1. 防火墙概念
防火墙是位于两个或多个网络之间,实施网间访问控制策略的一组组件,如图5-1所示 。
设立防火墙的目的是为了保护内部网络不受来自外部网络的攻击,从而创建一个相对安全的内网环境 。
在网络系统中,防火墙是一个由软件系统和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间构造的保护屏障;
使Internet与Intranet之间建立一个安全网关(Security Gateway),从而保护内部网免受非法用户入侵 , 简单部署如图5-2所示 。
文章插图
文章插图
防火墙主要由服务访问规则、验证工具、包过滤和应用网关四部分组成 。理想的防火墙应该满足以下条件:
①内部和外部之间的所有网络数据流必须经过防火墙;
②只有符合安全策略的数据流才能通过防火墙;
③防火墙自身应具有非常强的抗攻击免疫力 。
防火墙一般采用四种控制技术来达到保护内部网络的目的:
①服务控制,控制可以访问Internet 服务类型,包括向内和向外;
②方向控制,控制一项特殊服务所要求的方向;
③用户控制 , 控制访问服务的人员;
④行为控制 , 控制服务的使用方式,如e-mail过滤等 。
防火墙的功能
一般而言,一个单位的内部网络组成结构复杂,各节点通常自主管理 , 但机构有整体的安全需求和显著的内外区别 。
通过部署和使用防火墙,不但可以贯彻执行单位的整体安全策略防止外部攻击,还可有效地隔离不同网络,限制安全问题扩散,也可有效地记录和审核Internet上的活动 。
防火墙好像大门上的锁,主要职能是保护内部网络的安全 。
由于防火墙处于内部网络和外部网络之间这个特殊位置 , 因此防火墙上还可以添加一些其它功能,主要包括:通过防火墙将内部私有地址转换为全球公共地址;对一个特定用户的身份进行校验 , 判断是否合法;对通过防火墙的信息进行监控;支持VPN功能等 。
防火墙的局限性
防火墙不能对内部威胁提供防护支持 , 也不能对绕过防火墙的攻击提供保护 。
受性能限制,防火墙不能有效地防范数据内容驱动式攻击,对病毒传输的保护能力也比较弱 。
为了提高安全性,防火墙系统限制或关闭了一些有用但存在安全缺陷的网络服务,从而给用户造成了使用的不便,这可能带来传输延迟、性能瓶颈及单点失效 。
另外 , 作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新的威胁和攻击 。
防火墙的发展
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术 。
1989年,贝尔实验室Dave Presotto和Howard Trickey推出了第二代防火墙即电路层防火墙、第三代防火墙应用层防火墙的初步结构 。
1992年,USC信息科学院BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为状态检测(Stateful inspection)技术 。
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,给代理类型防火墙赋予了全新的意义 , 称之为第五代防火墙 。
随着万兆UTM(Unified Threat Management,统一威助管理)的出现,UTM代替防火墙的趋势不可避免 。
在国际上,Juniper公司高性能UTM占据了一定的市场份额;国内,H3C、启明星辰高性能UTM则一直领跑国内市场 。
2. 防火墙的主要技术
1) 包过滤技术
包过滤(Packet Filtering)技术是防火墙在网络层根据IP数据包中包头信息有选择地实施允许通过或阻断 。
包过滤防火墙对流经该设备的IP数据包地址信息、协议类型、路由信息、流向等首部信息,按照事先设定的过滤规则来决定是否允许该数据包通过,判断依据(如图5-3所示):
①源、目的IP地址和源、目的端口;
②数据包协议类型 , 如TCP、UDP、ICMP、IGMP等;
③IP路由选项;
④TCP标志位选项,如SYN、ACK、FIN、RST等;
⑤数据包流向或流经的网络接口,如in或out等 。以允许合乎规则的数据包通过防火墙进入到内部或外部网络,而将不合乎规则的数据包加以丢弃,如图5-4所示 。包过滤技术核心是安全策略即过滤规则的设计 。
- 华佗个人资料简历 华佗是哪里人
- 生日聚餐吃什么好
- 个人电脑对生活意味着什么 电脑pc版是什么意思
- 微信一键群发软件 微信消息怎么群发给每个人
- 什么是软件防火墙及其在网络安全中的重要作用
- 抖音基础资料这样编写吸引粉丝 个人简介怎么写才吸引人
- 高效管理支付方式!(个人偏好设置方法 微信支付怎么设置优先支付顺序)
- 国内真正的免费建站 免费个人建站系统哪个好用
- 怎样打开防火墙设置 关于防火墙的操作技巧
- 人参保肺丸功效与作用