日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

75 FreeBSD連載:防火墻技術(shù)( 二 )

云知道


一般來講,由于代理服務(wù)器要針對一個請求啟動一個代理服務(wù)連接,因此代理服務(wù)器效率不高,但是如果針對具體的服務(wù)應(yīng)用,可以在代理服務(wù)器上配置大量的緩沖區(qū),通過緩沖區(qū)可以提高其工作效率,提供更高的性能 。例如對于使用HTTP代理服務(wù)器時,代理服務(wù)器就能在緩沖區(qū)中查找到同樣的數(shù)據(jù),因而不必再次訪問Internet,減少了對寶貴的Internet帶寬的占用 。代理服務(wù)器不僅是一個防火墻技術(shù),它還能用來提高訪問Internet的效率 。
常用的代理服務(wù)器有http代理,ftp代理等,所有的代理服務(wù)能力都需要客戶軟件的支持,這也意味著當(dāng)用戶要使用代理功能的時候,需要設(shè)置客戶軟件,如瀏覽器,如果客戶軟件不支持代理功能,就無法使用代理服務(wù)器 。然而,為了減輕配置負擔(dān)、利用代理服務(wù)器的緩沖能力,可以設(shè)置一種透明代理服務(wù)器,這種方式不需要設(shè)置客戶軟件,通過設(shè)置路由器,將本來發(fā)送到其他計算機的IP數(shù)據(jù)包,依據(jù)IP地址和端口轉(zhuǎn)發(fā)到代理服務(wù)器中 。
網(wǎng)絡(luò)地址翻譯
在TCP/IP開始開發(fā)的時候,沒有人會想象到它發(fā)展的如此之快 。當(dāng)前使用的IPv4地址空間為32位大小,因而地址資源已經(jīng)十分緊張了 。而下一代的IPv6還沒有得到大家的認可 。FreeBSD雖然有支持IPv6的開發(fā)計劃,正由于整個Internet上IPv6還沒有實施,因此FreeBSD還沒有將以開發(fā)的IPv6合并入正式發(fā)布的系統(tǒng)中去 。
為了解決地址緊張的問題,提出了網(wǎng)絡(luò)地址翻譯(Network Address Translation, NAT)的方法 。NAT能處理每個IP數(shù)據(jù)包,將其中的地址部分進行轉(zhuǎn)換,將對內(nèi)部和外部IP進行直接映射,從一批可使用的IP地址池中動態(tài)選擇一個地址分配給內(nèi)部地址,或者不但轉(zhuǎn)換IP地址,也轉(zhuǎn)換端口地址,從而使得多個內(nèi)部地址能共享一個外部IP地址 。
動態(tài)分配外部IP地址的方法只能有限的解決IP地址緊張的問題,而讓多個內(nèi)部地址共享一個外部IP地址的方式能更有效的解決IP地址緊張的問題 。讓多個內(nèi)部IP地址共享一個外部IP地址,就必須轉(zhuǎn)換端口地址,這樣內(nèi)部不同IP地址但具有同樣端口地址的數(shù)據(jù)包就能轉(zhuǎn)換為同一個IP地址而端口地址不同,這種方法又被稱為端口地址轉(zhuǎn)換(Port Address Translation, PAT),或者稱為IP偽裝(IP masquerading)
網(wǎng)絡(luò)地址翻譯也是一個重要的防火墻技術(shù),因為它對外隱藏了內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu),外部攻擊者無法確定內(nèi)部計算機的連接狀態(tài) 。并且不同的時候,內(nèi)部計算機向外連接使用的地址都是不同的,給外部攻擊造成了困難 。同樣NAT也能通過定義各種映射規(guī)則,屏蔽外部的連接請求,并可以將連接請求映射到不同的計算機中 。
【75 FreeBSD連載:防火墻技術(shù)】網(wǎng)絡(luò)地址翻譯都和IP數(shù)據(jù)包過濾一起使用,就構(gòu)成一種更復(fù)雜的包過濾型的防火墻 。僅僅具備包過濾能力的路由器,其防火墻能力還是比較弱,抵抗外部入侵的能力也較差,而和網(wǎng)絡(luò)地址翻譯技術(shù)相結(jié)合,就能起到更好的安全保證 。
主動監(jiān)測技術(shù)
無論是包過濾,還是代理服務(wù),都是根據(jù)管理員預(yù)定義好的規(guī)則提供服務(wù)或者限制某些訪問 。然而在提供網(wǎng)絡(luò)訪問能力和防止網(wǎng)絡(luò)安全方面,顯然存在矛盾,只要允許訪問某些網(wǎng)絡(luò)服務(wù),就有可能造成某種系統(tǒng)漏洞,然而如果限制太嚴厲,合法的網(wǎng)絡(luò)訪問就受到不必要的限制 。代理型的防火墻的限制就在這個方面,必須為一種網(wǎng)絡(luò)服務(wù)分別提供一個代理程序,當(dāng)網(wǎng)絡(luò)上的新型服務(wù)出現(xiàn)的時候,就不可能立即提供這個服務(wù)的代理程序 。事實上代理服務(wù)器一般只能代理最常用的幾種網(wǎng)絡(luò)服務(wù),可提供的網(wǎng)絡(luò)訪問十分有限 。
為了在開放網(wǎng)絡(luò)服務(wù)的同時也提供安全保證,必須有一種方法能監(jiān)測網(wǎng)絡(luò)情況,當(dāng)出現(xiàn)網(wǎng)絡(luò)攻擊時就立即告警或切斷相關(guān)連接 。主動監(jiān)測技術(shù)就是基于這種思路發(fā)展起來的,它維護一個記錄各種攻擊模式的數(shù)據(jù)庫,并使用一個監(jiān)測程序時刻運行在網(wǎng)絡(luò)中進行監(jiān)控,當(dāng)一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在與數(shù)據(jù)庫中的某個模式相匹配時,就能推斷可能出現(xiàn)網(wǎng)絡(luò)攻擊 。由于主動監(jiān)測程序要監(jiān)控整個網(wǎng)絡(luò)的數(shù)據(jù),因此需要運行在路由器上,或路由器旁能獲得所有網(wǎng)絡(luò)流量的位置 。由于監(jiān)測程序會消耗大量內(nèi)存,并會影響路由器的性能,因此最好不在路由器上運行 。

推薦閱讀