个人防火墙的原理及选择(转)[@more@]
什么是防火墙?
以“防火墙”这个来自建筑行业的名称,来命名计算机网络的安全防护系统,显得非常恰当,因为两者之间有许多相似之处。首先,从建筑学来说,防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造,并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时,必须用非燃烧体的防火门窗,以切断一切燃烧体。而在计算机系统上,防火墙本身需要具有较高的抗攻击能力,应设置于系统和网络协议的底层,访问与被访问的端口必须设置严格的访问规则,以切断一切规则以外的网络连接。其次,在建筑学上,建筑物的防火安全性,是由各相关专业和相应设备共同保证的。而在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失。在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了。
当前流行的防火墙技术
除了对网络进行管理,设定访问与被访问规则,切断被禁止的访问以外,计算机系统上防火墙还需要分析过滤进出的数据包,监测并记录通过防火墙的信息内容和活动,并且对来自网络的攻击行为进行检测和报警。这些都是防火墙的基本功能,不论是物理性的防火墙硬件还是防火墙软件,都需要具备这五项基本功能。要想实现这些功能,先要对防火墙技术有所了解。当前流行的防火墙技术主要有以下三种:
过滤型
过滤型防火墙技术使用一种简单、有效的安全控制技术,通过对所有进出计算机系统的数据包进行检查,获得数据包头的内容,了解数据包的发送地址、目标地址、使用协议、TCP或者UDP的端口等信息,再将检查到的内容与用户设置的规则相比较,根据规则的匹配结果决定是否允许数据包的进出。该技术最大的优点是对用户透明,效率也很高。但也有几个严重的缺点,例如管理复杂,没有足够的记录与报警机制,无法对连接进行全面控制,对拒绝服务攻击、缓冲区溢出攻击等高层次的攻击手段无能为力。只限于对发送地址、目标地址和端口的进行初步的安全控制。
检测型
检测型防火墙技术与过滤型相类似,可谓是过滤型的加强版,又称为动态过滤型技术。该技术增加了控制连接的能力,通过状态检测,当有新建的连接时,会要求与预先设置的规则相匹配,如果满足要求,就允许连接,并在内存中记录下该连接的信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种技术的性能和安全性都比较高,当遇到需要打开新的端口时,可以通过检测应用程序的信息与安全规则,动态地打开端口,并在传输结束时自动关闭端口。如果结合用户认证方式,能够提供应用级的安全认证手段,安全控制力度更为细致。
代理型
代理型防火墙技术的关键,是用一个网关形式的代理服务,进行连线动作拦截。代理服务位谀诓客?绲挠没Ш虸nternet之间,由它来处理两端间的连线方式,将用户对互联网络的服务请求,依据己制定的安全规则向外提交。而且,对于用户的网络服务请求,代理服务器并非全部提交给互联网上真正的服务器。因为服务器能依据安全规则和用户的请求,判断是否代理执行该请求,有些请求可能会被否决。这种控制机制可以有效地控制整个连线的动作,不会被客户或服务器端欺骗,在管理上也不会像过滤型防火墙技术那么复杂。而对于用户而言,代理服务器是透明,感觉与外部网络连接是直接的。由于完全阻断了内部网络与外部网络的直接联系,所以代理型防火墙技术相对比较安全。但处理效率比较差、无法直接支持新的应用是它的缺点。
如何选择个人防火墙
每种防火墙技术都存在各自的优缺点。实际上,市场上大部分防火墙都不仅仅使用上面的几种技术,它们还能提供许多新的功能技术,来提高防火墙的安全防护功能。例如通过将检测与拦截已知入侵手法的入侵检测功能,与用户设置安全策略集成,可以大大地提高防火墙的安全性能。即使安全策略允许所有通信流量传输,入侵检测功能也可检测和拦截极具攻击性的行为和企图。通过检测已知特洛伊木马运行特征与使用端口,防火墙可以实现特洛伊木马拦截功能,防止特洛伊木马从内部影响防火墙的安全性能。总的来说,使用不同技术的防火墙都有其适用的环境。要注意,最佳的企业级防火墙并不一定适用于个人计算机用户,用户必须根据自己的需求来进行选择。如大型企业一般使用采取过滤型技术的路由器之类硬件设备,作为大型计算机网络的第一道防线,这对个人计算机用户明显不适用。而企业网络选用的防火墙,一般集成多种防火墙技术,并利用代理型防火墙技术对用户进行控制。这是因为除了安全以外,用户的控制也是企业级防火墙的着眼点,而对个人计算机用户来说,明显没有这个必要。
在线安全检测。
