工程實施過程中會遇到各種防火牆,記得上學時也學過一些防火牆的原理作用一類的,不過當時也沒當回事,現在經常遇到這玩意,有時候還真把人弄得手忙腳亂,現在複習一下吧。
防火牆定義
防火牆就是一個位於計算機和它所連接的網絡之間的軟件。該計算機流入流出的所有網絡通信均要經過此防火牆。
防火牆的功能
|
|
防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些***,以免其在目標計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊***。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明***者的所有通信。
網絡安全的屏障
一個防火牆(作爲阻塞點、控制點)能極大地提高一個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協議進出受保護網絡,這樣外部的***者就不可能利用這些脆弱的協議來***內部網絡。防火牆同時可以保護網絡免受基於路由的***,如IP選項中的源路由***和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型***的報文並通知防火牆管理員。
強化網絡安全策略
通過以防火牆爲中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與將網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上,而集中在防火牆一身上。
對網絡存取和訪問進行監控審計
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網絡是否受到監測和***的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋***者的探測和***,並且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部***者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被***者所獲悉。***者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被***時引起注意等等。防火牆可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所瞭解。
爲什麼使用防火牆
防火牆具有很好的保護作用。***者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬件自身的一部分,你可以將因特網連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作爲它背後網絡中所有計算機的代理和防火牆。最後,直接連在因特網的機器可以使用個人防火牆。
網絡層防火牆
網絡層防火牆可視爲一種 IP 封包過濾器,運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內置的規則。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器裏。
XML 防火牆是一種新型態的應用層防火牆。