所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。Р屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。Р防火墙操作系统Р 防火墙应该建立在安全的操作系统之上,而安全的操作系统来自于对专用操作系统的安全加固和改造,从现有的诸多产品看,对安全操作系统内核的固化与改造主要从以下几方面进行:Р取消危险的系统调用;Р限制命令的执行权限;Р取消IP的转发功能;Р检查每个分组的接口;Р采用随机连接序号;Р驻留分组过滤模块;Р取消动态路由功能;Р采用多个安全内核。Р防火墙的局限性Р防火墙不是万能的,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。Р数据加密技术Р与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。Р(1) 数据传输加密技术Р目的是对传输中的数据流加密, 常用的方针有线路加密和端--端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密, 并进入TCP/IP数据包回封, 然后作为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达目的地, 被将自动重组、解密, 成为可读数据。
全文预览
