Internet防火墙技术综述

　
　　1)取消危险的系统调用；?
　　
　　2)限制命令的执行权限；?
　　
　　3)取消IP的转发功能；?
　　
　　4)检查每个分组的接口；?
　　
　　5)采用随机连接序号；?
　　
　　6)驻留分组过滤模块；?
　　
　　7)取消动态路由功能；?
　　
　　8)采用多个安全内核。?
　　
　　5.2代理系统的建立?
　　
　　防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。?
　　
　　在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组：?
　　
　　1)源地址；?
　　
　　2)目的地址；?
　　
　　3)时间；?
　　
　　4)同类服务器的最大数量。?
　　
　　所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。?
　　
　　所有从内部网络SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络SSN的连接。?
　　
　　5.3分组过滤器的设计?
　　
　　作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数。?
　　
　　1)进站接口；?
　　
　　2)出站接口；?
　　
　　3)允许的连接；?
　　
　　4)源端口范围；?
　　
　　5)源地址；?
　　
　　6)目的端口的范围等。?
　　
　　对每一种参数的处理都充分体现设计原则和安全政策。?
　　
　　5.4安全服务器的设计?
　　
　　安全服务器的设计有两个要点：第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。?
　　
　　SSN上的每一个服务器都隐蔽于Internet，SSN提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现SSN的关键在于：?
　　
　　1)解决分组过滤器与SSN的连接；?
　　
　　2)支持通过防火墙对SSN的访问；?
　　
　　3)支持代理服务。?
　　
　　5.5鉴别与加密的考虑?
　　
　　鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种一种是加密卡(CryptoCard)；另一种是SecureID，这两种都是一次性口令的生成工具。
　　
　　?
　　
　　对信息内容的加密与鉴别则涉及

《Internet防火墙技术综述(第5页)》