主要型別
網路層防火牆
網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp/ip協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:** ip位址、**埠號、目的 ip 位址或埠號、服務型別(如 www 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
xml 防火牆是一種新型態的應用層防火牆。
根據側重不同,可分為:包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆
基本特性
基本特性
(一)內部網路和外部網路之間的所有網路資料流都必須經過防火牆
防火牆布置圖
這是防火牆所處網路位置特性,同時也是乙個前提。因為只有當防火牆是內、外部網路之間通訊的唯一通道,才可以全面、有效地保護企業網內部網路不受侵害。
根據美國****局制定的《資訊保障技術框架》,防火牆適用於使用者網路系統的邊界,屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處,比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立乙個安全控制點,通過允許、拒絕或重新定向經過防火牆的資料流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連線企事業單位內部的區域網,而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。
(二)只有符合安全策略的資料流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路**到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台「雙穴主機」,即具備兩個網路介面,同時擁有兩個網路層位址。防火牆將網路上的流量通過相應的網路介面接收上來,按照osi
協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是乙個類似於橋接或路由器的、多埠的(網路介面》=2)**裝置,它跨接於多個分離的物理網段之間,並在報文**過程之中完成對報文的審查工作。
(三)防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像乙個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵,只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。
目前國內的防火牆幾乎被國外的品牌佔據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者了解更加透徹,**上也更具有優勢。防火牆產品中,國外主流廠商為思科(cisco)、checkpoint、netscreen等,國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等,它們都提供不同級別的防火牆產品。**服務
**服務
**服務裝置(可能是一台專屬的硬體,或只是普通機器上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。
**使得由外在網路竄改乙個內部系統更加困難,並且乙個內部系統誤用不一定會導致乙個安全漏洞可從防火牆外面(只要應用**剩下的原封和適當地被配置) 被入侵。 相反地,入侵者也許劫持乙個公開可及的系統和使用它作為**人為他們自己的目的; **人然後偽裝作為那個系統對其它內部機器。 當對內部位址空間的用途加強安全,破壞狂也許仍然使用方法譬如ip 欺騙試圖通過小包對目標網路。
防火牆經常有網路位址轉換(nat) 的功能,並且主機被保護在防火牆之後共同地使用所謂的「私人位址空間」,依照被定義在[rfc 1918] 。 管理員經常設定了這樣的情節:假裝內部位址或網路是安全的。
防火牆的適當的配置要求技巧和智慧型。 它要求管理員對網路協議和電腦安全有深入的了解。 因小差錯可使防火牆不能作為安全工具。
主要優點
主要優點
(1)防火牆能強化安全策略。
(2)防火牆能有效地記錄internet上的活動。
(3)防火牆限制暴露使用者點。防火牆能夠用來隔開網路中乙個網段與另乙個網段。這樣,能夠防止影響乙個網段的問題通過整個網路傳播。
(4)防火牆是乙個安全策略的檢查站。所有進出的資訊都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...