作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。 「木桶原理」
本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款軟硬結合在內外網之間進行防護機制。我們可以大致的將防火牆主要功能分為五類。
如下強化安全策略:很簡單,強化的手段就是通過某種規則,僅允許防火牆「認可的」和符合規則的請求。
有效的記錄網上的活動:記錄所有經過防火牆的流量
隱藏使用者站點或網路拓撲:在隔離內網和外網的同時利用nat來隱藏內網的各種細節。
安全策略的檢查:是防火牆成為乙個安全檢查點
防火牆的分類:
網路層:包過濾防火牆
根據定義好的過濾規則審查每個資料報,確定其是否與某一條過濾規則匹配。其中過濾規則是根據資料報的包頭資訊進行定義的,因為在網路層無法對資料段資訊進行有效的解讀。另外乙個特點就是凡是沒有明確允許的都禁止。包過濾防火牆的優點是速度快,防火牆對使用者來說是透明的,不需要進行設定。缺點是僅對頭部資訊進行過濾無法審核資料的內容,無法詳細的記錄日誌。
應用層:**型防火牆(也稱**伺服器)
位於客戶機和伺服器之間,針對應用層的資料報進行過濾,增強了可控性。因其要檢查過多的協議,分析資料報的意圖,相對於包過濾防火牆來說更加安全,相應的速度就會變慢。
迴路級**防火牆:又稱為套接字伺服器(sockets server)
套接字是一種網路應用層的國際王準,當受保護的客戶機需要與外網互動資訊時,在防火牆的套伺服器檢查客戶的userid,ip源位址,ip目的位址。經確認後才與外部伺服器建立連線。對使用者來說,受保護網與外網的資訊交換是透明的,感覺不到防火牆的存在。但是客戶端的應用軟體必須支援 「socketsified api」,受保護網路使用者訪問公共網所使用的ip位址也都是防火牆的ip位址。
狀態檢測型防火牆,網路層
檢測每乙個連線的狀態。並根據這些資訊決定網路資料報是否通過防火牆。
防火牆體系架構,
雙宿主堡壘,兩塊網絡卡
被遮蔽主機,三塊網絡卡
被遮蔽子網,兩塊網絡卡
常用的防火牆介紹
訪問控制列表 acl。
防火牆系列(一) 何為防火牆
簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...
外圍防火牆規則 內部防火牆規則
外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...
透明防火牆才是純粹的防火牆
早在上大學時就有乙個疑問,為什麼防火牆看起來像是一台路由器,為了引入乙個防火牆,你起碼要多申請2個ip位址,還要配置複雜的路由保證通路,為了上述保證,你不得不重新規劃你的網路,最最麻煩的就是為你的那個防火牆分配的那個ip位址,該位址可能會成為攻擊者進入內部網的入口。到底是誰在保護誰啊?真正意義的純粹...