防火墙的作用及原理有哪些_防火墙的作用及原理有哪些内容

       我很荣幸能够为大家解答关于防火墙的作用及原理有哪些的问题。这个问题集合囊括了防火墙的作用及原理有哪些的各个方面,我将从多个角度给出答案,以期能够满足您的需求。

1.简述防火墙的作用。

2.防火墙的主要功能

3.防火墙是什么

4.什么是防火墙,以及防火墙可以实现什么功能.

5.计算机防火墙的主要作用是什么?

防火墙的作用及原理有哪些_防火墙的作用及原理有哪些内容

简述防火墙的作用。

防火墙的作用是:

       防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。

       在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙的主要功能

       防火墙的工作原理是什么!

        :itcso./news/20060324/1044465098-2.s

        防火墙的原理是指设定在不同网路(如可信任的企业内部网和不可信的公共网)或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的唯一出入口,通过监测、限制、更改跨越防火墙的资料流,尽可能地对外部遮蔽网路内部的资讯、结构和执行状况,有选择地接受外部访问,对内部强化装置监管、控制对伺服器与外部网路的访问,在被保护网路和外部网路之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬体防火墙和软体防火墙,他们都能起到保护作用并筛选出网路上的攻击者,防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务,包过滤技术是一种简单、有效的安全控制技术,它通过在网路间相互连线的装置上载入允许、禁止来自某些特定的源地址、目的地址、TCP埠号等规则,对通过装置的资料包进行检查,限制资料包进出内部网路。包过滤的最大优点是对使用者透明,传输效能高。但由于安全控制层次在网路层、传输层,安全控制的力度也只限于源地址、目的地址和埠号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、记忆体覆盖攻击或病毒等高层次的攻击手段,则无能为力。

        状态检测是比包过滤更为有效的安全控制方法。对新建的应用连线,状态检测检查预先设定的安全规则,允许符合规则的连线通过,并在记忆体中记录下该连线的相关资讯,生成状态表。对该连线的后续资料包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个资料包进行规则检查,而是一个连线的后续资料包(通常是大量的资料包)通过杂凑演算法,直接进行状态检查,从而使得效能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的埠,使得安全性得到进一步地提高,希望回答可以帮到你。

防火墙的工作原理?

        防火墙主要用语对付黑客用的。可以降低中毒机率。要防毒还得靠防毒软体

        防火墙能增强机构内部网路的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的资料通过,而且防火墙本身也必须能够免于渗透。

       

        防火墙的五大功能

        一般来说,防火墙具有以下几种功能:

        1.允许网路管理员定义一个中心点来防止非法使用者进入内部网路。

        2.可以很方便地监视网路的安全性,并报警。

        3.可以作为部署NAT(Neork Address Translation,网路地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。

        4.是审计和记录Inter使用费用的一个最佳地点。网路管理员可以在此向管理部门提供Inter连线的费用情况,查出潜在的频宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。

计算机防火墙的工作原理是什么

        在计算机和你网路间 插入一个过滤系统

        这个过滤系统 可以认为定义一些 规则,那些是好的流量那些事违规的流量,好的就转发,或者违规的就丢掉。

        定义一些资料包的行为,那些包的行为师攻击行为,该做出是那么样的防范。

        这么一些个系统就叫做防火墙。

arp防火墙的工作原理

        比如说有一个盲人,他的孙子只要从他面前走过,他总会给孙子一块糖吃,于了有一些捣乱的小孩子就会反复的从他面前走过,装孙子,骗糖吃,这个盲人不高兴了,他就养了一条狗,这个狗可以看得见,可以记得谁是真的孙子,谁是装孙子,以后谁要再来装孙子就会被狗咬了,ARP防火墙有点像那条狗的作用,分出谁是真的,谁是假的。对于一般使用者,就是记得正确有闸道器MAC地址。

防火墙的工作原理事什么

        网路层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆叠上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙装置可能只能套用内建的规则。

        我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。

        较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务型别(如 或是 FTP)。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

防火墙的基本工作原理是什么

        任何计算机病毒实际上都是计算机程式程式码,是一段程式,是一串数字的排列组合。就像每个指纹具有的其他人没有的特征一样,病毒程式中必然有独有的、其它程式所不具备的排列方式。称为病毒特征码。

        病毒软体公司的一个基本工作就是发现新病毒,并找出其特征码。我们升级病毒库,就是把特征码存在计算机 *** 防火墙和防毒软体使用。

        病毒防火墙的功能,就是在资料流动的位置,用毒特征码和资料流中的资料对比,一旦发现和 病毒特征码相同的资料,就认为是发现病毒,采取相应措施。(防毒软体是和硬碟及记忆体中的资料比对,防火墙只管进出计算机的资料流)

        由于病毒有上万种,计算机中的资料流动途径也有多种,所以如何比对,在那个位置比对,以达到又快又不出错,是考验各种防火墙技术水平的。

        另外从什么途径获得病毒特征码也很重要。大多防毒商都会共享资料,但如果某一家老是不能发现新病毒,并找出其特征码的能力,大家就会“不带它玩”

请教防火墙的工作原理

        防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网路的世界里,要由防火墙过滤的就是承载通讯资料的通讯包。

        天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的T CP/IP协议栈;有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如S MTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的资料包,决定放行还是把他们扔到一边。

        所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台U NIX计算机,另一边的网段则摆了台PC客户机。

防火墙的工作原理? 怎么工作的啊》》?

