大型园区网络建设与管理4.7

4. 6. 2 防火墙的基本功能

        一般来说, 防火墙可防止来自 “ 外部” 未经授权的交互式登录, 这将有助于防止破坏
者登录到网络用户的计算机上。 另一方面, 防火墙还充当了外部网络和内部网络连接的一个
“阻塞点”, 可以在 “阻塞点” 上设置安全和审计检查, 定期系统安全向管理员提供一些情
况概要, 提供有关通过防火墙的数据流的类型和数量, 以及有多少次试图闯入防火墙的信
息。
        防火墙具有以下基本功能:
1. 防火墙充当内部网络的安全保护屏障
        防火墙是信息进出网络的必经之路。 可以说, 如果切断防火墙, 就可以保护内部网络用
户免受网络上的任何类型的攻击。 防火墙会检查所有经过的数据的细节, 它会根据系统预先
定义好的安全策略或安全规则允许或禁止这些数据流的通过, 这将极大地提高内部网络的安
全性。
2. 防火墙能够强化网络安全策略
        前面我们学习过网络安全策略的概念, 它体现了一个单位的安全政策, 为什么要采用防
火墙? 需要防范哪些威胁? 哪些活动是被允许的? 哪些活动需要被禁止? 解决这些问题需要
采用防火墙技术, 它是能够帮助一个单位实施网络安全策略的重要技术保障之一。
3. 防火墙能够对网络访问进行监控和审计
        所有经过网络进出的信息都必须通过防火墙, 因此防火墙能够记录下这些访问的来源、
时间等信息, 还能够对被保护网络与外部网络之间的事件做出日志记录, 同时向系统管理员
提供网络使用情况的统计数据。 通过对这些数据信息的统计分析, 它还能够提供预警功能,
对内部网络受到可疑的行为或者攻击企图等信息的统计结果有助于系统管理员做出适当的反
应, 以保障网络的安全。

4. 防火墙能够限制暴露内部网络的信息
        可以利用防火墙对内部网络实现网段的划分, 对内部网络中重点网段进行隔离, 从而限
制局部重点或敏感的网络安全问题对整个网络造成影响。 在内部网络中, 比如一些重要的服
务器, 如数据库服务器、 Web 服务器等, 极易受到来自外部网络的攻击, 而防火墙的隔离
限制了内部网络的结构等信息的暴露, 使得外部网络的攻击者不易发现这些特别重要的服务
器资源。
5. 防火墙是一个安全策略的检查站
        所有进出网络的信息必须通过防火墙, 因此防火墙成为了网络上的一个检查站, 对于来
自外部的网络进行检测和报警, 将发现的可疑访问拒之门外。

4. 6. 3 防火墙的实现技术

        防火墙产品主要采用数据包过滤与代理两种实现技术。 这两种技术各有优缺点, 有时将
这两种技术混合起来使用。 在这些基本技术上, 又衍生出一些新的技术如状态检测技术、 深
度检测技术、 自适应代理技术等。
1. 数据包过滤技术
数据包过滤是防火墙最基本的过滤技术, 在网络层实现。 这种类型的防火墙根据定义好的过滤规则审查每个数据包, 以便确定其是否与某一条数据包过滤规则匹配。 过滤规则基于
数据包的报头信息进行制定, 报头信息中包括 IP 源地址、 IP 目标地址、 传输协议 ( TCP、
UDP、 ICMP 等) 、 TCP /UDP 目标端口、 ICMP 消息类型等。 数据包过滤类型的防火墙要遵循
的一条默认的原则是 “未经允许即为拒绝”, 即明确允许哪些是可以通过防火墙的数据包,
其他未经允许的全部被禁止。

        数据包过滤技术是一种简单、 有效的安全控制技术, 它通过在网络间相互连接的设备上
加载允许、 禁止来自某些特定的源地址、 目的地址、 TCP 端口号等规则, 对通过设备的数据
包进行检查, 限制数据包进出内部网络。 数据包过滤的最大优点是对用户透明, 传输性能
高。 但由于安

  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinaryStarXin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值