1. 防火牆相當於一個什麼設備,它允許特定的信息流入或流出被保護的網路。
1.什麼是防火牆
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理伺服器上的" 鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
4.設置防火牆的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務, 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。
防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟體(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火牆在大型網路系統中的部署
根據網路系統的安全需要,可以在如下位置部署防火牆:
區域網內的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。
在廣域網系統中,由於安全的需要,總部的區域網可以將各分支機構的區域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的區域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網。
總部的區域網和分支機構的區域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網。
在遠程用戶撥號訪問時,加入虛擬專網。
ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。
兩網對接時,可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT),地址映射(MAP), 網路隔離(DMZ), 存取安全控制,消除傳統軟體防火牆的瓶頸問題。
6.防火牆在網路系統中的作用
防火牆能有效地防止外來的入侵,它在網路系統中的作用是:
控制進出網路的信息流向和信息包;
提供使用和流量的日誌和審計;
隱藏內部IP地址及網路結構的細節;
提供VPN功能;
參考資料:
2. 網路防火牆是指什麼
防火牆(Firewall)是指一個由軟體或硬體設備組合而成,處於企業或網路群體電腦與外界通道之間,用來加強網際網路與內部網之間安全防範的一個或一組系統。它控制網路內外的信息交流,提供接入控制和審查跟蹤,是一種訪問控制機制。
一般防火牆具備以下特點:
廣泛的服務支持。通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽、HTIP服務、FIP服務等;通過對專用數據的加密支持,保證通過Internet進行的虛擬專用網商務活動不受破壞;客戶端認證只允許指定的用戶訪問內部網路或選擇服務,是企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;反欺騙。欺騙是從外部獲取網路訪問權的常用手段,它使數據包好象來自網路內部。防火牆能監視這樣的數據包並能扔掉它們。
防火牆的設置有兩條原則:一是「凡是未被准許的就是禁止的」。另一條策略與此正好相反,它堅持「凡是未被禁止的就是允許的」。防火牆先是轉發所有的信息,起初這堵牆幾乎不起作用,如同虛設;然後再逐項剔除有害的內容,被禁止的內容越多,防火牆的作用就越大。在此策略下,網路的靈活性得到完整地保留。但是就怕漏過的信息太多,使安全風險加大,並且網路管理者往往疲於奔命,工作量增大。
正因為安全領域中有許多變動的因素,所以安全策略的制定不應建立在靜態的基礎上。在制定防火牆安全規則時,應符合「可適應性的安全管理」模型的原則,即:
安全=風險分析+執行策略+系統實施+漏洞監測+實時響應從而滿足綜合性與整體性相結合的要求。
現有的防火牆技術主要有兩大類:數據包過濾技術和代理服務技術。第一類是數據包過濾技術(PacketFilter)。它是在網路層對數據包實施有選擇的放行。第二類是代理服務技術(ProXyService)。這是一種基於代理伺服器的防火牆技術,通常由兩部分構成--客戶與代理伺服器連接,代理伺服器再與外部伺服器連接,而內部網路與外部網路之間沒有直接的連接關系。
防火牆是有其局限性的:
防火牆不能防止繞過防火牆的攻擊。比如,一個企業內聯網設置了防火牆,但是該網路的一個用戶基於某種理由另外直接與網路的服務提供商連接,繞過了企業內聯網的保護,為該網留下了一個供人攻擊的後門,成了一個潛在的安全隱患。
防火牆經不起人為因素的攻擊。由於防火牆對網路安全實施單點挖掘,因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞,防火牆是無能為力的。
防火牆不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網路不受病毒的攻擊。任何防火牆不可能對通過的數據流中每一個文件進行掃描檢查病毒。
目前市場上很多流行的安全設備都屬於靜態安全技術范疇,如防火牆和系統外殼等外圍保護設備。外圍保護設備針對的是來自系統外部的攻擊,一旦外部侵入者進入了系統,他們便不受任何阻擋。認證手段也與此類似,一旦侵入者騙過了認證系統,那麼侵入者便成為系統的內部人員。傳統防火牆的缺點在於無法做到安全與速度同步提高,一旦考慮到安全因素而對網路數據流量進行深入檢測和分析,那麼網路傳輸速度勢必受到影響。
靜態安全技術的缺點是需要人工來實施和維護,不能主動跟蹤侵入者。傳統的防火牆產品就是典型的這類產品。其高昂的維護費用和對網路性能的影響,任何人都無法迴避。系統管理員需要專門的安全分析軟體和技術來確定防火牆是否受到攻擊。
針對靜態安全技術的不足,許多世界網路安全和管理專家都提出了各自的解決方案,如NAI為傳統的防火牆技術做出了重要的補充和強化,其最新的防火牆系統GauntletFirewa113.0forwindowsNT包含了NAI技術專家多年來的研究成果「自適應代理技術」等。
3. 中國國家防火牆是什麼
防火牆是一種網路安全設備。
防火牆是外部網路和內部網路中間建立一個檢查點,所有流出和進入的信息需要通過檢查點,過濾和發現所有的不安全。
防火牆可以通過監測、限制、更改數據,對外部屏蔽內部的信息、結構,保護網路安全。
4. 防火牆是什麼
防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網(US5606668(A)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。 防火牆的發明者是吉爾·舍伍德。
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。
在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
什麼是防火牆
XP系統相比於以往的Windows系統新增了許多的網路功能(Windows 7的防火牆一樣很強大,可以很方便地定義過濾掉數據包),例如Internet連接防火牆(ICF),它就是用一段"代碼牆"把電腦和Internet分隔開,時刻檢查出入防火牆的所有數據包,決定攔截或是放行那些數據包。防火牆可以是一種硬體、固件或者軟體,例如專用防火牆設備就是硬體形式的防火牆,包過濾路由器是嵌有防火牆固件的路由器,而代理伺服器等軟體就是軟體形式的防火牆。
ICF工作原理
ICF被視為狀態防火牆,狀態防火牆可監視通過其路徑的所有通訊,並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網路內部開始的),才允許將傳入Internet通信傳送給網路中的計算機。
源自外部源ICF計算機的通訊(如Internet)將被防火牆阻止,除非在「服務」選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像埠掃描這樣的常見黑客襲擊。
防火牆的種類防火牆從誕生開始,已經歷了四個發展階段:基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆,例如NETEYE、NETSCREEN、TALENTIT等。
從結構上來分,防火牆有兩種:即代理主機結構和路由器+過濾器結構,後一種結構如下所示:內部網路過濾器(Filter)路由器(Router)Internet
從原理上來分,防火牆則可以分成4種類型:特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆,構築多道防火牆「防禦工事」。
5. 防火牆屬於電腦配件還是屬於伺服器或者伺服器配件
防火牆有兩種,一種是軟體,類似於殺毒軟體,用於放病毒木馬。另一種是硬體防火牆,一般服務於網路,它不是電腦配件,也不是伺服器配件,有點類似於交換機路由器,外網訪問內網是一種防護過濾設備