第四章  网络信息安全







                           （4）防火墙支持具有互联网服务特性的企业内部网络技术体系虚拟专用网络。通过
                      防火墙/VPN将一个单位分布于全世界各地的局域网或专用子网，有机地连成一个整体，不
                      仅省去了铺设专用通信线路的巨大开销，还可消除地域的差异，而且为信息共享提供了安

                      全技术保障，如图4-16所示。












                                             广东教育出版社










                                                        图4-16  防火墙支持虚拟专用网


                           （5）防火墙能有效记录各种网络活动，遇到可疑的网络活动时会发出警报，并为网络
                      管理员提供全面的信息，例如谁在访问网络、在网络上访问哪些信息……防火墙一旦监控
                      到可疑的动作就会自动报警，并提供攻击者和监测的具体信息，便于管理人员及时处理。

                           按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防
                      火墙和代理服务型防火墙（应用层网关防火墙）。
                           1．包过滤防火墙

                           网上传输的文件一般都在发出端被划分为一串数据包，经过网上的中间站点传到目的
                      地后，这些包中的数据又重新组装成原来的文件。包过滤防火墙依据数据包的源地址、目
                      的地址和传送协议来判断哪些数据包可以进出网络而哪些数据包应被网络拒绝，如图4-17
                      所示。这种方式的优点是仅用一个放置在重要位置上的包过滤路由器就可以保护整个网

                      络，成本较低，处理速度快；其缺点是定义复杂，容易出现因匹配不当而带来的问题。























                                                           图4-17  包过滤防火墙
              88  88







          9        9     JOEE