转至繁体中文版     | 网站首页 | 图文教程 | 资源下载 | 站长博客 | 图片素材 | 武汉seo | 武汉网站优化 | 
最新公告:     敏韬网|教学资源学习资料永久免费分享站!  [mintao  2008年9月2日]        
您现在的位置: 学习笔记 >> 图文教程 >> 网络应用 >> 网络安全 >> 正文
基于C/S架构的分布式防火墙         ★★★★

基于C/S架构的分布式防火墙

作者:闵涛 文章来源:闵涛的学习笔记 点击数:1191 更新时间:2008/3/4 11:50:00
随着政府、企业、个人主机的网络安全需求的与日俱增,防火墙技术应运而生。传统的边界式防火墙是企业内部网络与外部网络的一道屏障,但是其无法对内部网络访问进行控制,也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部,防火墙和防黑客的安全解决方案,而基于C/S架构的分布式防火墙很好地满足了这一需求:它是由安全策略管理服务器[Server]以及客户端防火墙[Client]组成,综合运用多种先进的网络安全技术,为客户提供可靠的网络安全服务。

  一. 分布式防火墙系统架构

  分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成。客户端防火墙工作在各个从服务器、工作站、个人计算机上,根据安全策略文件的内容,依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查,保护计算机在正常使用网络时不会受到恶意的攻击,提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。

  图1展示了分布式防火墙在政府/企业中的应用解决方案。该方案是纯软件防火墙,无须改变任何硬件设备和网络架构,就可以帮助政府/企业阻挡来自内部和外部网络的攻击。

  
防火墙


  图1 分布式防火墙在政府/企业中的应用解决方案

  二. 分布式防火墙功能解析

  在上述图1所示的分布式防火墙解决方案中,左边为政府/企业内部网络(内网)的应用拓扑结构图,中间为Internet公众网络,我们称之为外部网络(外网),右边为政府/企业办公和业务的延伸部分,处于外部网络环境中。在内部的财务、总裁办、人事、档案、网络管理等主机,以及数据库服务器,文件服务器上存放着政府/企业的重要信息,这些信息一旦泄漏或者存放信息的主机遭到破坏,会给政府/企业带来不良的后果。如果不采取相应措施,此网络很容易遭受来自外网和内网上的黑客攻击。若使用边界式防火墙,则外网的攻击将被阻拦,但从数据统计看,还有大部分网络攻击/破坏来源于内部网络的黑客或员工的不小心应用,这时普通防火墙就无能为力了。而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击。所以说,能够很好的阻挡内部和外部网络攻击是政府/企业内部网络安全的重要任务。

  分布式防火墙能很好地解决上述问题。在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后,设置组和用户分别分配给相应的从服务器和PC机工作站,并配置相应安全策略;将客户端防火墙安装在内网和外网中的所有PC机工作站上,客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道,避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤,入侵检测,日志纪录等手段,给主机的安全运行提供强有力的保证。

  具体功能描述如下:

  1、阻止网络攻击

  目前,黑客们常用的攻击手段有以下几种:

  (1)DoS拒绝服务式攻击

  拒绝服务攻击是目前网络中新兴起的攻击手段,针对TCP/IP协议的漏洞,使对方服务器承受过多的信息请求而无法处理,产生阻塞导致正常用户的请求被拒绝。一般地有如下方式:

  (a)Ping-Flood:使用简单的Ping命令对服务器发送数据包,如果在很短的时间内服务器收到大量Ping数据包,那么服务器就需要耗费很多资源去处理这些数据包从而导致无法正常工作。

  (b)TCP-SYN-Flood: SYN数据包是两台计算机在进行TCP通信之前建立握手信号时所用,正常情况下,SYN数据包中包含有想要进行通信的源机器的IP地址,而服务器收到SYN数据包后将回复确认信息,源机器收到后再发送确认信息给服务器,服务器收到,二者就可以建立连接进行通信了。采用这种攻击方式就是在某一个极短的时间内向对方服务器发送大量的带有虚假IP地址的SYN数据包,服务器发出确认信息,但是却无法收到对方的回复,就要耗费大量的资源去处理这些等待信息,最后将使系统资源耗尽以至瘫痪。

  (c)UDP-Flood: UDP是基于非连接的用户数据报通讯协议,不包含流控制机制。UDP数据包很容易使得计算机系统忙于响应而丧失正常的网络业务能力。

  另外还有诸如ICMP-Flood, IGMP-Flood等攻击手段,在此不一一详述。

  (2)源路由包攻击

  源路由包采用了极少使用的一个IP选项,它允许发起者来定义两台机器间所采取的路由,而不是让中间的路由器决定所走的路径。与ICMP的重定向相比,这种特性能使一个黑客来欺骗你的系统,使之相信它正在与一台本地机器、一台ISP机器或某台其他可信的主机对话。

  (3)利用型攻击

  利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的就是特洛伊木马(Trojan Horse)。例如BO2000就是典型的特洛伊木马程序。

  (4)信息收集型攻击

  信息收集型攻击在初期并不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息,例如:端口扫描技术,黑客使用特殊的应用程序对服务器的每个端口进行测试,以寻找可以进入的端口或者找出某些端口可以利用的安全漏洞。

  以上的各种攻击手段,分布式防火墙可以及时地发现,并且采取相应的措施以控制事件的进一步发展,同时记录该攻击事件。


[网络技术]PPTP服务器的端口  [C语言系列]Socket 编程,一个服务器,多个客户端,互相通信
[网络安全]2008网络安全与江民推出的六大反病毒技术  [网络安全]保证网络安全的六大手段
[网络安全]十大技术摆脱莫名黑客的网络攻击下篇  [网络安全]十大技术摆脱莫名黑客的网络攻击上篇
[网络安全]黑客入侵计算机常用的四种手法及防范措施  [网络安全]黑客赚黑钱,在互联网上发横财是黑客的最爱
[网络安全]如何关闭端口防止病毒与黑客入侵  [网络安全]安全知识:堵住黑客非法入侵的11点重要基本原则
教程录入:mintao    责任编辑:mintao 
  • 上一篇教程:

  • 下一篇教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网]
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    同类栏目
    · QQ技巧  · 网络安全
    · 网络技术
    更多内容
    热门推荐 更多内容
  • 没有教程
    		•
    赞助链接
    更多内容
    闵涛博文 更多关于武汉SEO的内容
    500 - 内部服务器错误。

    500 - 内部服务器错误。

    您查找的资源存在问题,因而无法显示。
    | 设为首页 |加入收藏 | 联系站长 | 友情链接 | 版权申明 | 广告服务
    MinTao学以致用网

    Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved.
    闵涛 投放广告、内容合作请Q我! E_mail:admin@mintao.net(欢迎提供学习资源)

    站长:MinTao ICP备案号:鄂ICP备11006601号-18

    闵涛站盟:医药大全-武穴网A打造BCD……
    		咸宁网络警察报警平台