admin 网络防火墙是什么
网络防火墙是一种用于加强网络间访问控制的特殊网络互联设备。所有进出计算机的网络流量都要通过这个防火墙。防火墙扫描流经它的网络流量,以过滤掉一些攻击,从而防止它们在目标计算机上执行。
网络防火墙是一种用于加强网络间访问控制的特殊网络互联设备。所有进出计算机的网络流量都要通过这个防火墙。防火墙扫描流经它的网络流量,以过滤掉一些攻击,从而防止它们在目标计算机上执行。防火墙也可以关闭未使用的端口。而且还可以禁止特定端口的传出通信,拦截木马。最后,它可以禁止来自特殊站点的访问,从而防止来自未知入侵者的所有通信。
基本功能
所谓的“防火墙”是一种特殊的访问控制设施,是内部网络和互联网之间的安全屏障。防火墙的基本功能是根据各种网络安全策略的要求,屏蔽和屏蔽未经授权的访问和数据传输,保护内部网络数据的安全。从逻辑上讲,防火墙既是分析器又是限制器,它要求所有进出内网的数据流都必须经过安全策略和安全计划的确认和授权,逻辑上实现内外网的分离,从而保证内网的安全。防火墙可以是一组硬件、一组软件或软件和硬件的组合。
主要角色
防火墙作为内网和外网之间的访问控制设备,通常安装在内网和外网的交界处。防火墙具有良好的网络安全保护功能。入侵者必须首先越过防火墙的安全线,然后才能联系目标计算机。您可以为防火墙配置许多不同的保护级别。高级保护可能会禁止某些服务,比如视频流,但至少是你自己的保护选择。网络防火墙的主要功能如下:(1)互联网防火墙可以防止互联网上的危险(病毒、资源盗用)扩散到网络内部;(2)可以加强安全政策;(3)能够有效记录互联网上的活动;(4)用户点曝光有限;(5)是安全策略的关卡。
分类
1.网络层防火墙
网络层防火墙保护整个网络免受非法入侵,其典型技术是包过滤技术,即检查进入网络的数据包,丢弃不符合预设标准的数据包,让符合标准的数据包通过。包过滤技术主要基于路由技术,根据目的地址、源地址和端口号过滤数据包,然后根据静态或动态过滤逻辑转发数据包。
2.应用层网关防火墙
应用级网关防火墙控制对应用程序的访问,即允许访问某些应用程序,阻止访问其他应用程序。采用的方法是在应用层网关上安装代理软件,每个代理模块针对不同的应用。比如Telnetproxy负责防火墙上的Telnet转发,而FTPproxy是文件传输代理。管理员可以根据需要安装相应的代理来控制对应用程序的访问。每个代理模块之间没有任何关系。即使一个代理模块的工作出现问题,也只需要拆开,不影响其他代理模块的正常工作,从而保证了防火墙的安全性。这种防火墙也叫代理防火墙,由代理服务器和过滤路由器组成。是目前比较流行的防火墙。
3.监控防火墙
监控防火墙是新一代产品,这种技术实际上已经超出了防火墙最初的定义。监控防火墙可以主动实时监控每一层的数据。基于对这些数据的分析,监控防火墙可以有效地判断每一层的非法入侵。同时,这类检测防火墙产品通常有分布式检测器,放置在各种应用服务器等网络节点上,不仅可以检测来自网络外部的攻击,而且对来自网络内部的恶意破坏也有很强的防范作用。
选择标准
1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本不应超过受保护网络系统可能遭受的最大损失;
2.防火墙作为信息系统安全产品,本身也要保证安全,不给外部入侵者机会;
3.管理和培训是防火墙评估的重要方面。
4.在网络系统建设初期,由于内部信息系统规模小,受到攻击造成的损失小,不需要购买过于复杂和昂贵的防火墙产品;
5.评价防火墙产品最难的一个方面是防火墙的安全性能,即防火墙能否有效阻挡外部入侵。
一个好的防火墙系统应该具备三个特点:(1)内网和外网之间传输的所有数据都必须通过防火墙;(2)只有授权的合法数据,即防火墙系统中安全策略允许的数据,才能通过防火墙;(3)防火墙本身不受各种攻击的影响。
发展限制
1.防火墙无法阻止来自内部网络的攻击。传统防火墙安全策略的一个基本假设是,网络一侧的所有人都不可信,另一侧的所有人都可信。但实际上80%的攻击访问来自内部网络,使得内部网络不安全。此外,大多数传统防火墙缺乏对主机意图的理解,因此只能根据其外部特征对数据包进行过滤和控制。
2.防火墙不能完全阻止用户传输被感染的软件或文件。
3.为了提高保护网络的安全性,防火墙限制或关闭了许多有安全漏洞的有用网络服务。
4.防火墙是一种被动的保护手段,它只能对抗已知的网络威胁,但不能防止新的网络安全问题。
5.防火墙无法阻止数据驱动的攻击。
6.内网用户可以通过VoIP、聊天软件等特殊方式绕过防火墙与互联网的直接连接;此外,聪明的黑客也可能使用新技术穿透防火墙。因此,仍然需要注意加强对主机安全的保护。
7.一旦系统管理员对防火墙配置不当,就很容易留下大量的安全漏洞。
8.防火墙设置一般以IP地址为基础,因此内部网络主机和服务器的IP地址发生变化会导致设置文件中的规则发生变化,这意味着这些规则的设置受到网络拓扑的限制。
0条评论