当前位置:   article > 正文

防火墙(讲解)

防火墙(讲解)

目录

1.防火墙是什么?

2.防火墙设备

3.防火墙功能

1)出色的控制能力,过滤掉不安全服务

2)过滤非法用户和访问特殊站点

3)它能够对网络存取和访问进行监控审计

4.防火墙的局限

(1)防火墙有可能是可以绕过的

(2)防火墙不能防止内部出卖性攻击或者内部误操作

(3)防火墙不能防止对开放端口或服务的攻击

(4)防火墙可以阻断攻击,但是不能消灭攻击源

(5)防火墙本身也会出现问题,也会遭到攻击


大家在上网的过程中应该都见过这样一个安全提示:windows防火墙已阻止此程序。

1.防火墙是什么?

在古代建筑中,防火墙(Fire Wall)是用来防止火灾蔓延的防护构筑物。而在计算机网络中,防火墙是设置在可信任的内部网络不可信任的外界(如因特网)之间的一道保 护屏障,用来保护内部网免受外部网上非法用户的入侵,这是目前实现网络安全最有效的 措施之一。

安装防火墙以后,所有内部网络和外部网络之间传输的数据必须通过防火墙,防火墙 允许授权“同意”的用户和数据进入到内部网络中,同时将“不同意”的用户和数据拒之 门外,最大限度地阻止网络中的黑客来访问内部网络。

在电影《防火墙》中,盗匪利用绑架电脑专家杰克的家人,威胁杰克利用自己的电脑 强项,来突破杰克自己编写的防火墙程序,以达到从银行的账户上窃取客户资料、获得金钱的非法目的。如果杰克不帮助盗匪通过防火墙,盗匪就无法访问银行内部的网络。

2.防火墙设备

防火墙的发展历经三代:简单包过滤、应用代理、状态检测防火墙,目前最新的主流技术是具有数据流过滤功能的防火墙。

早期的防火墙一般是直接安装在计算机上的一套软件,是一个应用软件,代表的产品 有checkpoint公司的防火墙,还有一些用于个人计算机的防火墙,如瑞星、360ARP,金山网盾等。

后来采用PC硬件结构,基于Unix、LINUX等操作系统内核开发安全防护的一些基本特性所构成的硬件防火墙,是软件和硬件的结合体,如天融信公司的早期防火墙产品。

现在则是采用独立设计的asic芯片,基于专门的硬件平台,没有操作系统,在CPU, 电源、风扇、总线、扩展插卡等方面优化结构,保证防火墙产品得到最优的处理性能,比 较有名的是华为、思科、H3C、juniper等公司的防火墙产品

3.防火墙功能

在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,入侵者必须首先穿越防 火墙的安全防线,才能接触目标计算机。

1)出色的控制能力,过滤掉不安全服务

防火墙作为一个阻塞点、控制点,能封锁所有的信息流,通过服务控制(确定哪些服 务可以被访问)、方向控制(对于特定的服务,可以确定允许哪个方向能够通过防火 墙)、用户控制(根据用户来控制对服务的访问)、行为控制(控制一个特定的服务的行 为),对希望提供的安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼 杀在萌芽之中,从而极大地提高内部网络的安全性。

2)过滤非法用户和访问特殊站点

通过以防火墙为中心的网络安全方案配置,能将所有安全软件(口令、加密、身份认 证、审计等)配置在防火墙上,以强化网络安全策略。如是否允许所有用户和站点对内部 网络进行访问,是否按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。

3)它能够对网络存取和访问进行监控审计

所有的外部访问都经过防火墙时,防火墙就能记录下这些访问,为网络使用情况提供统 计数据。当发生可疑信息时防火墙能发出报警,并提供网络是否受到监测和攻击的详细信息。

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。

4.防火墙的局限

防火墙并不是万能的

(1)防火墙有可能是可以绕过的

防火墙一旦被攻击者击穿或者绕过,防火墙就失去作用了。实际上由于防火墙依赖于口 令,所以防火墙不能防范黑客对口令的攻击。几年前,两个在校学生编了一个简单程序, 通过对波音公司的口令字的排列组合试出了开启内部网的要求,从内部网中搞到了一张授 权的波音公司的口令表,将口令一一出卖。所以美国马里兰州的一家计算机安全咨询机构 负责人诺尔.马切特说:“防火墙不过是一道较矮的篱笆墙”。黑客像耗子一样,能从这 道篱笆墙上的窟窿中自由出入。

(2)防火墙不能防止内部出卖性攻击或者内部误操作

显然,当内部人员将敏感数据或者文件复制到U盘等移动设备上提供给外部攻击者时,防 火墙是无能为力的。当内部一个带有木马的机器主动和攻击者连接,这时像铁壁一样的防 火墙瞬间就会被破坏掉。此外,内部网中各个主机之间的攻击行为,防火墙也只有如旁观 者一样冷视而爱莫能助。

(3)防火墙不能防止对开放端口或服务的攻击

如WEB服务要开放80端口,MAIL服务要开放25端口,这时防火墙不能防止对80端口、25端 口的攻击。

(4)防火墙可以阻断攻击,但是不能消灭攻击源

防火墙是一种被动防卫机制,不是主动安全机制。因特网上的各种攻击源源不断,设置得 当的防火墙可以阻挡他们,但是无法消除这些攻击源,这些攻击仍然会源源不断的向防火 墙发出攻击尝试。

(5)防火墙本身也会出现问题,也会遭到攻击

防火墙不能干涉还没有到达防火墙的数据包,如果这个数据包是攻击防火墙的,只有已经 发生了攻击,防火墙才可以对抗。并且防火墙也是一个系统,也有自己的缺陷,也会受到 攻击,这是许多防御措施就会失灵的。

是的,防火墙是网络安全的重要一环,但不代表设置了防火墙,就一定能保证网络绝 对安全,但是设置得当的防火墙,至少会使得网络更为坚固一些,并能提供更多的攻击信息供分析用。

“真正的安全是一种意识,而非技术!”     请牢记这句话。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/295567
推荐阅读
相关标签
  

闽ICP备14008679号