        什么是防火墙?

        防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网路的世界里,要由防火墙过滤的就是承载通讯资料的通讯包。

        天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;

        有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如 SMTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的资料包,决定放行还是把他们扔到一边。

        所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。

        防火墙说明

        当PC客户机向UNIX计算机发起tel请求时,PC的tel客户程式就产生一个TCP包并把它传给本地的协议栈准备传送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它传送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

        现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的资料包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程式一声呢!既然发向目标的IP资料没法转发,那么只有和UNIX计算机同在一个网段的使用者才能访问UNIX计算机了。

        防火墙说明2

        还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的资料包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了

        伺服器TCP/UDP 埠过滤

        仅仅依靠地址进行资料过滤在实际运用中是不可行的,还有个原因就是目标主机上往往执行着多种通讯服务,比方说,我们不想让使用者采用 tel的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件伺服器吧?所以说,在地址之外我们还要对伺服器的TCP/ UDP埠进行过滤。

        防火墙3

        比如,预设的tel服务连线埠号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是伺服器)的tel连线,那么我们只需命令防火墙检查传送目标是UNIX伺服器的资料包,把其中具有23目标埠号的包过滤就行了。这样,我们把IP地址和目标伺服器 TCP/UDP埠结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。

        客户机也有TCP/UDP埠

        TCP/IP是一种端对端协议,每个网路节点都具有唯一的地址。网路节点的应用层也是这样,处于应用层的每个应用程式和服务都具有自己的对应 “地址”,也就是埠号。地址和埠都具备了才能建立客户机和伺服器的各种应用之间的有效通讯联络。比如,tel伺服器在埠23侦听入站连线。同时tel客户机也有一个埠号,否则客户机的IP栈怎么知道某个资料包是属于哪个应用程式的呢?

        由于历史的原因,几乎所有的TCP/IP客户程式都使用大于1023的随机分配埠号。只有UNIX计算机上的root使用者才可以访问1024 以下的埠,而这些埠还保留为伺服器上的服务所用。所以,除非我们让所有具有大于1023埠号的资料包进入网路,否则各种网路连线都没法正常工作。

        这对防火墙而言可就麻烦了,如果阻塞入站的全部埠,那么所有的客户机都没法使用网路资源。因为伺服器发出响应外部连线请求的入站(就是进入防火墙的意思)资料包都没法经过防火墙的入站过滤。反过来,开启所有高于1023的埠就可行了吗?也不尽然。由于很多服务使用的埠都大于1023,比如 X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023埠标准的资料包都进入网路的话网路还能说是安全的吗?连这些客户程式都不敢说自己是足够安全的。

        防火墙4

        双向过滤

        OK,咱们换个思路。我们给防火墙这样下命令:已知服务的资料包可以进来,其他的全部挡在防火墙之外。比如,如果你知道使用者要访问Web伺服器,那就只让具有源埠号80的资料包进入网路:

        防火墙5

        不过新问题又出现了。首先,你怎么知道你要访问的伺服器具有哪些正在执行的埠号呢? 象HTTP这样的伺服器本来就是可以任意配置的,所采用的埠也可以随意配置。如果你这样设定防火墙,你就没法访问哪些没采用标准埠号的的网路站点了! 反过来,你也没法保证进入网路的资料包中具有埠号80的就一定来自Web伺服器。有些黑客就是利用这一点制作自己的入侵工具,并让其执行在本机的80埠!

        检查ACK位

        源地址我们不相信,源埠也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于TCP协议。

        TCP是一种可靠的通讯协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连线都要先经过一个 “握手”过程来交换连线引数。还有,每个传送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK 包来响应,实际上仅仅在TCP包头上设定一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设定ACK位。连线会话的第一个包不用于确认,所以它就没有设定ACK位,后续会话交换的TCP包就要设定ACK位了。

        防火墙6

        举个例子,PC向远端的Web伺服器发起一个连线,它生成一个没有设定ACK位的连线请求包。当伺服器响应该请求时,伺服器就发回一个设定了 ACK位的资料包,同时在包里标记从客户机所收到的位元组数。然后客户机就用自己的响应包再响应该资料包,这个资料包也设定了ACK位并标记了从伺服器收到的位元组数。通过监视ACK位,我们就可以将进入网路的资料限制在响应包的范围之内。于是,远端系统根本无法发起TCP连线但却能响应收到的资料包了。

