什么是防火墙

什么是防火墙 2011-05-25 什么是防火墙什么是防火墙 没有最佳谜底 1.什么是防火墙防火墙是指设置在不同网络(如可托任的企业内部网和不成信的公共网)或网络安全域之间的一系列部件的组合。它可经由过程监测、限制、更改跨越防火墙的数值流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。2.施用Firewall的益处保护脆弱的服务经由过程过淋不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务经由过程，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的拜候Firewall可以提供对系统的拜候控制。如允许从外部拜候某些主机，同时禁止拜候另外的主机。例如，Firewall允许外部拜候特定的Mail Server和Web Server。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall界说的安全法则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全计谋。Firewall可以界说不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可拜候内部网。增强的保密性施用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。和统计网络利用数值以及不法施用数值Firewall可以记录和统计经由过程Firewall的网络通讯，提供有关网络施用的统计数值，并且，Firewall可以提供统计数值，来判断可能的攻击和探测。计谋执行Firewall提供了拟定和执行网络安全计谋的手段。未设置Firewall时，网络安全取决于每台主机的用户。3.防火墙的种类防火墙总体上分为包过淋、应用级网关和代办别人代理服务器等几大类型。数据包过滤数值包过淋(Packet Filtering)技术是在网络层对数值包进行选择，选择的依据是系统内设置的过淋逻辑，被称为拜候控制表(Access Control Table)。经由过程查抄数值流中每个数值包的源地址、目的地址、所用的端口 号、状态等因素，或它们的组合来确定是否允许该数值包经由过程。数值包过淋防火墙逻辑简单，价格便宜，便于安装和施用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不成少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数值包过淋防火墙的纰缪错差有二:一是不法拜候一旦冲破防火墙，即可对主机上的软件和配置漏洞进行攻击;二是数值包的源地址、目的地址以及IP的端口号都在数值包的头部，很有可能被盗听或假冒。应用级网关应用级网关(Application Level Gateways)是在网络应用层上成立协议过淋和转发功能。它针对特定的网络应用服务协议施用指定的数值过淋逻辑，并在过淋的同时，对数值包进行必要的分析、挂号和统计，形成。实际中的应用网关通常安装在专用事情站系统上。数值包过淋和应用网关防火墙有一个共同的独特的地方，就是它们仅只寄托特定的逻辑判定是否允许数值包经由过程。一旦满足逻辑，则防火墙内外的计较机系统成立直接联系，防火墙外部的用户便有可能直接相识防火墙内部的网络结构和运行状态，这有利于实行不法拜候和攻击。代理服务代办别人代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数值包过淋和应用网关技术存在的纰缪错差而引入的防火墙技术，其独特的地方是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计较机系统间应用层的"链接"，由两个终止代办别人代理服务器上的"链接"来实现，外部计较机的网络链路只能到达代办别人代理服务器，从而起到了隔离防火墙内外计较机系统的作用。此外，代办别人代理服务也对过往的数值包进行分析、注册挂号，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。4.设置防火墙的要素网络计谋影响Firewall系统设计、安装和施用的网络计谋可分为两级，高级的网络计谋界说允许和禁止的服务以及如何施用服务，低级的网络计谋描述Firewall如何限制和过淋在高级计谋中界说的服务。服务拜候计谋服务拜候计谋集中在Internet拜候服务以及外部网络拜候(如拨入计谋、SLIP/PPP连接等)。服务拜候计谋必须是可行的和合理的。可行的计谋必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务拜候计谋是:允许经由过程增强认证的用户在必要的情况下从Internet拜候某些内部主机和服务;允许内部用户拜候指定的Internet主机和服务。防火墙设计计谋防火墙设计计谋基于特定的Firewall，界说完成服务拜候计谋的法则。通常有两种基本的设计计谋:允许任何服务除非被明确禁止;禁止任何服务除非被明确 允许。第一种的独特的地方是安全但欠好用，第二种是好用但不安全，通常采用第二种类型的设计计谋。而多数防火墙都在两种之间采纳折衷。增强的认证许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知施用难于猜测和破译口令，虽则如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征(指纹)以及基于软件(RSA)等技术，来克服传统口令的弱项。虽则存在多种认证技术，它们均施用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制施用一次有效的口令和密钥(如SmartCard和认证令牌)。5.防火墙在大型网络系统中的部署按照网络系统的安全需要，可以在如下位置部署防火墙:局域网内的VLAN之间控制信息流向时。Intranet与Internet之间连接时(企业单元与外网连接时的应用网关)。在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网当作不安全的系统， ，ChinaDDN，Frame Relay等连接)在总部的局域网和(经由过程公网ChinaPac 各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。总部的局域网和分支机构的局域网是经由过程Internet连接，需要各自安装防火墙，并利用NetScreen的VPN构成虚拟专网。在长途用户拨号拜候时，加入虚拟专网。ISP可利用NetScreen的负载平衡功能在公共拜候服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日记纪录等功能。两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射(MAP)，网络隔离(DMZ),存取安全控制，消除传统软件防火墙的瓶颈问题。6.防火墙在网络系统中的作用防火墙能有效地防止外来的入侵，它在网络系统中的作用是:控制出进网络的信息流向和信息包;提供施用和流量的日记和审计;隐藏内部IP地址及网络结构的细节;提供VPN功能;参考资料: 起过淋数值包作用的 历史上的今天: 心肌炎会致命吗?(问问医生朋友)2011-05-25风湿性关节炎怎么办2011-05-25心肌炎咨询2011-05-25电脑为什么会总是死机?2011-05-25