_ __
1、先进的防火墙产品将网关与安全系统合二为一,具有以下技术与功能。
2、双端口或三端口的结构。新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作ip转化而串接于内部网与外部网之间,另一个网卡可专用于对*的安全保护。
3、透明的访问方式。以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过socks等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
4、灵活的代理系统。代理系统是一种将*从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制,一种用于代理从内部*到外部*的连接,另一种用于代理从外部*到内部*的连接。前者采用*地址转换(nat)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
5、多级的过滤技术。为保证系统的安全性和防护水平,新一代防火墙采用了*过滤措施,并辅以鉴别手段。在 分组过滤一级,能过滤掉所有的源路由分组和假冒的ip源地址;在应用级网关一级,能利用ftp、smtp等各种网关,控制和监测internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
6、*地址转换技术(nat)。新一代防火墙利用nat技术能透明地对所有内部地址作转换,使外部*无法了解内部*的内部结构,同时允许内部*使用自己定制的ip地址和专用*,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
7、同时使用nat的*,与外部*的连接只能由内部*发起,极大地提高了内部*的安全性。 nat的另一个显而易见的用途是解决ip地址匮乏问题。
8、internet网关技术。由于是直接串连在*之中,新一代防火墙必须支持用户在internet互连的所有服务,同时还要防止与internet服务有关的安全漏洞。故它要能以多种安全的应用*(包括ftp、 finger、mail、ident、news、www等)来实现网关功能。为确保*的安全性,对所有的文件和命令均要利用改变根系统调用(chroot)作物理上的隔离。
9、在域名服务方面,新一代防火墙采用两种独立的域名*,一种是内部dns*,主要处理内部*的dns*,另一种是外部dns*,专门用于处理机构内部向internet提供的部份dns*。
10、在匿名ftp方面,*只提供对有限的受保护的部份目录的只读访问。在www*中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行,在finger*中,对外部访问,防火墙只提供可由内部用户配置的基本的文本*,而不提供任何与攻击有关的系统*。smtp与pop邮件*要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境,ident*对用户连接的识别作专门处理,*新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。