计算机网络混合型防火墙系统的设计与实现(2)
2014-02-02 02:37
导读:堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包,从最底层协议到高层协议逐层分析,提取与安全相关的各种信息,如:通信信息、
堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包,从最底层协议到高层协议逐层分析,提取与安全相关的各种信息,如:通信信息、信息应用的状态等,把获取的信息通过安全通道保密发送给基站主机服务器进行分析,并负责接收基站主机服务器的保密回传的应用服务过滤信息,然后由应用过滤管理器模块负责相关应用服务的过滤功能进行配置,完成过滤工作。
对于内部网络中非法用户的操作,如最常见的IP地址的盗用,一般在内部路由器中实施网络适配器的物理地址和IP地址绑定实现,但随着子网和IP地址的增加,其扩展性较差。我们考虑到每一个网络用户都有一个唯一的硬件地址,这个唯一的硬件地址在网络中以网帧传输,在给用户IP地址的时候,在基站主机服务器中自动建立一个表,该表中记录IP地址和映射的物理地址,当用户在使用网络服务的时候,从该节点发送一个经过打包的数据到网络中,该数据包包括此节点的IP地址与映射的物理地址,数据包在发送的时候读取基站主机服务器中的表,如果IP地址与映射的物理地址相符的时候,就可以完成网络通信,通过屏蔽子网与外部网络实施联接,否则,请求更新基站主机服务器中的表,进行再次核实,这样可以避免网络内部盗用护地址和非法使用IP地址的用户进入屏蔽子网。对于其他的网络攻击,一样可以通过基站主机服务器中的智能认证系统认证后,方可进入屏蔽子网,通过堡垒主机指定的端口完成网络通信。
基站主机服务器上的智能认证中心实际是一个专家服务系统,该系统主要由堡垒主机中过滤管理器保密传送的信息使其运行。无论是外部请求还是内部请求,在通过内外部防火墙后,都要在屏蔽子网中经堡垒主机指定端口方可完成访问。然后看前方针对数据包的过滤规则,如果规则阻止传输,该数据包丢弃;如果规则允许传输,该数据包通过防火墙;如果规则中没有任何满足该数据包的规则,堡垒主机上的过滤管理器就对该数据包进行分析,从中提取信息保密发送给基站主机服务器,智能认证系统把刚刚接收到信息与相关数据库中数据比较、分析、推断,得出过滤策略,通过保密通信更新内外部防火墙的路由表及过滤规则。
(转载自中国科教评价网www.nseac.com )
无论内外部网络访问没有通过基站主机服务器的认证和堡垒主机分配的端口,均不能通过前方防火墙,这时就会中断网络通信。假设攻破堡垒主机,接收不到基站主机服务器的保密回传应用服务过滤信息,不能满足前方防火墙中的过滤规则,就不能通过防火墙,这样对内外部网络形成不了威胁。无论内外部网络访问没有通过基站主机服务器的认证和堡垒主机分配的端口,均不能通过前方防火墙,这时就会中断网络通信。假设攻破堡垒主机,接收不到基站主机服务器的保密回传应用服务过滤信息,不能满足前方防火墙中的过滤规则,就不能通过防火墙,这样对内外部网络形成不了威胁。
结语
由以上分析可以看出,该混合型防火墙吸收了包过滤技术、网络地址转换技术、Internet网关技术等防火墙技术,可以自动根据具体情况完成内外主机直接通信,可智能更新信息的过滤规则,自动配置过滤策略,具有防病毒功能,自动生成事件
日记。经模拟网络攻击,该防火墙都能较好地抵御来自内外部的威胁,保证网络的安全和使用效率,达到了保证网络安全运行的目的和设计的初衷。
参考文献:
[1]信息技术研究中心.网络信息安全新技术与标准规范实用手册[M].第1版.北京:电子信息出版社.2004
[2]周学广、刘艺.信息安全学[M].第1版.北京:机械工业出版社.2003
[3]陈月波.网络信息安全[M].第1版.武汉:武汉工业大学出版社.2005
[4]宁蒙.网络信息安全与防范技术[M].第1版.南京:
东南大学出版社.2005
