防火牆和系統安全防護和優化

防火牆(firewall)，也稱防護牆，是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統，依照特定的規則，允許或是限制傳輸的資料通過

一、定義

二、作用

三、型別

1、網路層防火牆

網路層防火牆[3]可視為一種 ip 封包過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 tcp/ip 協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

較新的防火牆能利用封包的多樣屬性來進行過濾，例如：** ip 位址、**埠號、目的 ip 位址或埠號、服務型別(如 www 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱或網段…等屬性來進行過濾。

2、應用層防火牆

應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作，您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜(軟體有千千百百種啊)，所以大部分的防火牆都不會考慮以這種方法設計。

xml 防火牆是一種新型態的應用層防火牆。

根據側重不同，可分為：包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。

三、基本特性

1、內部網路和外部網路之間的所有網路資料流都必須經過防火牆，這是防火牆所處網路位置特性，同時也是乙個前提。因為只有當防火牆是內、外部網路之間通訊的唯一通道，才可以全面、有效地保護企業網內部網路不受侵害。

根據美國****局制定的《資訊保障技術框架》，防火牆適用於使用者網路系統的邊界，屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處，比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立乙個安全控制點，通過允許、拒絕或重新定向經過防火牆的資料流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連線企事業單位內部的區域網，而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。

2.只有符合安全策略的資料流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路**到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層位址。防火牆將網路上的流量通過相應的網路介面接收上來，按照osi協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是乙個類似於橋接或路由器的、多埠的（網路介面》=2）**裝置，它跨接於多個分離的物理網段之間，並在報文**過程之中完成對報文的審查工作。

3、防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像乙個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵，只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者了解更加透徹，**上也更具有優勢。防火牆產品中，國外主流廠商為思科（cisco）、checkpoint、netscreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火牆產品。

四、優點

1、防火牆能強化安全策略。

2、防火牆能有效地記錄internet上的活動。

3、防火牆限制暴露使用者點。防火牆能夠用來隔開網路中乙個網段與另乙個網段。這樣，能夠防止影響乙個網段的問題通過整個網路傳播。

4、防火牆是乙個安全策略的檢查站。所有進出的資訊都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

五、功能

在不同信任程度區域間傳送資料流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通訊，與建築中的防火牆功能相似。它有控制資訊基本的任務在不同信任區域的功能。典型信任的區域包括網際網路(乙個沒有信任的區域) 和乙個內部網路(乙個高信任的區域) 。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。

防火牆對流經它的網路通訊進行掃瞄，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通訊，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通訊。

1、摺疊網路安全的屏障

乙個防火牆（作為阻塞點、控制點）能極大地提高乙個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的nfs協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

2、摺疊強化網路安全策略

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火牆一身上。

3、摺疊監控網路訪問和訪問

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集乙個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

4、摺疊防止內部資訊的外洩

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了區域性重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，乙個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如finger，dns等服務。finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道乙個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的dns資訊，這樣一台主機的網域名稱和ip位址就不會被外界所了解。

一、伺服器操作建議

1、嚴格按照目錄規範操作伺服器

2、遠端伺服器不允許關機

3、不要在伺服器訪問高峰執行高負載命令

4、遠端配置防火牆時，不要把自己踢出伺服器

二、linux系統優化步驟

三、linux系統安全

防火牆和系統安全防護和優化

防火牆 系統安全防護和優化

防火牆和系統安全防護和優化

防火牆和系統安全防護和優化

相關推薦

防火牆系統安全防護和優化