netst技術白皮書

1、ST防火防火墻技術白皮白皮書11安全概述安全概述互聯(lián)網的迅猛發(fā)展，給企業(yè)帶來了革命性的改變，增強了企業(yè)獲得信息的能力，加快了企業(yè)內部信息的交流和辦事效率，提高了市場反應速度，使企業(yè)在商業(yè)競爭中處于有利地位，更具競爭力。在享受Inter帶來的方便與快捷的同時，企業(yè)也要面對Inter開放帶來的數據安全的新挑戰(zhàn)和新危險，如何保護客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問以及保護企業(yè)的機密信息不受黑客和間諜的入侵，成為網絡安全的主要內

2、容。Inter的安全問題是不能忽視的。當用戶與Inter連接時，可以在中間加入一個或幾個中介系統(tǒng)，防止非法入侵者通過網絡進行攻擊，并提供數據可靠性、完整性的安全和審查控制，這些中間系統(tǒng)就是防火墻（Firewall）。防火墻是設置在被保護網絡與外部網絡之間的一道屏障，以防止不可預測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況，以此來實現內部網絡的安全保護。防火墻一方面限制

3、數據流通，一方面又允許數據流通，由于不同網絡的安全要求和管理機制有差別，這對矛盾也有不同的表現形式。這樣就有了兩種極端情況：一是除了非允許不可的，其它都被禁止；二是除了非禁止不可的，其它都被允許，而多數防火墻則在兩者之間采取折衷措施。在確保網絡安全的前提下，應盡量提高跨越防火墻的訪問效率。防火墻提供行之有效的網絡安全機制，是網絡安全策略的有機組成部分。它通過控制和監(jiān)測網絡之間的信息交換和訪問行為實現對網絡安全的有效保障，在內部網與外部網

4、之間實施安全的防范措施。這本白皮書討論清華得實ST防火墻——基于狀態(tài)檢測技術的硬件防火墻。ST防火墻采用專用硬件和安全增強內核設計，具有帶內帶外管理、日志管理、安全策略編輯、安全狀態(tài)檢測等多項強大的安全功能。目前通過國家安全有關部門的安全性評測，并獲得公安部頒發(fā)的“計算機信息系統(tǒng)安全專用產品銷售許可證（XKC33129）”。ST防火墻位于內部網絡與外部網絡的連接處，對進出內部網絡的所有數據進行檢查，符合一定的訪問控制規(guī)則的數據才允許通過

5、，否則要拒絕或修ST防火防火墻技術白皮白皮書32Inter防火墻技術：概述防火墻技術：概述防火墻（Firewall）是用一個或一組網絡設備（計算機系統(tǒng)或路由器等），在兩個或多個網絡間加強訪問控制，以保護一個網絡不受來自另一個網絡攻擊的安全技術。防火墻的組成可以表示為：防火墻=過濾器安全策略（網關），它是一種非常有效的網絡安全技術。在Inter上，通過它來隔離風險區(qū)域（即Inter或有一定風險的網絡）與安全區(qū)域（內部網，如Intra）的連

6、接，但不妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網絡的通信數據，從而完成僅讓安全、核準的信息進入，同時又抵制對企業(yè)構成威脅的數據進入的任務。通常，防火墻服務于以下幾個目的：?限制他人進入內部網絡，過濾掉不安全服務和非法用戶；?限定人們訪問特殊站點；?為監(jiān)視Inter安全提供方便。由于防火墻是一種被動技術，它假設了網絡邊界和服務，因此，對內部的非法訪問難以有效地控制。因此，防火墻適合于相對獨立的網絡，例如Intra等種類相對集中的網絡

7、。防火墻的主要技術類型包括網絡級數據包過濾（wklevelPacketFilter），應用代理服務器（ApplicationlevelProxyServer），狀態(tài)檢測防火墻。2.1包過濾防火墻包過濾防火墻數據包過濾（PacketFiltering）技術是在網絡層對數據包進行分析、選擇，選擇的依據是系統(tǒng)內設置的過濾邏輯，稱為訪問控制表（AccessControlTable）。通過檢查數據流中每一個數據包的源地址、目的地址、所用端口號、協(xié)