科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道两种过滤结构的商用防火墙介绍(3)

两种过滤结构的商用防火墙介绍(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

目前常用的防火墙有两种结构:即子网过滤结构的防火墙和主机过滤的防火墙。对于这两种结构的防火墙我们所提供的基本服务包括:终端访问、文件传输、电子邮件、Usenet新闻、www浏览以及域名服务DNS。

作者:51CTO.COM 2007年11月5日

关键字: 防火墙 子网 主机 过滤

  • 评论
  • 分享微博
  • 分享邮件

  注意,为了使用在服务主机上的FTP代理服务器,用户的过滤路由器必须允许这样的TCP连接,它们源自外部系统的23号端口,目的端口是服务主机的大于1023的端口。对一个通常的堡垒主机,这不成问题,因为其它服务不使用这个端口。然而,对服务主机而言就可能不是这样,这些端口也有可能保留做其它用途。

  在任何配置中,进入的用户FTP与进入的Telnet走的是同样的路,在Telnet服务中我们已经决定禁止外部用户进入的Telnet,同样也要禁止外部用户进入的FTP。为什么?因为在子网过滤结构中,当进入的匿名FTP到达堡垒主机时,其风险是可以承受的,然而,进入的匿名FTP到达服务主机时,这种服务所造成的危险是不可估量的,因为这里可能有机密数据和对内部网络的安全访问权限,所以我们也必须禁止它。

  SMTP:在主机过滤结构中,可能只有一种办法来建立SMTP服务。进入的邮件应当通过DNSMX记录被引导到服务主机上,外出邮件应当通过服务主机发出。事实上没有其它更合适的办法。正如我们在上面所讨论的那样,让进入邮件直接到达所有的内部机器是不适宜的。同样,一旦已将进入邮件通过一个单一的点引导进来,那么要将外出邮件通过那里发出,比把邮件直接发出实际上更容易(注意不是指更安全)。

  NNTP:与SMTP一样,在主机过滤结构中也许只有一种建立NNTP的办法,这就是用另外一台内部机器作为Usenet新闻服务器,并且允许NNTP服务直接通向它。我们将把服务主机当作新闻服务器。然而,最好是干脆放弃新闻服务,当然,这取决于新闻服务会给机器带来多大的负载,以及服务主机的重要程度。

  HTTP:正如在前面例子中所说的那样,HTTP可以通过包过滤直接提供,或者通过代理服务器间接地提供。然而,最有意义的还是通过带有缓冲的代理服务器,比如CERNHTTP服务器来间接地提供HTTP服务。这样做的理由是:由于缓冲的作用,性能也就提高了。

  在此例中,假定将要通过运行在服务主机上的一个CERN代理服务器来提供HTTP服务。由于风险的原因(这种风险由于服务主机的敏感位置而进一步复杂化了),只提供本地用户向外的服务,对外部来的客户将关闭此项服务。

  DNS:与其它大多数服务一样,在主机过滤结构中,实际上只有一个比较合适的地方可以安放DNS服务器,即放在服务主机上。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章