工程实施过程中会遇到各种防火墙,记得上学时也学过一些防火墙的原理作用一类的,不过当时也没当回事,现在经常遇到这玩意,有时候还真把人弄得手忙脚乱,现在复习一下吧。
防火墙定义
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
![]() |
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些***,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊
***。最后,它可以禁止来自特殊站点的访问,从而防止来自不明***者的所有通信。
网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的
应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的***者就不可能利用这些脆弱的协议来***内部网络。防火墙同时可以保护网络免受基于
路由的***,如IP选项中的
源路由***和ICMP重定向中的重定向
路径。防火墙应该可以拒绝所有以上类型***的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如
口令、加密、
身份认证、审计等)配置在防火墙上。与将
网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和***的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡***者的探测和***,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部***者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,
DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被***者所获悉。***者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被***时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和
IP地址就不会被外界所了解。
为什么使用防火墙
防火墙具有很好的保护作用。***者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由
管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP
地址、来源端口号、目的 IP 地址或端口号、
服务类型(如 WWW 或是 FTP)。也能经由
通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用
浏览器时所产生的
数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某
应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
XML 防火墙是一种新型态的应用层防火墙。
转载于:https://blog.51cto.com/xingbuluo/739419