        这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web伺服器,那么埠80就不得不被开启以便外部请求可以进入网路。还有,对 UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP应用程式,比如FTP,连线就必须由这些伺服器程式自己发起。

        FTP带来的困难

        一般的Inter服务对所有的通讯都只使用一对埠号,FTP程式在连线期间则使用两对埠号。第一对埠号用于FTP的“命令通道”提供登入和执行命令的通讯链路,而另一对埠号则用于FTP的“资料通道”提供客户机和伺服器之间的档案传送。

        在通常的FTP会话过程中,客户机首先向伺服器的埠21(命令通道)传送一个TCP连线请求,然后执行LOGIN、DIR等各种命令。一旦使用者请求伺服器传送资料,FTP伺服器就用其20埠(资料通道)向客户的资料埠发起连线。问题来了,如果伺服器向客户机发起传送资料的连线,那么它就会发送没有设定ACK位的资料包,防火墙则按照刚才的规则拒绝该资料包同时也就意味着资料传送没戏了。通常只有高阶的、也就是够聪明的防火墙才能看出客户机刚才告诉伺服器的埠,然后才许可对该埠的入站连线。

        UDP埠过滤

        好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通讯,这种型别的服务通常用于广播、路由、多媒体等广播形式的通讯任务。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。

        看来最简单的可行办法就是不允许建立入站UDP连线。防火墙设定为只许转发来自内部介面的UDP包,来自外部介面的UDP包则不转发。现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程式也使用UDP,如果要让你的使用者使用它,就同样要让他们的UDP包进入网路。我们能做的就是对那些从本地到可信任站点之间的连线进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?

        有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和埠号就让它进来。如果在记忆体中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生资料包的外部主机就是内部客户机希望通讯的伺服器呢?如果黑客诈称DNS伺服器的地址,那么他在理论上当然可以从附着DNS的UDP埠发起攻击。只要你允许DNS查询和反馈包进入网路这个问题就必然存在。办法是采用代理伺服器。

        所谓代理伺服器,顾名思义就是代表你的网路和外界打交道的伺服器。代理伺服器不允许存在任何网路内外的直接连线。它本身就提供公共和专用的 DNS、邮件伺服器等多种功能。代理伺服器重写资料包而不是简单地将其转发了事。给人的感觉就是网路内部的主机都站在了网路的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。

        小结

        IP地址可能是假的,这是由于IP协议的源路有机制所带来的,这种机制告诉路由器不要为资料包采用正常的路径,而是按照包头内的路径传送资料包。于是黑客就可以使用系统的IP地址获得返回的资料包。有些高阶防火墙可以让使用者禁止源路由。通常我们的网路都通过一条路径连线ISP,然后再进入 Inter。这时禁用源路由就会迫使资料包必须沿着正常的路径返回。

        还有,我们需要了解防火墙在拒绝资料包的时候还做了哪些其他工作。比如,防火墙是否向连线发起系统发回了“主机不可到达”的ICMP讯息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”讯息会告诉黑客“防火墙专门阻塞了某些埠”,黑客立即就可以从这个讯息中闻到一点什么气味。如果ICMP“主机不可达”是通讯中发生的错误,那么老实的系统可能就真的什么也不传送了。反过来,什么响应都没有却会使发起通讯的系统不断地尝试建立连线直到应用程式或者协议栈超时,结果终端使用者只能得到一个错误资讯。当然这种方式会让黑客无法判断某埠到底是关闭了还是没有使用。

防火墙是什么

       防火墙的主要功能:

       一是:可以限制他人进入内部网络,过滤掉不安全服务和非法用户;

       二是:防止入侵者接近你的防御设施;

       三是:限定用户访问特殊站点。

       四是:为监视Internet安全提供方便。

防火墙:

       原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。

       而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,其实原理是一样的,也就是防止灾难扩散。

       应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。所以它一般连接在核心交换机与外网之间。

什么是防火墙,以及防火墙可以实现什么功能.

       防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。 防火墙的发明者是吉尔·舍伍德。

       所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

       在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

       什么是防火墙

       XP系统相比于以往的Windows系统新增了许多的网络功能(Windows 7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。

       ICF工作原理

       ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。

       源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。

       防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。

       从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet

       从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。

计算机防火墙的主要作用是什么?