要选择一个合适的个人防火墙,除了考虑防火墙是否提供足够的安全防护性能外,防火墙自身的稳定性,运行时系统资源使用的程度,防火墙的设置与管理是否方便、人机界面是否良好,是否具有可扩展可升级性等,都应该列入考虑的范围。在设置管理方面,提供多种预先设置的安全策略,让用户选择安全级别的个人防火墙比较适用于初级用户,而通过对计算机系统上的应用程序逐一指定网络使用规则,或需要自定义计算机系统网络安全策略的防火墙比较适用于中高级用户。由于国内计算机系统感染特洛伊木马的问题非常严重,使用扫描器搜索有安全漏洞的计算机的人也非常多,选用有检测特洛伊木马和入侵检测功能的防火墙较佳。另外防火墙升级性也很重要,特别是对于有检测特洛伊木马和入侵检测功能的防火墙更是如此。因为这类功能,都是通过对已知木马特征或入侵手法进行检测的,需要您不断更新相关的资料库,才能够起到防护作用。
个人防火墙的使用
一般情况下,用户应该选择智能化程度较高,能够自动识别可信任的网络应用程序,能够更新特洛伊木马和入侵检测功能资料库的防火墙,以避免频繁地设置安全规则,处理安全警报。另外在选择一个合适的个人防火墙以后,一般需要进行设置,才能够起到安全防保作用。这需要用户具备一定的网络知识,如TCP/IP协议的基础知识等。只有在对各种协议所提供的服务有一定了解之后,才能判断出应用程序或网络连接请求的危险程度,从而正确处理,正确设置安全规则。要知道,即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙,也避免不了自定义安全规则的工作。另外用户还需要了解一些黑客知识,如各种常见的攻击手段和名词,才能够正确的理解警报信息所报告的事件。而且,在处理安全警报时要有足够的耐心,仔细查看有关的事件内容,做出正确的判断。如果不加以了解,就允许应用程序访问网络或允许他人访问,也就失去了安装防火墙的意义。
为了使您的计算机网络系统足够安全,在使用装防火墙时,还需要配合病毒防护软件,以保护自己的计算机系统,不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。
经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件,可以确定是否有人在探测您,或使用一定规则的扫描器,在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙安全规则,以便过滤或是追踪这些探测行为,并采取相应的行动。
以“防火墙”这个来自建筑行业的名称,来命名计算机网络的安全防护系统,显得非常恰当,因为两者之间有许多相似之处。首先,从建筑学来说,防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造,并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时,必须用非燃烧体的防火门窗,以切断一切燃烧体。而在计算机系统上,防火墙本身需要具有较高的抗攻击能力,应设置于系统和网络协议的底层,访问与被访问的端口必须设置严格的访问规则,以切断一切规则以外的网络连接。其次,在建筑学上,建筑物的防火安全性,是由各相关专业和相应设备共同保证的。而在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失。在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了。
当前流行的防火墙技术
除了对网络进行管理,设定访问与被访问规则,切断被禁止的访问以外,计算机系统上防火墙还需要分析过滤进出的数据包,监测并记录通过防火墙的信息内容和活动,并且对来自网络的攻击行为进行检测和报警。这些都是防火墙的基本功能,不论是物理性的防火墙硬件还是防火墙软件,都需要具备这五项基本功能。要想实现这些功能,先要对防火墙技术有所了解。当前流行的防火墙技术主要有以下三种:
过滤型
过滤型防火墙技术使用一种简单、有效的安全控制技术,通过对所有进出计算机系统的数据包进行检查,获得数据包头的内容,了解数据包的发送地址、目标地址、使用协议、TCP或者UDP的端口等信息,再将检查到的内容与用户设置的规则相比较,根据规则的匹配结果决定是否允许数据包的进出。该技术最大的优点是对用户透明,效率也很高。但也有几个严重的缺点,例如管理复杂,没有足够的记录与报警机制,无法对连接进行全面控制,对拒绝服务攻击、缓冲区溢出攻击等高层次的攻击手段无能为力。只限于对发送地址、目标地址和端口的进行初步的安全控制。
检测型
检测型防火墙技术与过滤型相类似,可谓是过滤型的加强版,又称为动态过滤型技术。该技术增加了控制连接的能力,通过状态检测,当有新建的连接时,会要求与预先设置的规则相匹配,如果满足要求,就允许连接,并在内存中记录下该连接的信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种技术的性能和安全性都比较高,当遇到需要打开新的端口时,可以通过检测应用程序的信息与安全规则,动态地打开端口,并在传输结束时自动关闭端口。如果结合用户认证方式,能够提供应用级的安全认证手段,安全控制力度更为细致。
