具有让世界上任何地方任何计算机相连的能力是一件喜忧参半的事。对于坐在家中环游因特网的人来说,是乐趣无穷;但对于公司的安全性主管,这是一个噩梦。大多数公司在网上都有大量的机密信息------商务秘密、产品开发计划、商场战略、经济分析等。让竞争者知道这些信息会产生难以预料的后果。
一、防火墙技术
除了信息外泄的危险,还有信息渗入的危险。特别是,病毒等各种数字害虫(Kaufman)会破坏机密,毁掉有价值的数据,并浪费管理员大量的时间清理它们留下的垃圾。一种方法是加密,这种办法可以保护数据在两个安全点之间的传送。但是,加密并不能防止数字害虫和黑客的入侵。要达到这一目的,我们要用要防火墙。对于拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过防火墙。防火墙通常由两个组成部分:两个用作分组筛选的路由器和一个应用程序网关。也有更简单的配置,但这种设计的优点在于,每个进出的分组都必须经过两个筛选器和一个应用程序网关,不再有其他的路由器。每个分组筛选器(packet filter)是一个装备有额外功能的标准路由器,这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
如上图所示,很有可能位于内部LAN的分组筛选器检查外出分组,而位于外部LAN的分组筛选器检查进入分组。通过第一道关卡的分组再送入应用程序网关作进一步的检查。将两个分组筛选器分别放到两个网络上的原因,是为了保证没有进出分组能不经过应用程序网关,也就是说没有可绕过它的路由可走。
应用程序网关除了只查看纯分组,还在应用程序级对其进行操作。例如,一个邮件网关可用来检查每条进出的信息。对于每条信息,它根据头信息字段、消息长度、甚至内容来决定是传送还是丢弃(例如,在军事应用中,“原子弹”或“炸弹”字眼的出现可能会导致某些特别行为)。
可以为特殊的应用程序安装一个或多个应用程序网关,但往往谨慎的机构只允许电子函件的进出和使用万维网,其他的应用被认为太危险而禁止使用。结合加密和分组筛选,可提供有限的安全性,其代价是有些不方便。值得一提的是设计一个逻辑上完全安全的系统很容易,但实际上可能像筛子一样漏洞百出。如果有些机器是无线上网的,并且使用微波通信,正好从两个方向上绕过了防火墙,就会出现上述情形。