作为计算机的第一道屏障,防火墙的重要性不言而喻,尽管防火墙在面临网络攻击时仍有很大的缺陷,不如无法阻止自内而外的攻击,对复杂多变的网络攻击攻击无法预警和像IDS所做的那样。但防火墙依然是服务器乃至个人机的一道不可或缺的屏障。 “木桶原理”
本文将对防火墙做一个初步的简介,显然像我们知道的那样,防火墙是一款软硬结合在内外网之间进行防护机制。我们可以大致的将防火墙主要功能分为五类。
如下
强化安全策略:很简单,强化的手段就是通过某种规则,仅允许防火墙“认可的”和符合规则的请求。
有效的记录网上的活动:记录所有经过防火墙的流量
隐藏用户站点或网络拓扑:在隔离内网和外网的同时利用NAT来隐藏内网的各种细节。
安全策略的检查:是防火墙成为一个安全检查点
防火墙的分类:
网络层:包过滤防火墙
根据定义好的过滤规则审查每个数据包,确定其是否与某一条过滤规则匹配。其中过滤规则是根据数据包的包头信息进行定义的,因为在网络层无法对数据段信息进行有效的解读。另外一个特点就是凡是没有明确允许的都禁止。包过滤防火墙的优点是速度快,防火墙对用户来说是透明的,不需要进行设置。缺点是仅对头部信息进行过滤无法审核数据的内容,无法详细的记录日志。
应用层:代理型防火墙(也称代理服务器)
位于客户机和服务器之间,针对应用层的数据包进行过滤,增强了可控性。因其要检查过多的协议,分析数据报的意图,相对于包过滤防火墙来说更加安全,相应的速度就会变慢。
回路级代理防火墙:又称为套接字服务器(sockets server)
套接字是一种网络应用层的国际王准,当受保护的客户机需要与外网交互信息时,在防火墙的套服务器检查客户的userid,ip源地址,ip目的地址。经确认后才与外部服务器建立连接。对用户来说,受保护网与外网的信息交换是透明的,感觉不到防火墙的存在。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
状态检测型防火墙,网络层
检测每一个连接的状态。并根据这些信息决定网络数据包是否通过防火墙。
防火墙体系架构,
双宿主堡垒,两块网卡
被屏蔽主机,三块网卡
被屏蔽子网,两块网卡
常用的防火墙介绍
访问控制列表 ACL。
4597
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
