无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。Р机构能够负担什么样的防火墙?简单的包过滤防火墙的费用最低,,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在几千到几万元之间。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。所以我在Р山东菏泽学院校园网防火墙设计方案中主要使用了包过滤技术。Р4.1 包过滤路由器Р包过滤路由器对所接收的每个数据包做允许或拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协议(ICP, UDP, ICMP、或IP Tunnel ), TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。如果有匹配并且规则允许数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。Р一些典型的过滤规则包括:会话与指定的内部主机连接;允许进入的FTP会话与指定的内部主机连接;会话;允许所有外出的FTP会话;拒绝所有来自特定的外部主机的数据包。Р4.2 包过滤路由器的优点Р已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外,实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。访问一般都是在WAN接口提供,因此在流量适中并定义较少过滤器时,对路由器的性能几乎没有影响。另外,包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。
全文预览
