|
|
|
|
|
|
|
|
|
防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个或多个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
|
|
|
|
从逻辑上讲,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了信任网络和非信任网络之间的任何活动,保证了信任网络的安全。
|
|
|
|
从实现方式上划分防火墙可以分为硬件防火墙和软件防火墙两类,硬件防火墙是通过硬件和软件的组合来达到隔离内、外部网络的目的;软件防火墙是通过纯软件的方式来实现隔离内、外部网络的目的。
|
|
|
|
|
|
防火墙的相关概念包括非信任网络(公共网络)、信任网络(内部网络)、DMZ(非军事化区)、可信主机、非可信主机、公网IP地址、保留IP地址、包过滤和地址转换。
|
|
|
|
|
|
|
|
(1)对进出的数据包进行过滤,滤掉不安全的服务和非法用户。
|
|
|
|
(2)监视因特网安全,对网络攻击行为进行检测和报警。
|
|
|
|
|
|
(4)控制对特殊站点的访问,封堵某些禁止的访问行为。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(2)防火墙不能防止感染了病毒的软件或文件的传输。
|
|
|
|
|
|
|
|
根据防火墙实现原理的不同,可将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙。
|
|
|
|
|
|
包过滤防火墙是在网络的入口对通过的数据包进行选择,只有满足条件的数据包才能通过;否则被抛弃。
|
|
|
|
包过滤防火墙是多址的,它有两个或两个以上网络适配器或接口。包过滤防火墙中每个IP包的字段都会被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,与规则不匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。包过滤防火墙是通过规则的组合来完成复杂策略的。
|
|
|
|
包过滤防火墙的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。其缺陷是包过滤防火墙是完全基于网络层的安全技术,只能对数据包的来源、目标和端口等信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
|
|
|
|
|
|
应用层网关防火墙不允许在它连接的网络之间直接通信,而是接受来自内部网特定用户应用程序的通信,然后建立与公共网络服务器单独的连接。
|
|
|
|
应用层网关防火墙又称代理(Proxy),网络内部的用户不能直接与外部的服务器通信,服务器不能直接访问内部网的任何一部分。代理服务器必须为特定的应用程序安装代理程序代码,才能建立连接,从而为安全性提供了额外的保证。
|
|
|
|
代理型防火墙的优点是安全性较高,可以针对应用层进行检测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,从而大大增加了系统管理的复杂性。
|
|
|
|
|
|
状态检测防火墙又称为动态包过滤防火墙,是在传统包过滤上的功能扩展,通过跟踪防火墙的网络连接和数据包,使用一组附加的标准确定是允许还是拒绝通信。
|
|
|
|
状态检测防火墙能够对多层的数据进行主动、实时的检测,在对这些数据加以分析的基础上,检测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自网络内部的恶意破坏也有极强的防范作用。
|
|
|