       火墙定义

       防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

       防火墙的功能

       防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

       为什么使用防火墙

       防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

       防火墙的类型

       防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。

       防火墙的概念

       当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

       防火墙的功能

       防火墙是网络安全的屏障:

       一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

       防火墙可以强化网络安全策略:

       通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

       对网络存取和访问进行监控审计:

       如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

       防止内部信息的外泄:

       通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。

       除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系***(虚拟专用网)。

       防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。

       防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。

       防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。

       我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:

       (一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙

       这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。

       根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。

       典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

       (二)只有符合安全策略的数据流才能通过防火墙

       防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:

       (三)防火墙自身应具有非常强的抗攻击免疫力

       这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

       目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。来自:引用

       防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。

       从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。

       1、网络级防火墙

       一般来说,它是根据源地址和目的地址、应用程序、协议和每个IP包的端口来决定是否通过。路由器是“传统的”网络级防火墙。大多数路由器可以通过检查这些信息来确定是否转发接收到的数据包,但无法确定IP数据包从何而来,从何而去。

       防火墙检查每个规则,直到发现数据包中的信息与规则匹配为止。如果没有可以满足的规则,防火墙将使用默认规则。通常,默认规则是要求防火墙丢弃数据包。其次,通过定义基于TCP或UDP包的端口号,防火墙可以确定是否允许建立特定的连接,如telnet和FTP连接。

       2、应用级网关

       应用级网关可以检查传入和传出的数据包,通过网关复制和传输数据,防止可信服务器和客户端与不可信主机直接建立联系。应用层网关可以理解应用层的协议,进行更复杂的访问控制,并进行精细的注册和审计。

       它针对特定的网络应用服务协议,即数据过滤协议,能够对数据包进行分析并形成相关的报表。应用网关对一些易于登录和控制所有输出和输入通信的环境进行严格控制,以防止有价值的程序和数据被盗。在实际应用中,应用网关通常由一个专用的工作站系统来完成。

       然而,每一个协议都需要相应的代理软件,由于其工作量大,效率不如网络防火墙。应用层网关具有较好的访问控制能力,是目前最安全的防火墙技术,但实现起来比较困难,一些应用层网关缺乏“透明性”。

       实际上,当用户通过可信网络上的防火墙访问Internet时,他们经常发现存在延迟,必须多次登录才能访问Internet或intranet。

       3、电路级网关

       电路级网关用于监控可信客户端或服务器与不可信主机之间的TCP握手信息,以确定会话是否合法。在OSI模型中,电路级网关过滤会话层上的包,这比包过滤防火墙高两层。电路级网关还提供了一个重要的安全功能:代理服务器。

       代理服务器是Internet防火墙网关中设置的一种特殊的应用程序级代码。此代理服务允许管理员允许或拒绝特定应用程序或应用程序的特定功能。包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据包通过。

       一旦满足判断条件,防火墙内网的结构和运行状态就会“暴露”给国外用户,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链路”被两个代理服务“链路”终止,从而实现成功实现了防火墙内外计算机系统的隔离。

       同时,代理服务还可以实现强大的数据流监控、过滤、记录和报告功能。代理服务技术主要由专用计算机硬件(如工作站)承担。

       4、规则检查防火墙

       防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。与包过滤防火墙一样,规则检查防火墙可以通过OSI网络层上的IP地址和端口号过滤传入和传出的包。与电路级网关一样,它可以检查syn和ACK标记以及序列号是否按逻辑顺序排列。

       当然,和应用层网关一样,它可以检查OSI应用层上的包内容,看看这些内容是否符合企业网络的安全规则。尽管规则检查防火墙集成了前三种防火墙的特性,但它不同于应用层网关,因为它不会破坏客户机/服务器模式来分析应用层中的数据。

       它允许受信任的客户端和不受信任的主机建立直接连接。规则检查防火墙不依赖于与应用层相关的代理,而是依赖于某种算法来识别传入和传出的应用层数据。这些算法通过了解合法数据包的模式来比较传入和传出的数据包,从而在理论上比应用程序级代理更有效地过滤数据包。

扩展资料;

       防火墙技术的应用应考虑两个方面:

       首先,虽然许多防火墙产品声称它们具有此功能,但防火墙并不是反病毒的。其次,防火墙技术的另一个弱点是防火墙之间的数据更新是一个问题。

       如果延迟太大,它将不支持实时服务请求。此外,防火墙采用过滤技术,通常会使网络性能降低50%以上。如果为了提高网络性能而购买高速路由器,将大大增加经济预算。

       防火墙对流经它的网络通信进行扫描,以便过滤掉一些攻击,并避免它们在目标计算机上执行。防火墙还可以关闭未使用的端口。

       同时还可以禁止特定端口的外流通信,阻止木马。最后,它可以禁止特殊站点的访问,从而防止来自未知入侵者的所有通信。

参考资料来源;百度百科——防火墙技术

       今天关于“防火墙的作用及原理有哪些”的讨论就到这里了。希望通过今天的讲解,您能对这个主题有更深入的理解。如果您有任何问题或需要进一步的信息,请随时告诉我。我将竭诚为您服务。