什么是防火墙?
防火墙是指设置在不同网络(如可信内网和不可信公网)或网络安全域之间的一系列组件的组合。它可以监控、限制和改变穿越防火墙的数据流,尽可能地从外部屏蔽网络的信息、结构和运行,从而实现网络的安全保护。从逻辑上来说,防火墙是一个分离器,一个限制器,一个分析器,有效地监控内网和互联网之间的任何活动,保证内网的安全。
防火墙是一种硬件设备或软件系统,主要设置在内部网络和外部网络之间。为了防止外部恶意程序破坏内部系统或防止内部重要信息流出,它具有双向监管功能。通过防火墙管理员的配置,可以灵活调整安全级别。
防火墙的分类和原理
一般来说,防火墙分为包过滤、应用层***和代理服务器。它包括以下核心技术:
1.包过滤技术
包过滤技术是一种简单有效的安全控制技术,工作在网络层。通过加载诸如允许和禁止某些源地址、目的地址、TCP端口号等规则。在网络间连接的设备上,通过设备的数据包会受到检查,并被限制进出内部网络。
包过滤最大的优点是对用户透明,传输性能高。但由于安全控制级别在网络层和传输层,安全控制只限于源地址、目的地址和端口号,所以只能进行初步的安全控制,对于恶意拥塞攻击、内存覆盖攻击或病毒等高层攻击无能为力。
2.应用代理技术。
代理防火墙工作在OSI的第七层,它通过检查所有的应用层数据包,并将检查的内容信息放入决策过程中,可以提高网络的安全性。
***防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个从客户机到防火墙,另一个从防火墙到服务器。此外,每个代理需要不同的应用进程或在后台运行的服务程序。对于每个新的应用程序,必须添加该应用程序的服务程序,否则不能使用该服务。所以应用***防火墙有扩展性差的缺点。
3.状态检测技术
状态防火墙工作在OSI的第二至第四层,采用状态包过滤技术,是传统包过滤功能的扩展。状态检测防火墙在网络层有一个检查引擎,用于拦截数据包并提取与应用层状态相关的信息,然后决定是接受还是拒绝连接。该技术提供了一种高度安全的解决方案,具有良好的适应性和可扩展性。通常,状态防火墙还包括一些代理级服务,为特定的应用程序数据内容提供额外的支持。
状态防火墙基本保持了简单包过滤防火墙的优点,具有良好的性能和对应用的透明性。在此基础上,安全性有了很大的提高。这种防火墙摒弃了简单包过滤防火墙只检查进出网络的数据包,而不关心数据包状态的缺点。它在防火墙的核心部分建立状态连接表,维护连接,将进出网络的数据作为事件处理。主要特点是由于缺乏应用层协议的深度检测功能,无法彻底识别数据包中的大量垃圾邮件、广告、木马等。
4.完整内容检测技术
完整的内容检测技术防火墙集成了状态检测和应用代理技术,并在此基础上将反病毒、内容过滤、应用识别等功能集成到基于多层检测架构的防火墙中,该防火墙还包含IPS功能。它在网络接口扫描应用层,将反病毒、内容过滤和防火墙结合在一起,体现了一种新的网络与信息安全思想(因此也被称为“下一代防火墙技术”)。
在网络边缘实现OSI第7层的内容扫描,在网络边缘实现病毒防护、内容过滤等应用层服务措施的实时部署。完整内容检测技术的防火墙可以检查整个数据包的内容,根据需要建立连接状态表,具有网络层强保护、应用层精细控制等优点。但由于其功能集成度高,对产品硬件要求较高。
防火墙的功能
1.保护脆弱的服务
通过过滤不安全的服务,防火墙可以大大提高网络安全性,降低子网内主机的风险。例如,防火墙可以阻止NIS和NFS服务通过,防火墙可以拒绝源路由和ICMP重定向数据包。
2.控制系统的访问
防火墙可以提供对系统的访问控制。例如,一些主机被允许从外部访问,而另一些则被禁止。例如,防火墙允许外部访问特定的邮件服务器和Web服务器。
3.集中安全管理
防火墙对企业内网实施集中的安全管理,防火墙中定义的安全规则可以在整个内网系统中运行,而不需要在内网的每台机器上设置安全策略。防火墙可以定义不同的身份验证方法,而无需在每台机器上安装特定的身份验证软件。外部用户只需要认证一次就可以访问内部网。
4.增强的保密性
防火墙可以阻止攻击者获取有用的信息来攻击网络系统,如Figer和DNS。
5.记录和统计网络使用和非法使用的数据。
防火墙可以记录和统计通过防火墙的网络通信,并提供网络使用情况的统计。此外,防火墙可以提供统计数据来判断可能的攻击和检测。
6.政策实施
防火墙提供了一种制定和实施网络安全策略的方法。当没有设置防火墙时,网络安全依赖于每台主机的用户。
本文来自北蕭投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/582066.html
微信扫一扫 
