计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配
            置的危险仅包括堡垒主机、子网主机及设有内网、外网和屏蔽子网的路由器。如
            果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断
            连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若
            禁止网络访问路由器或只允许网中的某些主机访问它，则攻击会变得很困难。在

            这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽
            路由器，并且整个过程不能引发警报。

                 五、新一代防火墙技术的应用和发展


                 新一代防火墙加强了放行数据的安全性，因为网络安全的真实需要是既要
            保证安全，也必须保证应用的正常运行。新一代防火墙既有包过滤的功能，又能
            在应用层进行代理。较传统的防火墙来说，具有先进的过滤和代理体系，能从数
            据链路层到应用层进行全方位安全处理，TCP/IP 协议和代理的直接相互配合，提

            供透明代理模式，减轻客户端的配置工作，使本系统的防欺骗能力和运行的健壮
            性都大大提高；除了访问控制功能外，新一代的防火墙应当还集成了其它许多安
            全技术，如 NAT 和 VPN、病毒防护等、使防火墙的安全性提升到又一高度。
                 （一）新一代防火墙技术

                 新一代的防火墙产品具备以下技术：
                 透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录，
            要么需要通过 SOCKS 等库路径修改客户机的应用。而现在的防火墙利用了透明
            的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

                 灵活地代理系统。代理系统是一种将信息从防火墙的一侧传送到另一侧的
            软件模块。采用两种代理机制：一种用于代理从内部网络到外部网络的连接；另
            一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技

            术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。
                 多级过滤技术。为保证系统的安全性和防护水平，防火墙采用了三级过滤
            措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒 IP
            地址；在应用级网关一级，能利用 FTP，SMTP 等各种网关，控制和监测 Internet
            提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，

            并对服务的通行实行严格控制。


             178
             178