netst技術(shù)白皮書

1、ST防火防火墻技術(shù)白皮白皮書11安全概述安全概述互聯(lián)網(wǎng)的迅猛發(fā)展，給企業(yè)帶來了革命性的改變，增強(qiáng)了企業(yè)獲得信息的能力，加快了企業(yè)內(nèi)部信息的交流和辦事效率，提高了市場反應(yīng)速度，使企業(yè)在商業(yè)競爭中處于有利地位，更具競爭力。在享受Inter帶來的方便與快捷的同時(shí)，企業(yè)也要面對(duì)Inter開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)，如何保護(hù)客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問以及保護(hù)企業(yè)的機(jī)密信息不受黑客和間諜的入侵，成為網(wǎng)絡(luò)安全的主要內(nèi)

2、容。Inter的安全問題是不能忽視的。當(dāng)用戶與Inter連接時(shí)，可以在中間加入一個(gè)或幾個(gè)中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊，并提供數(shù)據(jù)可靠性、完整性的安全和審查控制，這些中間系統(tǒng)就是防火墻（Firewall）。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。防火墻一方面限制

3、數(shù)據(jù)流通，一方面又允許數(shù)據(jù)流通，由于不同網(wǎng)絡(luò)的安全要求和管理機(jī)制有差別，這對(duì)矛盾也有不同的表現(xiàn)形式。這樣就有了兩種極端情況：一是除了非允許不可的，其它都被禁止；二是除了非禁止不可的，其它都被允許，而多數(shù)防火墻則在兩者之間采取折衷措施。在確保網(wǎng)絡(luò)安全的前提下，應(yīng)盡量提高跨越防火墻的訪問效率。防火墻提供行之有效的網(wǎng)絡(luò)安全機(jī)制，是網(wǎng)絡(luò)安全策略的有機(jī)組成部分。它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效保障，在內(nèi)部網(wǎng)與外部網(wǎng)

4、之間實(shí)施安全的防范措施。這本白皮書討論清華得實(shí)ST防火墻——基于狀態(tài)檢測技術(shù)的硬件防火墻。ST防火墻采用專用硬件和安全增強(qiáng)內(nèi)核設(shè)計(jì)，具有帶內(nèi)帶外管理、日志管理、安全策略編輯、安全狀態(tài)檢測等多項(xiàng)強(qiáng)大的安全功能。目前通過國家安全有關(guān)部門的安全性評(píng)測，并獲得公安部頒發(fā)的“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證（XKC33129）”。ST防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接處，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行檢查，符合一定的訪問控制規(guī)則的數(shù)據(jù)才允許通過

5、，否則要拒絕或修ST防火防火墻技術(shù)白皮白皮書32Inter防火墻技術(shù)：概述防火墻技術(shù)：概述防火墻（Firewall）是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。防火墻的組成可以表示為：防火墻=過濾器安全策略（網(wǎng)關(guān)），它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。在Inter上，通過它來隔離風(fēng)險(xiǎn)區(qū)域（即Inter或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（內(nèi)部網(wǎng)，如Intra）的連

6、接，但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)，從而完成僅讓安全、核準(zhǔn)的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)進(jìn)入的任務(wù)。通常，防火墻服務(wù)于以下幾個(gè)目的：?限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；?限定人們訪問特殊站點(diǎn)；?為監(jiān)視Inter安全提供方便。由于防火墻是一種被動(dòng)技術(shù)，它假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此，對(duì)內(nèi)部的非法訪問難以有效地控制。因此，防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intra等種類相對(duì)集中的網(wǎng)絡(luò)

7、。防火墻的主要技術(shù)類型包括網(wǎng)絡(luò)級(jí)數(shù)據(jù)包過濾（wklevelPacketFilter），應(yīng)用代理服務(wù)器（ApplicationlevelProxyServer），狀態(tài)檢測防火墻。2.1包過濾防火墻包過濾防火墻數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表（AccessControlTable）。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)