1、防火墙的定义
防火墙是一种用于保护本地系统或者系统网络不受基于网络的安全威胁的有效方法(软件/硬件均可),同时支持通过广域网和互联网访问外部世界。
2、防火墙的必要性
对组织而言,互联网访问为组织带来益处的同事,它也使得外部世界访问并且和本地网络资源进行交互,给组织带来威胁。尽管有很多保护措施,但是不适用。一种广泛接收的替代方法就是防火墙,它至少对基于主机的安全是一种补充。
防火墙可以是单机系统,也可以是写作完成防火墙功能的两个或更多的系统。
因此,防火墙提供额外的防御层,它把内部系统与外部网络隔离。这是把传统军事原则中的“纵深防御”应用到了IT安全上。
3、防火墙设计目标
- 所有入站和出站的网络流量都必需通过防火墙;
- 防火墙只允许通过经过过授权的网络流量;
- 防火墙应该运行在安全操作系统的可行系统上,本身不能被攻破;
4、防火墙类型
- 包过滤防火墙:对每个接收和发送的IP应用一些规则,然后决定传递或丢弃此包;
- 状态监测防火墙:包过滤防火墙的升级版本,考虑了更高层的上下文,跟踪了TCP的连接
- 应用层网关:起到了应用层流量缓冲器的作用;相比较而言更安全,但是带来了对每个连接的额外处理开销。。。。。。
- 链路层网关:工也称链路层代理
5、防火墙的局限性:
- 防火墙不能阻止那些绕过防火墙的攻击:
- 防火墙不能完全防止内部威胁;
- 一个安全性不当的无线局域网可能会受到来自该系统外的访问
- 笔记本电脑等设备可能会被使用中的网络外部利用、感染,然后再被接入到内网并被使用;
6、防火墙的载体:
防火墙可安装在一台独立的运行操作系统的机器上;防火墙功能也可作为一个软件模块在一个路由器或局域网开关中实现。
- 堡垒主机:集中了整个网络的安全问题,两个网卡对接两个网络,最容易被攻击,也最需要完善的保护措施;
- 主机防火墙:保护个人主机的软件模块;
- 个人防火墙:防止未经认证的远程接入计算机;