Google的包过滤和防火墙

  • A+
所属分类:[网络资讯]

  今天无意中用Google搜索了一个敏感关键字,发现竟然可以搜索出结果,看来Google已经从GFW的包过滤名单中被剔除了。当然,网页快照依然是不可以使用的。

  补记,下午再搜索,结果又不行了,看来GFW的包过滤还在Google上起作用,可能是时间阀和命中次数进行了调整,超过一定的命中次数才开始起作用。

  参考资料:走进防火墙

  现在无论是企业,还是个人,信息安全问题都日益成为广泛关注的焦点。不要说绝大多数非专业的企业网站,就边专业的著名网站,如Yahoo!、eBay等著名网站都曾经被黑客用原始的DoS攻击方法攻陷过,软件系统巨人——微软公司的网站也难逃“黑”运。在这样一个大环境下,网络安全问题凝了人们的注意力,大大小小的企业纷纷为自己的内部网络“筑墙”,防病毒与防黑客成为确保企业信息系统安全的基本手段。这里所说的“墙”在相当大程度上指的就是本篇要向大家介绍的“防火墙”。它是企事业单位局域网的安全守护神。但由于它身价的高贵性(动辄十几万),不要说大多数网络爱好者,中、小企业事业单位老总无缘一睹尊容,就连专门从事网络管理的中小企业网管人员也只能是“道听途说”。一时间防火墙这一设备在人们心中显得更是高不可攀。为此,本教程将为大家提供比较详尽的介绍,希望对各位有所裨益。

  一、防火墙概念

  防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。它的网络中经常是以图1所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。

  防火墙的本义是指古代构筑和使用木制结构房屋的时侯,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。

  我们这里所介绍的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。

  以上仅是一种宏观意义的解释,对于防火墙的概念,目前还没有一个准确、标准的定义。通常人们认为:防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性:

  内部网络和外部网络之间的所有网络数据流都必须经过防火墙

  这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的惟一通道,才可以全面、有效地保护企业网部网络不受侵害。

  根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。

  典型的防火墙体系网络结构如图1所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

  只有符合安全策略的数据流才能通过防火墙

  这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络,就是依据这样的工作原理或者说是防护机制进行的。它可以由管理员自由设置企业内部网络的安全策略,使允许的通信不受影响,而不允许的通信全部拒绝地内部网络之外。

  防火墙自身应具有非常强的抗攻击免疫力

  这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。就像公安干警一样,如果自己都没有“百毒不侵”的过硬意志和本领,又如何经得住罪犯的种种诱惑和攻击呢?防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

  二、防火墙的分类

  认识了防火墙之后,我们就来对当前市场上的防火墙进行一下分类。目前市场的防火墙产品非常之多,划分的标准也比较杂。在此我们对主流的分类标准进行介绍。

  1. 从防火墙的软、硬件形式分

  很明显,如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙。

  最初的防火墙与我们平时所看后劲的集线器、交换机一样,都属于硬件产品。如图2所示的是3Com公司的一款3Com SuperStack 3防火墙。它在外观上与平常我们所见到的集线器和交换机类似,只是只有少数几个接口,分别用于连接内、外部网络,那是由防火墙的基本作用决定的。

  随着防火墙应用的逐步普及和计算机软件技术的发展,为了满足不同层次用户对防火墙技术的需求,许多网络安全软件厂商开发出了基于纯软件的防火墙,俗称“个人防火墙”。之所以说它是“个人防火墙”,那是因为它是安装在主机中,只对一台主机进行防护,而不是对整个网络。

  2. 从防火墙技术来分

  防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: