定义
所谓防火墙,是指构建在内网与外网、专网与公网的接口上,由软件和硬件设备组成的保护屏障。这是一种获得安全感的方法。它是计算机硬件和软件的结合,使互联网和内部网能够建立一个安全***。从而保护内部网免受非法用户的入侵。防火墙主要由四部分组成:服务访问规则、验证工具、包过滤和应用***。防火墙是位于计算机和它所连接的网络之间的一个软件或硬件。所有进出这台计算机的网络流量和数据包都必须通过防火墙。
在网络中,所谓“防火墙”是指一种将内网与公共接入网(如互联网)隔离的方法,实际上是一种隔离技术。防火墙是两个网络通信时实现的访问控制规模。它可以让你“同意”的人和数据进入你的网络,同时把你“不同意”的人和数据挡在外面,最大限度地防止网络中的黑客访问你的网络。换句话说,没有防火墙,公司内部的人无法访问互联网,互联网上的人无法与公司内部的人交流。
功能
防火墙有很好的保护功能。入侵者必须首先穿过防火墙的安全线,然后才能接触目标计算机。您可以将防火墙配置为许多不同的保护级别。高级别的保护可能会禁止一些服务,比如视频流,但至少这是你自己的保护选择。
从类型上来说,我们主要分为两种。
网络层防火墙
网络层[3]可以看作是一个IP包过滤器(允许或拒绝包数据通过的硬件和软件的组合),它在底层的TCP/IP协议栈上运行。我们可以枚举,只允许符合一定规则的数据包通过,其他的都禁止穿越防火墙(病毒除外,病毒无法阻止病毒入侵)。这些规则通常可以由管理员定义或修改,但有些防火墙设备可能只应用内置规则。
我们也可以从更宽松的角度来制定防火墙规则,只要数据包不符合任何“负面规则”,就会被放行。现在大部分的操作系统和网络设备都内置了防火墙功能。
较新的防火墙可以过滤具有各种属性的数据包,如源IP地址、源端口号、目的IP地址或端口号以及服务类型(如WWW或FTP)。也可以按通信协议、TTL值、源域名或网段等属性过滤。
应用层防火墙
应用层工作在TCP/IP栈的“应用层”,你使用浏览器或者FTP时产生的数据流就属于这一层。应用层可以拦截进出一个应用的所有数据包,并阻塞其他数据包(通常直接丢弃数据包)。理论上,这种防火墙可以完全阻止外部数据流进入受保护的机器。
防火墙可以通过监控所有数据包并找出不规则内容来阻止计算机蠕虫或特洛伊木马程序的快速传播。但是就实现而言,这种方法比较烦,比较复杂(千千有上百种软件),所以大部分防火墙不会考虑设计这种方法。
XML防火墙是一种新型的应用层防火墙。
根据侧重点不同,可分为:包过滤防火墙、应用层***防火墙和服务器防火墙。
基本特征
(1)内部网络和外部网络之间的所有网络数据流都必须通过防火墙。
这是防火墙所在网络位置的特点,也是前提条件。因为只有当防火墙是内外网沟通的唯一通道时,才能全面有效地保护企业网内部网络不受侵害。
根据美国国家安全局的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的安全防护设备。所谓网络边界,就是两个安全策略不同的网络之间的连接,比如用户的网络与互联网的连接,与其他业务单位的网络连接,用户内部网络不同部门之间的连接。防火墙的目的是在网络连接之间建立一个安全控制点,并通过允许、拒绝或重定向通过防火墙的数据流来审计和控制服务以及进出内部网络的访问。
典型的防火墙系统网络结构如下图所示。从图中可以看出,防火墙的一端连接到企事业单位内部的局域网,另一端连接到互联网。的内部和外部网络之间的所有通信都必须通过防火墙。
(2)只有符合安全策略的数据流才能通过防火墙。
防火墙最基本的功能是保证网络流量的合法性,并在此前提下,快速将网络流量从一个链路转发到另一个链路。从最早的防火墙模型开始,最初的防火墙是“双插槽主机”,即拥有两个网络接口和两个网络层地址。防火墙上的流量通过相应的网络接口接收,按照OSI协议栈的七层结构顺序上传,在相应的协议层进行访问规则和安全审查。然后将符合通过条件的报文从相应的网络接口发出,不符合通过条件的则被屏蔽。所以从这个角度来说,防火墙是一个多端口(网络接口>:=2)转发设备,横跨在多个分离的物理网段之间,在报文转发的过程中完成对报文的检查。
(C)防火墙本身应该对攻击有很强的免疫力。
这是防火墙承担内部网络安全保护责任的前提。防火墙处于网络的边缘,就像一个边防哨兵,时刻要面对黑客的入侵,这就要求防火墙本身具有非常强的防入侵能力。之所以有这么强的能力,防火墙操作系统本身是关键。只有完全信任关系的操作系统才能谈及系统的安全性。其次,防火墙本身的服务功能很低。除了专用的防火墙嵌入式系统,防火墙上没有其他应用程序运行。当然,这些安全只能说是相对的。
目前国内防火墙市场几乎一半被国外品牌占据,国外品牌的优势主要是技术和知名度高于国内产品。国产防火墙厂商更了解国内用户,在价格上更有优势。在防火墙产品中,国外主流厂商有思科、CheckPoint、NetScreen等。,而国内主流厂商有东软、天融信、山石网科、网御神州、联想、方正等。,它们都提供不同级别的防火墙产品。
优势
(1)防火墙可以加强安全策略。
(2)防火墙可以有效地记录互联网上的活动。
(3)防火墙限制用户点的暴露。防火墙可以用来分隔不同的网段。这样,可以防止影响一个网段的问题蔓延到整个网络。
(4)防火墙是安全策略的检查点。所有进出的信息都要经过防火墙,防火墙成为安全问题的检查点,让可疑的访问被拒绝。
其他功能
除了其安全功能外,防火墙还支持VPN(虚拟专用网),这是一种具有互联网服务特性的企业内部网络技术系统。
防火墙的英文名是“FireWall”,是目前最重要的网络防护设备之一。从专业角度讲,防火墙是位于两个(或多个)网络之间的一组组件,用于实现网络之间的访问控制。
电脑隐私攻击。混合媒体
发展史
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用包过滤技术。下图展示了防火墙技术的简单发展历史。
第二代和第三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,并提出了第三代防火墙的初始结构,即应用层防火墙(代理防火墙)。
第四代防火墙
1992年,USC信息科学研究所的BobBraden开发了基于动态包过滤技术的第四代防火墙,后来发展成为现在所谓的状态检测技术。1994年,以色列的CheckPoint公司开发了第一个使用这种技术的商业产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理技术,并在其产品——用于NT的Gauntlet防火墙中实现,赋予了代理防火墙全新的含义,可以称之为第五代防火墙。
UTM统一安全***
UTM统一威胁管理是在防火墙的基础上开发的,具有防火墙、IPS、防病毒和反垃圾邮件等综合功能的设备。同时开启多个功能会大大降低UTM的处理性能,所以主要用于性能要求不高的低端领域。在低端领域,UTM已经呈现出取代防火墙的趋势,因为UTM本身就是一个不开放附加功能的防火墙,附加功能为用户的应用提供了更多的选择。在高端应用中,如电信、金融等行业,专用的高性能防火墙和IPS仍然是主流。
文章和图片均来自网络,仅供学习交流。希望对大家有帮助。
如果你想在程序员的职业生涯中取得更高的成就,最重要的就是尽可能的提高自己的编程能力。而且,与其想着怎么改善,不如从现在开始动脑子。如果对C/C++感兴趣,可以关注+私信边肖【C/C++编程】。有几个视频,希望能帮到你。学习不怕从零开始,就怕永远不开始。
本文来自挽梦忆笙歌投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/474836.html