难题，而由代理软件负责  
这几个服务的控制，也解决了很多操作系统平台对于TCP和UDP端口号利用不同  
的问题，为了更好地提高内部网络的安全性 ，可以采用IP地址伪装技术(IP   
Masquerading)，IANA(The Internet Assigned Number Authority)保留了以下IP地址空 
 
间为私有网络地址空间：10.0.0.0～10.255.255.255、172.16.0.0～173.31.  
255.255和192.168.0.0～192.168.255.255，因此我们可以采用私有网络IP地  
址空间，利用地址伪装—网络地址翻译技术，建立对外部用户透明的内部网，  
这样对外部网络的用户来讲内部网络是透明的、不存在的，因此从一定程度  
上降低了内部网络被攻击的可能性，提高了内部网络的安全性。  
 
3.2　代理服务器  
 
　　代理服务器接受外部网络节点提出的服务请求，首先，它对该用户的身份进  
行验证，若为合法用户，则把该请求转发给真正的某个内部网络的主机(真正的服  
务提供者)，而且在整个服务过程中，应用代理一直监控着用户的操作，一旦发现  
用户非法操作，就可以进行干涉，并对每一个操作进行记录。若为不合法的用法，  
则拒绝访问 ，图2给出了代理服务的实现示意图：  
 
图2　代理服务器(略)  
 
　　使用代理服务器的优点在于外部网络只能使用代理服务器上提供的服务，这  
样可以做到对应用服务的过滤，解决了包过滤技术中的几个技术难题［4］，例如  
可以限制FTP服务的权限，禁止FTP使用写的权利，不让FTP使用put命令；也可以  
采用密码技术，比如身份认证等，利用身份认证软件或硬件设备对用户的身份进  
行鉴别，例如使用一次性口令设备，解决了TCP/IP协议鉴别功能差的缺陷，提高  
了内部网络的安全性。  
 
4　结束语［5］  
 
　　本文来源于笔者参加的一个863项目—Internet/intranet网的信息安全系统研制与  
开发课题。网络安全性是重要的，应该受到重视，防火墙技术作为目前用来实现  
网络安全措施的一种主要手段，它主要是用来拒绝未经授权的用户访问，阻止未  
经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源，如果  
使用得当，可以在很大程度上提高网络安全性能，但是没有一种技术可以百分之  
百解决网络上的信息安全问题，比如防火墙虽然能对外部网络的攻击进行有效的  
防护，但对来自内部网络的攻击却无能为力，事实上据统计60%以上的网络安全问  
题来自内部网络， 而且网络程序和网络管理系统中可能存在缺陷。因此网络安全  
单靠防火墙技术是不够的，还需要有一些其它技术和非技术的因素要考虑，比如  
信息加密技术、制订法规、提高网络管理使用人员的安全意识等，现在网络防火  
墙技术在不断地发展，值得研究的课题很多，比如如何对一个防火墙产品进行危  
险评估、如何对网络中传输的敏感数据进行加密、数据应在网络那一层加密、采  
用传统密码体制还是公钥密码体制、知识工程和专家系统在防火墙安全策略研究  
中的应用、如何减少对网络性能的影响、设计开放的与硬件平台和软件平台无关  
的防火墙产品等等。  
 
                                              参　考　文　献  
 
1?nbsp;Karanjit S,Chris H.Internet Firewalls and Network Security.USA:New Riders  
publishing,1995  
2?nbsp;Steven M B.Secutrity problems in the TCP/IP protocol suite.Computer   
Communications Review,1989,19(2):32～48  
3?nbsp;Luotonen A,Altis K.World-Wide Web proxies.Computer Networks and   
ISDN Systems,1994,(27):147～154  
4?nbsp;Steven M B,William R C.Network firewalls.IEEE Communications,1994,(9):50～ 
57  




--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: sys03.hit.edu.cn]