第六章 防火墙技术



                 网络地址转换技术。防火墙利用 NAT 技术能透明地对所有内部地址做转换，
            使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的 IP
            源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正
            确的地址。
                 Internet 网关技术。由于是直接串联在网络之中，防火墙必须支持用户在

            Internet 互联的所有服务，同时还要防止与 Internet 服务有关的安全漏洞，故它要
            能够以多种安全的应用服务器（包括 FTP.Finger，mail，Ident，News，WWW 等）
            来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变

            根系统调用（chroot)”做物理上的隔离。在域名服务方面，新一代防火墙采用两
            种独立的域名服务器：一种是内部 DNS 服务器，主要处理内部网络和 DNS 信息；
            另一种是外部 DNS 服务器，专门用于处理机构内部向 Internet 提供的部分 DNS
            信息。在匿名 FTP 方面，服务器只提供对有限的受保护的部分目录的只读访问。
            在 WWW 服务器中，只支持静态的网页，而不允许图形或 CGI 代码等在防火墙

            内运行。在 Finger 服务器中，对外部访问，防火墙只提供可由内部用户配置的基
            本的文本信息，而不提供任何与攻击有关的系统信息。SMTP 与 POP 邮件服务器
            要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内

            部的邮件环境。Ident 服务器对用户连接的识别做专门处理，网络新闻服务则为
            接收来自 ISP 的新闻开设了专门的磁盘空间。
                 安全服务器网络（SSN)。为了适应越来越多的用户向 Internet 上提供服务时
            对服务器的需要，新一代防火墙采用分别保护的策略对用户上网的对外服务器实
            施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是

            内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络（SSN）技术。
            而对 SSN 上的主机既可单独管理，也可设置成通过 FTP，Telnet 等方式从内部网
            上管理。

                 用户鉴别与加密。为了降低防火墙产品在 Telnet，FTP 等服务和远程管理上
            的安全风险，鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作
            为用户的鉴别手段，并实现了对邮件的加密。
                 用户定制服务。为了满足特定用户的特定需求，新一代防火墙在提供众多服
            务的同时，还为用户定制提供支持，这类选项有：通用 TCP、出站 UDP，FTP，

            SMTP 等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方


                                                                                    179
                                                                                    179