|
防火墻概念原理
在網(wǎng)絡(luò)中�,所謂“防火墻”�����,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法�,它實(shí)際上是一種隔離技術(shù)��。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)�����,同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外��,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)����。換句話說��,如果不通過防火墻��,公司內(nèi)部的人就無法訪問Internet�����,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信�。 防火墻(FireWall)成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)�����,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障��,阻止對信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出����。作為Internet網(wǎng)的安全性保護(hù)軟件,F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用�。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全,在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件���。企業(yè)信息系統(tǒng)對于來自Internet的訪問����,采取有選擇的接收方式�����。它可以允許或禁止一類具體的IP地址訪問����,也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶�����,則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)出的包。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息��,那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過���。這對于路由器來說��,就要不僅分析IP層的信息���,而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器防火墻上以保護(hù)一個(gè)子網(wǎng)����,也可以安裝在一臺主機(jī)上����,保護(hù)這臺主機(jī)不受侵犯。
防火墻種類
從實(shí)現(xiàn)原理上分�����,防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級防火墻(也叫包過濾型防火墻)����、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻�。它們之間各有所長���,具體使用哪一種或是否混合使用,要看具體需要�。
網(wǎng)絡(luò)級防火墻
一般是基于源地址和目的地址、應(yīng)用�、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻�,大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個(gè)IP包來自何方���,去向何處�。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符���。如果沒有一條規(guī)則能符合����,防火墻就會使用默認(rèn)規(guī)則�,一般情況下,默認(rèn)規(guī)則就是要求防火墻丟棄該包�����。其次,通防火墻過定義基于TCP或UDP數(shù)據(jù)包的端口號�����,防火墻能夠判斷是否允許建立特定的連接�����,如Telnet�����、FTP連接���。
應(yīng)用級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包�,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)�����,防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系�。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議�,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核���。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議���,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告���。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取�����。 在實(shí)際工作中�,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件���,使用時(shí)工作量大���,效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制����,是目前最安全的防火墻技術(shù),但實(shí)現(xiàn)困難�,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中�����,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí),經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet����。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話(Session)是否合法�����,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包����,這樣比包過濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能:代理服務(wù)器(Proxy Server)�。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能���。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過����,一旦判斷條件滿足���,防火墻內(nèi)部網(wǎng)防火墻絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前���,這就引入了代理服務(wù)的概念,即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來實(shí)現(xiàn)�,這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)��,代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控����、過濾、記錄和報(bào)告等功能���。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件(如工作站)來承擔(dān)�。
規(guī)則檢查防火墻
該防火墻結(jié)合了包過濾防火墻����、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣��,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號�,過濾進(jìn)出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣��,能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序���。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣���,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容�����,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則����。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)�,但是不同于一個(gè)應(yīng)用級網(wǎng)防火墻關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)�,它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理�����,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)��,這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包���,這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效��。
防火墻的使用
防火墻具有很好的保護(hù)作用����。入侵者必須首先穿越防火墻的安全防線�,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別�����。高級別的保護(hù)可能會禁止一些服務(wù)��,如視頻流等���,但至少這是你自己的保護(hù)選擇����。 在具體應(yīng)用防火墻技術(shù)時(shí)���,還要考慮到兩個(gè)方面: 一是防火墻是不能防病毒的�����,盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能����。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題,如果延遲太大將無法支持實(shí)時(shí)服務(wù)請求�����。并且��,防火墻采用濾波技術(shù)���,濾波通常使網(wǎng)絡(luò)的性能降低50%以上�����,如果為了改善網(wǎng)絡(luò)性能而購置高速路由器�����,又會大大提高經(jīng)濟(jì)預(yù)算������!】傊�,防火墻是企業(yè)網(wǎng)安全問題的流行方案,即把公共數(shù)據(jù)和服務(wù)置于防火墻外,使其對防火墻內(nèi)部資源的訪問受到限制��。作為一種網(wǎng)絡(luò)安全技術(shù)����,防火墻具有簡單實(shí)用的特點(diǎn)�����,并且透明度高�����,可以在不修改原有網(wǎng)防火墻絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求����。
防火墻功能
防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊���,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行��。防火墻還可以關(guān)閉不使用的端口����。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬���。最后�����,它可以禁止來自特殊站點(diǎn)的訪問�,從而防止來自不明入侵者的所有通信�。
網(wǎng)絡(luò)安全的屏障
一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性�,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻���,所以網(wǎng)絡(luò)環(huán)境變得更安全�。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)����,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)防火墻部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊�����,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑�����。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
強(qiáng)化網(wǎng)絡(luò)安全策略
通過以防火墻為中心的安全方案配置����,能將所有安全軟件(如口令、加密���、身份認(rèn)證、審計(jì)等)配置在防火墻上���。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比��,防火墻的集中安全管理更經(jīng)濟(jì)�。例如在網(wǎng)絡(luò)訪問時(shí)���,一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上�,而集中在防火墻一身上�����。
監(jiān)控審計(jì)
如果所有的訪問都經(jīng)過防火墻�,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)�����。當(dāng)發(fā)生可疑動作時(shí)�,防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息����。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的���。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊�����,并且清楚防火墻的控制是否充足���。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
防止內(nèi)部信息的外泄
通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分���,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離�����,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響��。再者��,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題���,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣�����,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞��。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)����。Finger顯示了主機(jī)的所有用戶的注冊名、真名�����,最后登錄時(shí)間和使用shell類型等�。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度�,這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)����,這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等�。
防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣一臺主機(jī)的域名和IP地址就不會被外界所了解��。除了安全作用�����,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))����。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
