网络地址翻译技术
网络地址翻译可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。并且不同的时候,内部计算机向外连接使用的地址都是不同的,给外部攻击造成了困难(如图4)。同样NAT也能通过定义各种映像规则,屏蔽外部的链接请求,并可以将链接请求映射到不同的计算机中。网络地址翻译都和IP数据包过滤一起使用,就构成一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保证。
规则检查技术
规则检查技术既能够在网络层上通过IP地址和端口号,过滤进出的数据包。它也可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合网络的安全规则。目前,引进的动态规则检查技术是防火墙技术的一个重大改进。最初,静态检查规则是管理员事先定好的,由于事先很难精确地判断防火墙应开多大的端口才能满足正常通讯的需求,所以,只能打开“很大”的端口来满足需求,其中必然有大部分端口是不必打开的,这样就给黑客的行动带来极大的便利。动态规则的引入就弥补了静态规则的不足。由于动态规则是由应用程序直接加入的,因此所有在应用中才能知道是否打开的端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则由应用程序删除,相应的端口被关闭,而静态规则只需打开极少数事先必须打开的端口。这样在最大限度上降低了黑客进攻的成功率。
主动监测技术
主动监测技术监测网络情况,当出现网络攻击时就立即告警或切断相关连接。它维护一个记录各种攻击模式的数据库,并使用监测程序时刻运行在网络中进行监控,当一旦发现网络中存在与数据库中的某个模式相匹配时,就能推断可能出现网络攻击。由于主动监测程序要监控整个网络的数据,因此需要运行在路由器上,或路由器旁能获得所有网络流量的位置。这种技术主要用于对网络安全要求非常高的网络系统中,常用的网络并不需要使用这种方式。
多级过滤技术
防火墙采用了分组、应用网关和电路网关的三级过滤措施。在分组过滤一级,过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,利用FIP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务执行严格的控制。
Internet网关技术
由于是直接串连在网络之中,防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
|