ChinaopubcoM 第4章服器护737 下载 ·允许非UDP端口 ·只允许使用IPv6,这是IP的一个新版本并有更多的安全特性 根据服务器的使用情况,TCP/ P Filtering对话框如图244所示。 F Enate TCPAP Fang IA adpter 护P通 图244 TCP/P Filtering对话框 24.2.3防火墙和代理服务器 在继续完善安全策略之前,需在网络安全问题上再多说一点。因为 Internet以惊人的速度 增长,以致于黑客活动频繁,所以人们比以前任何时候都更加关心网络安全。我们已经掌握 了一些保护服务器的方法,但一种最广泛的方法是用防火墙或代理服务器,在服务器和网络 之间做为缓冲 防火墙是能在两个网络之间,通常是 Internet和内部网络之间,建立一道安全屏 的硬件设施。代理服务器是特殊类型的防火墙,能够代表一个计算机完成其自身 不能或不想完成的工作。 防火墙设置为一个网络接口面向内部网络,另一个接口面向 Internet,两者之间没有直接 连接。这里可以有多个网卡,但为简单起见,我们假设使用了两个网卡。 防火墙和代理服务器的用途是取得不可路由的(non- routable)地址,并把它们转换成可路 由的( routable地址。由于它们能控制经过它所传递的信息,所以对于防止自己网络受到侵害 和骚扰有很大作用。另外,防火墙也可以阻止向 Internet上传递敏感信息 通常防火墙的工作方式基于两句话 没有明确的允许就是否定 ·没有明确的禁止就是允许 者之间的差异是很容易理解的。为了安全起见,应该选择非肯定即否定的观点。如果 择了后者的原则,将会感到在服务器上有很多的工作要做 图24-5是典型的两个网络接口设置的工作方式。 为了特定的目的,在服务器上安装了两个网卡,外部接口用于与外部的 Internet相连,而 内部接口用于与内部局域网相连。这是前面提到的典型设置。连接两端的防火墙将禁止IP路 由。简单地说,局域网与外界的所有通信都来自于防火墙或外部网上的另一个全局地址。防 火墙把内部网与外部公共 Internet分开,并成为我们网络的安全中心• 允许非U D P端口。 • 只允许使用I P v 6，这是I P的一个新版本并有更多的安全特性。 根据服务器的使用情况，TCP/IP Filtering对话框如图2 4 - 4所示。 图24-4 TCP/IP Filtering对话框 24.2.3 防火墙和代理服务器 在继续完善安全策略之前，需在网络安全问题上再多说一点。因为 I n t e r n e t以惊人的速度 增长，以致于黑客活动频繁，所以人们比以前任何时候都更加关心网络安全。我们已经掌握 了一些保护服务器的方法，但一种最广泛的方法是用防火墙或代理服务器，在服务器和网络 之间做为缓冲。 防火墙是能在两个网络之间，通常是 I n t e r n e t和内部网络之间，建立一道安全屏 障的硬件设施。代理服务器是特殊类型的防火墙，能够代表一个计算机完成其自身 不能或不想完成的工作。 防火墙设置为一个网络接口面向内部网络，另一个接口面向 I n t e r n e t，两者之间没有直接 连接。这里可以有多个网卡，但为简单起见，我们假设使用了两个网卡。 防火墙和代理服务器的用途是取得不可路由的 ( n o n - r o u t a b l e )地址，并把它们转换成可路 由的( r o u t a b l e )地址。由于它们能控制经过它所传递的信息，所以对于防止自己网络受到侵害 和骚扰有很大作用。另外，防火墙也可以阻止向 I n t e r n e t上传递敏感信息。 通常防火墙的工作方式基于两句话： • 没有明确的允许就是否定。 • 没有明确的禁止就是允许。 二者之间的差异是很容易理解的。为了安全起见，应该选择非肯定即否定的观点。如果 选择了后者的原则，将会感到在服务器上有很多的工作要做。 图2 4 - 5是典型的两个网络接口设置的工作方式。 为了特定的目的，在服务器上安装了两个网卡，外部接口用于与外部的 I n t e r n e t相连，而 内部接口用于与内部局域网相连。这是前面提到的典型设置。连接两端的防火墙将禁止 I P路 由。简单地说，局域网与外界的所有通信都来自于防火墙或外部网上的另一个全局地址。防 火墙把内部网与外部公共I n t e r n e t分开，并成为我们网络的安全中心。 第2 4章 服务器防护计计737 下载