|
防火墻概念原理
在網(wǎng)絡中,所謂“防火墻”�����,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實際上是一種隔離技術�。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡��,同時將你“不同意”的人和數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說��,如果不通過防火墻��,公司內(nèi)部的人就無法訪問Internet�����,Internet上的人也無法和公司內(nèi)部的人進行通信�����。 防火墻(FireWall)成為近年來新興的保護計算機網(wǎng)絡安全技術性措施���。它是一種隔離控制技術,在某個機構的網(wǎng)絡和不安全的網(wǎng)絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問����,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡上被非法輸出。作為Internet網(wǎng)的安全性保護軟件�����,F(xiàn)ireWall已經(jīng)得到廣泛的應用�����。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全�����,在企業(yè)網(wǎng)和Internet間設立FireWall軟件���。企業(yè)信息系統(tǒng)對于來自Internet的訪問����,采取有選擇的接收方式����。它可以允許或禁止一類具體的IP地址訪問�,也可以接收或拒絕TCP/IP上的某一類具體的應用��。如果在某一臺IP主機上有需要禁止的信息或危險的用戶��,則可以通過設置使用FireWall過濾掉從該主機發(fā)出的包����。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息,那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過����。這對于路由器來說,就要不僅分析IP層的信息��,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍�����。FireWall一般安裝在路由器防火墻上以保護一個子網(wǎng)�����,也可以安裝在一臺主機上���,保護這臺主機不受侵犯���。
防火墻種類
從實現(xiàn)原理上分,防火墻的技術包括四大類:網(wǎng)絡級防火墻(也叫包過濾型防火墻)�、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻�����。它們之間各有所長����,具體使用哪一種或是否混合使用,要看具體需要����。
網(wǎng)絡級防火墻
一般是基于源地址和目的地址、應用�、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻����,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉發(fā),但它不能判斷出一個IP包來自何方���,去向何處�����。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符�����。如果沒有一條規(guī)則能符合����,防火墻就會使用默認規(guī)則,一般情況下�,默認規(guī)則就是要求防火墻丟棄該包。其次����,通防火墻過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能夠判斷是否允許建立特定的連接��,如Telnet����、FTP連接。
應用級網(wǎng)關
應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包���,通過網(wǎng)關復制傳遞數(shù)據(jù)���,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系���。應用級網(wǎng)關能夠理解應用層上的協(xié)議����,能夠做復雜一些的訪問控制,并做精細的注冊和稽核����。它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠對數(shù)據(jù)包分析并形成相關的報告����。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取���。 在實際工作中�,應用網(wǎng)關一般由專用工作站系統(tǒng)來完成�。但每一種協(xié)議需要相應的代理軟件,使用時工作量大����,效率不如網(wǎng)絡級防火墻�。 應用級網(wǎng)關有較好的訪問控制��,是目前最安全的防火墻技術����,但實現(xiàn)困難,而且有的應用級網(wǎng)關缺乏“透明度”����。在實際使用中,用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時����,經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。
電路級網(wǎng)關
電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息��,這樣來決定該會話(Session)是否合法��,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包�����,這樣比包過濾防火墻要高二層��。電路級網(wǎng)關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網(wǎng)關的專用應用級代碼����。這種代理服務準許網(wǎng)管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網(wǎng)關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過���,一旦判斷條件滿足�,防火墻內(nèi)部網(wǎng)防火墻絡的結構和運行狀態(tài)便“暴露”在外來用戶面前���,這就引入了代理服務的概念,即防火墻內(nèi)外計算機系統(tǒng)應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現(xiàn)����,這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時����,代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾���、記錄和報告等功能�。代理服務技術主要通過專用計算機硬件(如工作站)來承擔���。
規(guī)則檢查防火墻
該防火墻結合了包過濾防火墻�����、電路級網(wǎng)關和應用級網(wǎng)關的特點�。它同包過濾防火墻一樣,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號��,過濾進出的數(shù)據(jù)包�。它也象電路級網(wǎng)關一樣,能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序����。當然它也象應用級網(wǎng)關一樣,可以在OSI應用層上檢查數(shù)據(jù)包的內(nèi)容����,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點���,但是不同于一個應用級網(wǎng)防火墻關的是���,它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù),它允許受信任的客戶機和不受信任的主機建立直接連接��。規(guī)則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數(shù)據(jù)����,這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包,這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效���。
防火墻的使用
防火墻具有很好的保護作用�����。入侵者必須首先穿越防火墻的安全防線��,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別�。高級別的保護可能會禁止一些服務,如視頻流等���,但至少這是你自己的保護選擇���。 在具體應用防火墻技術時,還要考慮到兩個方面: 一是防火墻是不能防病毒的���,盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能����。 二是防火墻技術的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題,如果延遲太大將無法支持實時服務請求��。并且���,防火墻采用濾波技術�,濾波通常使網(wǎng)絡的性能降低50%以上�����,如果為了改善網(wǎng)絡性能而購置高速路由器�����,又會大大提高經(jīng)濟預算����。 總之����,防火墻是企業(yè)網(wǎng)安全問題的流行方案,即把公共數(shù)據(jù)和服務置于防火墻外�����,使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡安全技術����,防火墻具有簡單實用的特點,并且透明度高���,可以在不修改原有網(wǎng)防火墻絡應用系統(tǒng)的情況下達到一定的安全要求���。
防火墻功能
防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描,這樣能夠過濾掉一些攻擊����,以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口�����。而且它還能禁止特定端口的流出通信����,封鎖特洛伊木馬�����。最后,它可以禁止來自特殊站點的訪問�����,從而防止來自不明入侵者的所有通信�。
網(wǎng)絡安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性�����,并通過過濾不安全的服務而降低風險��。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻����,所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡�,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)防火墻部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊���,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑�����。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員����。
強化網(wǎng)絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令��、加密���、身份認證����、審計等)配置在防火墻上���。與將網(wǎng)絡安全問題分散到各個主機上相比���,防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時�����,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上�����,而集中在防火墻一身上�。
監(jiān)控審計
如果所有的訪問都經(jīng)過防火墻,那么�,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)���。當發(fā)生可疑動作時���,防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息����。另外,收集一個網(wǎng)絡的使用和誤用情況也是非常重要的��。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊�����,并且清楚防火墻的控制是否充足�。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。
防止內(nèi)部信息的外泄
通過利用防火墻對內(nèi)部網(wǎng)絡的劃分����,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離����,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響�����。再者���,隱私是內(nèi)部網(wǎng)絡非常關心的問題�,一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣��,甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞���。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger����,DNS等服務����。Finger顯示了主機的所有用戶的注冊名、真名�,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度���,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等����。
防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解�。除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN(虛擬專用網(wǎng))�。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
