|
防火墻概念原理
在網(wǎng)絡(luò)中�,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法�����,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度�,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外�����,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問你的網(wǎng)絡(luò)��。換句話說(shuō)���,如果不通過(guò)防火墻��,公司內(nèi)部的人就無(wú)法訪問Internet��,Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信��。 防火墻(FireWall)成為近年來(lái)新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施��。它是一種隔離控制技術(shù)����,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障�����,阻止對(duì)信息資源的非法訪問���,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出��。作為Internet網(wǎng)的安全性保護(hù)軟件��,F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用����。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全��,在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件��。企業(yè)信息系統(tǒng)對(duì)于來(lái)自Internet的訪問�����,采取有選擇的接收方式����。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用�����。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶,則可以通過(guò)設(shè)置使用FireWall過(guò)濾掉從該主機(jī)發(fā)出的包���。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息���,那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過(guò)。這對(duì)于路由器來(lái)說(shuō)���,就要不僅分析IP層的信息�����,而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍�����。FireWall一般安裝在路由器防火墻上以保護(hù)一個(gè)子網(wǎng)����,也可以安裝在一臺(tái)主機(jī)上��,保護(hù)這臺(tái)主機(jī)不受侵犯。
防火墻種類
從實(shí)現(xiàn)原理上分���,防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級(jí)防火墻(也叫包過(guò)濾型防火墻)、應(yīng)用級(jí)網(wǎng)關(guān)����、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長(zhǎng)���,具體使用哪一種或是否混合使用��,要看具體需要�。
網(wǎng)絡(luò)級(jí)防火墻
一般是基于源地址和目的地址���、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷�����。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻����,大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個(gè)IP包來(lái)自何方���,去向何處����。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合�����,防火墻就會(huì)使用默認(rèn)規(guī)則�����,一般情況下����,默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次��,通防火墻過(guò)定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)����,防火墻能夠判斷是否允許建立特定的連接,如Telnet�、FTP連接。
應(yīng)用級(jí)網(wǎng)關(guān)
應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)����,防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議�����,能夠做復(fù)雜一些的訪問控制����,并做精細(xì)的注冊(cè)和稽核���。它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議�����,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告�����。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制���,以防有價(jià)值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來(lái)完成��。但每一種協(xié)議需要相應(yīng)的代理軟件�,使用時(shí)工作量大,效率不如網(wǎng)絡(luò)級(jí)防火墻��。 應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制��,是目前最安全的防火墻技術(shù)���,但實(shí)現(xiàn)困難����,而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”��。在實(shí)際使用中����,用戶在受信任的網(wǎng)絡(luò)上通過(guò)防火墻訪問Internet時(shí),經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet�。
電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話(Session)是否合法�����,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高二層���。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:代理服務(wù)器(Proxy Server)���。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級(jí)代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能����。包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數(shù)據(jù)包通過(guò)�����,一旦判斷條件滿足��,防火墻內(nèi)部網(wǎng)防火墻絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來(lái)用戶面前�,這就引入了代理服務(wù)的概念,即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來(lái)實(shí)現(xiàn)����,這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)����,代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控�����、過(guò)濾����、記錄和報(bào)告等功能�。代理服務(wù)技術(shù)主要通過(guò)專用計(jì)算機(jī)硬件(如工作站)來(lái)承擔(dān)。
規(guī)則檢查防火墻
該防火墻結(jié)合了包過(guò)濾防火墻�����、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)��。它同包過(guò)濾防火墻一樣���,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)��,過(guò)濾進(jìn)出的數(shù)據(jù)包����。它也象電路級(jí)網(wǎng)關(guān)一樣�,能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣��,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則��。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)����,但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)防火墻關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層的數(shù)據(jù)�����,它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接���。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理�����,而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包����,這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。
防火墻的使用
防火墻具有很好的保護(hù)作用�����。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)����。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)��,如視頻流等����,但至少這是你自己的保護(hù)選擇。 在具體應(yīng)用防火墻技術(shù)時(shí)��,還要考慮到兩個(gè)方面: 一是防火墻是不能防病毒的�,盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題�����,如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求��。并且����,防火墻采用濾波技術(shù),濾波通常使網(wǎng)絡(luò)的性能降低50%以上����,如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器��,又會(huì)大大提高經(jīng)濟(jì)預(yù)算���。 總之�����,防火墻是企業(yè)網(wǎng)安全問題的流行方案���,即把公共數(shù)據(jù)和服務(wù)置于防火墻外����,使其對(duì)防火墻內(nèi)部資源的訪問受到限制�。作為一種網(wǎng)絡(luò)安全技術(shù),防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)�,并且透明度高��,可以在不修改原有網(wǎng)防火墻絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求�����。
防火墻功能
防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過(guò)濾掉一些攻擊���,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行���。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信���,封鎖特洛伊木馬���。最后,它可以禁止來(lái)自特殊站點(diǎn)的訪問����,從而防止來(lái)自不明入侵者的所有通信。
網(wǎng)絡(luò)安全的屏障
一個(gè)防火墻(作為阻塞點(diǎn)��、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性��,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)���。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻����,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)�����,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)防火墻部網(wǎng)絡(luò)��。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊��,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑��。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員�����。
強(qiáng)化網(wǎng)絡(luò)安全策略
通過(guò)以防火墻為中心的安全方案配置�,能將所有安全軟件(如口令、加密����、身份認(rèn)證、審計(jì)等)配置在防火墻上��。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比���,防火墻的集中安全管理更經(jīng)濟(jì)���。例如在網(wǎng)絡(luò)訪問時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上��,而集中在防火墻一身上�����。
監(jiān)控審計(jì)
如果所有的訪問都經(jīng)過(guò)防火墻�,那么,防火墻就能記錄下這些訪問并作出日志記錄��,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)��。當(dāng)發(fā)生可疑動(dòng)作時(shí)����,防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息��。另外���,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的���。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊����,并且清楚防火墻的控制是否充足����。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
防止內(nèi)部信息的外泄
通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分�����,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離����,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者��,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題����,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞��。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger����,DNS等服務(wù)��。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名��,最后登錄時(shí)間和使用shell類型等���。但是Finger顯示的信息非常容易被攻擊者所獲悉�。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度�����,這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)�,這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。
防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息�����,這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解�。除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))�。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
