防火墙技术及其在校园网中的设计方案
作 者 李 旭
一. 网络安全技术
目前,各种网络安全技术在不断涌现,但最常用的技术就是防火墙技术。
防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其它操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。
防火墙通过一些特殊的方法,实现内部网络的访问控制及其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但基于防火墙自身的的弱点,使其无法避免某些安全风险,例如网络内部的攻击,内部网络与Internet的直接连接等。
二. 防火墙的工作原理
(1)包过滤防火墙
包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则,也可以在建立防火墙之后,根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分:执行动作和选择准则,执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后,防火墙在接收到一个数据包之后,就根据所建立的准则,决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。
(2)代理防火墙