传输流通行以及应当拒绝什么传输的清单。换句话说，你开始时先列出你的总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作的清单中。 

第三个问题是财务上的问题。在此，我们只能以模糊的表达方式论述这个问题，但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱，只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月，它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，而且要考虑到像支持服务这类后续费用。 

出于实用目的，我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务，因此基于为一事实，在技术上，还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。 

需要做出的决定是，是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及可能提供的服务水平的降低（由于代理机需要针对每种需要的服务进行开发）。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。

7．防火墙的基本类型是什么？ 

在概念上，有两种类型的防火墙： 

1、网络级防火墙 

2、应用级防火墙 

这两种类型的差异并不像你想像得那样大，最新的技术模糊了两者之间的区别，使哪个“更好”或“更坏”不再那么明显。同以往一样，你需要谨慎选择满足你需要的防火墙类型。 

网络级防火墙一般根据源、目的地址做出决策，输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙，因为它不能做出复杂的决策，不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快，对用户很透明。 

网络级防火墙的例子：在这个例子中，给出了一种称为“屏蔽主机防火墙”（screened hostfirewall）的网络级防火墙。在屏蔽主机防火墙中，对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机（bastion host），是一个可以（希望如此）抵御攻击的高度设防和保险的要塞。 

网络级防火墙的例子：在这个例子中，给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中，对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外，它与被屏蔽主机的作

上一页  [1] [2] [3] [4] [5] [6] [7] [8] 下一页