本文章節內容
本文將以圖例的形式結合通俗易懂的語言對計算機網路中常提到的防火牆技術做詳細的解讀,旨在讓廣大讀者朋友們認識、了解防火牆的「故事」,縮小更多計算機盲區!
防火牆
網際網路在加速全球資訊化程序的同時,也對世界範圍內的資訊保安提出了嚴峻的挑戰。網際網路的開放性與自由性給人類獲取與發布資訊帶來了巨大便利,可這同時也是網際網路資訊易被汙染、入侵與破壞的主要原因,這些損害主要來自於以下多個方面:
❶網際網路信任所有的接入主機
網際網路的開放性允許全球任何一台網路裝置訪問網際網路而不會去檢測該裝置的可靠性,也就是說如果接入網際網路的所有主機中存在一台安全性、可靠性薄弱的裝置,只要攻破這台主機,那麼任何有危害的資料或病毒都可以通過該主機進入網際網路,殃及更多的網際網路裝置,可以給全球企業和個人帶來無法估量的損失,造成不可預料的災難。
❷不完善的各種協議服務
當今網際網路中使用的所有服務,如telnet服務、dns服務、ftp服務、web服務、activex等都是存在安全漏洞的,我們經常為計算機打的補丁就包含修復這些服務的功能。這些服務的任何漏洞都是可以成為網際網路主機被攻擊、破壞的突破口!
❸tcp/ip協議的安全隱患
tcp/ip協議是internet中任意兩台主機進行通訊時必須遵循的國際通用資訊規範,但由於tcp/ip協議是完全公開的,並不是一套安全性完善的資訊規則,進而成為了不法分子實施網路攻擊的重點目標之一。tcp/ip協議的安全性問題主要有以下幾點:
tcp/ip協議重在建立網路連對連線安全性做足考慮
tcp/ip協議是基於ip位址的,而基於位址的協議本身就存在各種安全性問題
網際網路中的主機通訊只認ip報文,而報文可以被不法分子截獲或者修改,這就無法保證所有的網際網路主機都是來自於可信任的網路環境,大大降低了不法分子進行網路攻擊的難度網際網路本身就有漏洞
由於所有的應用層電腦程式都是通過tcp連線進行資料傳輸的,只要tcp的安全漏洞被利用,攻擊者直接可以遠端操控目標主機,達到汙染/盜取資料,截獲密碼、破壞計算機等目的,所以tcp/ip協議並不能保證網路的絕對安全。
在遇到上述這些問題時,追查根源是非常困難的,因為網際網路信任接入的每一台裝置,該裝置可以來自任何可接入網際網路的地方,而且可以使用任何一種服務的漏洞或者tcp/ip協議的漏洞。
難覓攻擊源主機
既然如此,想要通過源頭來解決目標主機被破壞的問題幾乎沒有可能,因為要防止所有型別的網際網路攻擊其工作量是做不到的,但反過來,只控制進入目標主機的網際網路資料是可行的,這就要求有一種網路安全解決方案,能夠對安全網路環境與不安全網路環境之間的資料訪問進行控制,而要達到此目的,最基本的方案就是防火牆技術!
防火牆一詞與一汽車部件同名,在汽車中防火牆的功能是將乘客與發動機引擎進行隔離,防止汽車引擎著火波及乘客。除汽車防火牆外,現實建築物中也有防火牆的概念,在建築領域防火牆的作用是阻隔火源,阻止火情蔓延。
由上述內容可以斷定防火牆的功能的確就是防火,只不過在計算機領域,防火牆防的是另一種「火」——網際網路上的所有不安全因素,阻斷的是這種「火」在企業、機構或組織內部網路中的蔓延!
計算機防火牆也是「防火」
防火牆作為一套網路安全管理機制,可以將需要保護的網路與開放性的網際網路或者其他不可信任的網路環境進行隔離,使得被保護的網路成為完全可控的、可信任的安全網路,這就是防火牆的主要功能!
我們已經介紹了引入防火牆的原因:為了解決前文中提到的多種網路安全漏洞!那麼,防火牆的真面目到底是什麼樣子呢?它真的是一堵牆嗎?防火牆具體是怎麼實現的呢?本節為您揭曉!
揭開防火牆的真面目
國**電報公司(at&t)的工程師定義了防火牆的具體內容:從定義來看,防火牆是乙個可以控制網路資料進出內外網的「東西」,不僅能夠檢查網路資料,而且具有保障內網不受外部不安全因素破壞的能力,所以防火牆在功能上,是乙個集隔離、審查於一體的器件;在實現上,防火牆是由一組位於特殊網路位置上的硬體裝置(路由器、主機等)組成的主機或路由器系統。◆ 所有內網與外網的資料互動都必須經過防火牆
◆ 所有的內網訪問通訊必須經過防火牆授權
◆ 整個內網系統具有很強的可靠性
防火牆=特定功能的主機/路由器
在介紹防火牆結構之前,我們首先要清楚三個概念:
★理想的防火牆結構如下:
理想防火牆結構
根據上圖可以看出,理想型防火牆將乙個主機的多種服務功能(www/ftp/mail等)分散至多個單獨的從主機進行分開管理。在理想型防火牆中一共有三道安全防線,第一道防線就是過濾路由器,能夠進行ip分組資料報的過濾;第二道防線就是分散在邊界網路中的單服務主機(圖中為**伺服器),由於只提供一種服務,一方面使得邊界網路中的主機更易於配置,另一方面增加了內網被攻破的難度;第三道防線就是內部路由器,內網最後的安全防護手段。
其實,當今的商用防火牆已經將上述功能全部集成為單件產品,只需要進行配置就能夠實現上述理想結構中的相似功能,如華為的一款防火牆產品:
華為的一款防火牆產品
我們在使用計算機進行學習、工作的過程中經常會遇到這樣乙個問題:因各種原因想要禁止某個軟體聯網,卻不知怎麼辦:
遇到上述問題時,我們就可以使用window系統自帶的防火牆來禁止這些軟體聯網進而避免各種問題的發生。具體操作我們直接通過截圖的形式為讀者展示:
window防火牆禁止軟體聯網流程
本文通過通俗易懂的語言結合**深入淺出的對計算機術語「防火牆」進行了詳細的說明與介紹。
計算機四級考試輔導 防火牆VS路由器
防火牆已經成為企業網路建設中的乙個關鍵組成部分。但有很多使用者,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對neteye防火牆與業界應用最多 最具代表性的cisco路由器在安全方面的對比,來闡述為什麼使用者網路中有了路由器還需要防火牆。一 兩種裝置...
計算機網路 系統安全 防火牆與入侵檢測
防火牆在互連網路中的位置 防火牆的功能 防火牆技術一般分為兩類 應用閘道器也稱為 伺服器 proxy server 兩種入侵檢測方法 至今為止,大多數部署的 ids 主要是基於特徵的,儘管某些 ids 包括了某些基於異常的特性。網路安全是乙個很大的領域。對於有志於這一領域的讀者,可在下面幾個方向作進...
計算機網路的功能詳解 通俗
什麼是計算機網路?計算機網路就是分布在不同地理位置的計算機,在通訊線路 通訊裝置的連線線,在網路作業系統和協議的管理下,實現資源共享和資料通訊的系統。功能 計算機網路最核心的兩個功能就是 1 資料通訊 2 資源共享。1 資料通訊 它可實現計算機和計算機 計算機和終端以及終端與終端之間的資料資訊傳遞,...