防火墙的定义和工作机制
防火墙的作用: 控制网络1和网络2之间传输的信息流.
所谓控制是指允许网络1与网络2之间传输某种类型的信息流,阻断另一类型的信息流网络1与网络2之间的传输过程.允许与阻断操作的依据是为防火墙配置的安全策略.
防火墙功能
- 服务控制
不同网络之间只允许传输与特定服务相关的信息流 - 方向控制
不同网络之间只允许传输与由特定网络中终端发起的会话相关的信息流 - 用户控制
不同网络间只允许传输与授权用户合法访问网络资源相关的信息流 - 行为控制
不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流
引出防火墙的原因
安全的网络系统既要能够保障正常的数据交换过程,又要能够阻止用于实施攻击的数据交换过程
由此出现的防火墙,一是可以检测出用于实施攻击的信息流,并阻断这样的信息流,二是能够允许正常的信息流通过
防火墙的分类
- 个人防火墙
- 个人防火墙值保护单台计算机,用于对进出计算机的信息流实施控制,因此个人防火墙通常是分组过滤器.
- 分组过滤器分为有状态分组过滤器和无状态分组过滤器两种类型,无状态分组过滤器只根据单个IP分组携带的信息确定是否过滤掉该IP分组.而有状态分组过滤器不仅根据IP分组携带的信息,而且 还根据IP分组所属的会话的状态确定是否过滤掉该IP分组 .
- 网络防火墙
(1) 分组防火墙
网络防火墙中的分组过滤器同样分为有状态分组过滤器和无状态分组过滤器两种类型.网络防火墙中的分组过滤器能够根据用户制定的安全策略对内网和外网间传输的信息流实施控制,它对信息流的发送端和接受端是透明的,因此,分组过滤器的存在不需要改变终端访问网络的方式.
(2) 电路层代理
终端先和电路层代理建立TCP连接,电路层代理在完成对终端用户的身份鉴别后,和服务器建立TCP连接,并将两个TCP连接绑定在一起.
(3) 应用层网关
对互相交换的FTP消息,必须根据FTP规范检测其合理性,包括请求和响应信息中的各个字段值是否正确?请求消息和响应消息是否匹配?文件内容是否包含禁止传播的非法内容或病毒等.应用层网关必须支持FTP,才能中继FTP消息,因此,应用层网关是应用层相关的.
防火墙的局限性
- 无法防御网络内部终端发起的攻击
- 无法阻止病毒传播
- 无法防御利用防火墙安全策略允许的信息传输过程实施的攻击行为
打开,配置windows中的防火墙
图形化界面:
依次选择 开始 | 设置 | 控制面板 | windows防火墙选项,就能打开Windows防火墙的基本配置界面.
命令行:
键盘键入win + R 打开 [运行] ,输入’r’ 回车打开windows防火墙控制台