2024年3月25日发(作者:360压缩包下载)
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜
在破坏性的侵入。
1.什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全
域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地
对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 在逻辑上,
防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之
间的任何活动,保证了内部网络的安全。
防火墙(Firewall),是一种硬体设备或软体系统,主要架设在内部网路和外部网路间,
为了防止外界恶意程式对内部系统的破坏,或是阻止内部重要资讯向外流出,有双向监督
的功能。藉由防火墙管理员的设定,可以弹性的调整安全性的等级。
2.使用Firewall的益处:
•
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重
定向封包。
•
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另
外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
•
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于
整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不
同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过
一次认证即可访问内部网。
•
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
•
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,
并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
•
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决
于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
•
数 据 包 过 滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统
内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数
据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允
许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和
透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,
因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺
点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是
数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
•
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功
能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据
包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系
统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判
定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火
墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访
问和攻击。
•
代 理 服 务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or
TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存
在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防
火墙内外计算机系统间应用层的" 链接",由两个终止代理服务器上的" 链接"来实现,外
部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹
象时会向网络管理员发出警报,并保留攻击痕迹。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1711323823a1885225.html
评论列表(0条)