|
时间; ● 同类服务器的最大数量。 所有外部网络到防火墙内部或SSN的连接由进站代理处理,进站代理要保证内部主机能了 解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。 所有从内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须 确保由它代表的内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时 还要处理内部网络到SSN的连接。 3. 分组过滤器的设计 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问。过滤器在 调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过 滤功能都在内核中IP堆栈的深层运行,极为安全。分组过滤器包括以下参数: ● 进站接口; ● 出站接口; ● IP协议特征; ● 允许的连接; ● 源端口范围; ● 源地址; ● 目的地址; ● 目的端口的范围; ● 对每一种参数的处理都要充分体现设计原则和安全政策。 4. 安全服务器的设计 安全服务器的设计有两个要点:第一,所有SSN的流量都要隔离处理,即从内部网和外部 网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像 是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式 十分有限。 SSN上的每一个服务器都是隐蔽在Internet中的,SSN提供的服务对外部网络而言像防火 页码:[1] [2] [3] [4] [5] [6] [7] [8] 第5页、共8页 |