代理型
代理型防火墙技术的关键,是用一个网关形式的代理服务,进行连线动作拦截。代理服务位谀诓客?绲挠没Ш虸nternet之间,由它来处理两端间的连线方式,将用户对互联网络的服务请求,依据己制定的安全规则向外提交。而且,对于用户的网络服务请求,代理服务器并非全部提交给互联网上真正的服务器。因为服务器能依据安全规则和用户的请求,判断是否代理执行该请求,有些请求可能会被否决。这种控制机制可以有效地控制整个连线的动作,不会被客户或服务器端欺骗,在管理上也不会像过滤型防火墙技术那么复杂。而对于用户而言,代理服务器是透明,感觉与外部网络连接是直接的。由于完全阻断了内部网络与外部网络的直接联系,所以代理型防火墙技术相对比较安全。但处理效率比较差、无法直接支持新的应用是它的缺点。
如何选择个人防火墙
每种防火墙技术都存在各自的优缺点。实际上,市场上大部分防火墙都不仅仅使用上面的几种技术,它们还能提供许多新的功能技术,来提高防火墙的安全防护功能。例如通过将检测与拦截已知入侵手法的入侵检测功能,与用户设置安全策略集成,可以大大地提高防火墙的安全性能。即使安全策略允许所有通信流量传输,入侵检测功能也可检测和拦截极具攻击性的行为和企图。通过检测已知特洛伊木马运行特征与使用端口,防火墙可以实现特洛伊木马拦截功能,防止特洛伊木马从内部影响防火墙的安全性能。总的来说,使用不同技术的防火墙都有其适用的环境。要注意,最佳的企业级防火墙并不一定适用于个人计算机用户,用户必须根据自己的需求来进行选择。如大型企业一般使用采取过滤型技术的路由器之类硬件设备,作为大型计算机网络的第一道防线,这对个人计算机用户明显不适用。而企业网络选用的防火墙,一般集成多种防火墙技术,并利用代理型防火墙技术对用户进行控制。这是因为除了安全以外,用户的控制也是企业级防火墙的着眼点,而对个人计算机用户来说,明显没有这个必要。
在线安全检测。
要选择一个合适的个人防火墙,除了考虑防火墙是否提供足够的安全防护性能外,防火墙自身的稳定性,运行时系统资源使用的程度,防火墙的设置与管理是否方便、人机界面是否良好,是否具有可扩展可升级性等,都应该列入考虑的范围。在设置管理方面,提供多种预先设置的安全策略,让用户选择安全级别的个人防火墙比较适用于初级用户,而通过对计算机系统上的应用程序逐一指定网络使用规则,或需要自定义计算机系统网络安全策略的防火墙比较适用于中高级用户。由于国内计算机系统感染特洛伊木马的问题非常严重,使用扫描器搜索有安全漏洞的计算机的人也非常多,选用有检测特洛伊木马和入侵检测功能的防火墙较佳。另外防火墙升级性也很重要,特别是对于有检测特洛伊木马和入侵检测功能的防火墙更是如此。因为这类功能,都是通过对已知木马特征或入侵手法进行检测的,需要您不断更新相关的资料库,才能够起到防护作用。
个人防火墙的使用
一般情况下,用户应该选择智能化程度较高,能够自动识别可信任的网络应用程序,能够更新特洛伊木马和入侵检测功能资料库的防火墙,以避免频繁地设置安全规则,处理安全警报。另外在选择一个合适的个人防火墙以后,一般需要进行设置,才能够起到安全防保作用。这需要用户具备一定的网络知识,如TCP/IP协议的基础知识等。只有在对各种协议所提供的服务有一定了解之后,才能判断出应用程序或网络连接请求的危险程度,从而正确处理,正确设置安全规则。要知道,即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙,也避免不了自定义安全规则的工作。另外用户还需要了解一些黑客知识,如各种常见的攻击手段和名词,才能够正确的理解警报信息所报告的事件。而且,在处理安全警报时要有足够的耐心,仔细查看有关的事件内容,做出正确的判断。如果不加以了解,就允许应用程序访问网络或允许他人访问,也就失去了安装防火墙的意义。
为了使您的计算机网络系统足够安全,在使用装防火墙时,还需要配合病毒防护软件,以保护自己的计算机系统,不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。
经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件,可以确定是否有人在探测您,或使用一定规则的扫描器,在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙安全规则,以便过滤或是追踪这些探测行为,并采取相应的行动。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10617542/viewspace-949328/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10617542/viewspace-949328/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
