1、防火墙简介
防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙;计算机防火墙是指在外部网络和用户计算机之间设置防火墙。计算机防火墙也可以是用户计算机的一部分,我们这里说的都是网络防火墙。
所谓网络防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
最初是针对 Internet 网络不安全因素所采取的一种保护措施,用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,受保护范围内的计算机流入流出的所有网络通信均要经过此防火墙。
防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施,下面我们来介绍防火墙的三种形式。
2、包过滤防火墙
包过滤防火墙应用在网络层,用于对每一个数据包进行检查,检查发送地址、目的地址、协议、端口信息,将检查到的内容与用户设置的规则相比较,以识别并丢弃那些带欺骗性的数据包。
优点:对用户透明,设置只须在包过滤路由器上进行,网络用户不知道它的存在;与应用程序无关,因其工作在网络层和传输层,所以无须对客户机和主机上的应用程序作任何改动,提高网络的性能。
缺陷:只能对网络层的数据包进行识别,不能够对应用层的一些协议进行识别,所以不能防范黑客攻击。不能分辨好的和坏的用户,只能区分好的包和坏的包。
假设管理员细心创建了一个规则,指示数据包过滤器丢弃所有发来的未知源地址的数据包。这条包过滤规则虽然使黑客访问变得更加困难,但并非不可能。黑客只需用某个已知可信客户机的地址替代某个恶意数据包的实际源地址就客达到目的。这一形式的攻击通常叫IP地址欺骗(IP Address Spoofing),这种攻击来对付包过滤防火墙非常有效。
最低0.47元/天 解锁文章
扫一扫
1701
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
