 |
|
 |
| 您现在的位置: 先创网 >> 网络应用 >> 网络安全 >> 文章正文 |
|
|
| 基于C/S架构的分布式防火墙 |
| 赛迪网 |
| 2008-3-4 15:22:41文/佚名 |
|
|
|
|
|
2、包过滤
包过滤是防火墙防止计算机受到攻击的最基本方法,防火墙实时地监控进入以及出去的数据包,根据特定的过滤规则决定是否让这些数据包通过。分布式防火墙可以直接处理IP(或与IP级别相当的ARP、RARP以及其它的非IP网络协议)数据包的发送与接收,根据数据包的包头信息,分析出网络协议、源地址、目的地址、源端口以及目的端口,然后对照过滤规则进行过滤。对于不符合过滤规则的数据包,防火墙将拒绝通过,同时进行记录或报警。
3、基于状态的过滤
对于面向非连接的UDP网络访问,为了提供较强过滤控制,就必须根据上下文来进行判断。例如:对于一个请求进入的UDP访问,只有在它有对应的出去的UDP访问(地址和端口号相匹配)时才可以接受,否则将拒绝或报警。这就需要IP包过滤模块记录有过去已经发出的UDP访问的列表,这样的列表就叫做上下文。而对于面向连接的TCP访问,同样也可以根据不同的应用协议设定相应的上下文,进行更为细粒度的访问控制。这些技术统称为基于状态的包过滤。对于不符合规则的访问拒绝事件,要进行记录。
4、特洛伊木马过滤
如果有黑客侵入到用户的计算机上,他会运行某一些特殊的应用程序与之进行通信,从而获取一些信息。分布式防火墙维护一个已知的应用程序列表,只有列表中的应用程序才可以使用网络,一旦检测到有未知的应用程序企图使用网络,系统将会提醒用户注意,是否要禁止使用或者是加入到允许访问网络的程序列表中。如果用户不小心运行了带有特洛伊木马的程序,当木马程序企图向网络发送信息时,分布式防火墙将会进行拦截。
5、脚本过滤
脚本过滤功能对常见的各种脚本,如Java Script脚本、VB Script脚本在运行前被一一进行分析检查,判断它们是否会进行比较危险的操作;如果是,则提醒用户注意,并要求用户决定是否允许该脚本执行,从而有选择地让无害的脚本通过,对恶意的脚本进行拦截,实现实时脚本过滤。
6、用户定制的安全策略
用户可以将任意的IP地址加入到自己的信任/不信任地址列表中,对于在信任地址列表中的地址传送过来的数据包,分布式防火墙将不进行任何阻拦,而对于在不信任列表中的地址传送过来的任何数据包,将拒绝接受。如果经常受到某些地址的攻击,用户可以将这些地址加入到不信任地址列表中,拒绝接受这些地址所发出的任何数据包。用户定制的安全策略必须是统一安全策略的超集,也就是说安全级别只能加强不能放松。
7、日志和审计
日志用来记录防火墙在运行过程中所出现的各种情况,通过查看日志,用户可以及时、全面地掌握分布式防火墙本身的运转以及用户的访问情况,并可以根据这些日志来制定或修改安全管理策略。强大的日志记录功能,主要包括:
(1)软件的安装、升级记录;
(2)安全策略改变记录;
(3)被拒绝的网络访问记录:包括被拒绝网络访问的应用程序名,使用的协议,源地址和目的地址,使用的端口等;
(4)遭受到的攻击记录: 包括攻击者使用的协议、端口、来源地址。
8、统一的安全策略管理服务器
安全策略文件以密文形式存放于硬盘中,用户不能直接对其阅读,也不可以对其进行随意更改。分布式防火墙启动时,安全策略文件经解密后加载到防火墙中。复杂的安全策略以Hash表的方法进行检索。使用Hash列表对安全策略文件进行检索能大大加快读取速度,安全策略可以动态更新,更新总在用户态进行,同时磁盘文件也被更新。用户可以在防火墙运行的过程中更改安全级别,而不影响防火墙的正常运行。更新完成后,系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信,保证了安全策略传输时的安全性。另外管理模块功能还包括:用户组管理,基于用户组的安全策略分配,实时监控当前网络状态,查看日志,更改安全级别,更改用户定制的安全属性等。
基于C/S架构的分布式防火墙产品,采用统一的安全策略管理服务器[Server],各台主机客户端[Client]从服务器下载安全策略,设置多层安全过滤,拥有出色的入侵检测和强大的日志管理功能,安装方便,使用简洁,升级快捷,降低了维护成本,形成了可靠的网络安全体系,很好地满足了政府、企业、个人保护网络信息安全的迫切需求。上一页 [1] [2] |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
