防火墙的分类与优缺点知识
计算机防火墙名词解释
计算机防火墙名词解释
计算机防火墙是一种网络安全工具,用于保护计算机系统和网络不受未经授权的访问、恶意攻击和其他安全威胁。
防火墙可以防止未授权的网络访问,过滤网络流量并检测和阻止恶意流量,通常是通过在网络边界安装硬件或软件设备来实现的。
防火墙可以根据不同的需求和配置进行多种分类。
以下是一些常见的分类和特点:
1. 硬件防火墙:硬件防火墙是直接安装在计算机或网络交换机上的设备,具有更高的安全性和处理能力。
它们能够过滤网络流量并检测和阻止恶意流量,通常需要额外的电源和存储容量。
2. 软件防火墙:软件防火墙通常是运行在操作系统之上的安全工具,可以通过软件更新来支持新的安全威胁和攻击手段。
它们可以提供更多的自定义性和灵活性,但相对来说其性能和安全性不如硬件防火墙。
3. 入侵检测系统(IDS):入侵检测系统是一种用于检测和记录网络入侵行为的安全工具。
它可以检测和阻止恶意攻击,但不具备过滤网络流量的功能。
4. 合规防火墙:合规防火墙是一种用于满足特定的安全性标准和法规的安全工具。
它们通常被用于商业和政府部门,用于保护关键信息基础设施(KII)和敏感数据。
防火墙是一种重要的网络安全工具,可以对网络流量进行过滤、检测和阻止,保护计算机和网络的安全。
防火墙
防火墙一.什么是防火墙?答:防火墙是一个保护一个网络免受其他网络攻击的屏障。
是一种用来加强网络之间访问控制的特殊网络设备。
是一种非常有效的网络安全模型。
二.防火墙的优缺点?答:优点:1.控制对网点的访问和封锁网点信息泄露。
2.能限制被保护子网的泄露。
3.具有审计作用。
4.能强制安全策略。
5.关闭不常用端口。
缺点:1.防火墙不能防备病毒。
2.防火墙对不通过对它的连接无能为力。
3.防火墙不能防备内部人员的攻击。
4.限制有用的网络服务5.防火墙不能防备新的网络安全问题。
三.防火墙系统5方面的特性?答:所有的内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响;使用目前新的信息安全技术,比如现代密码技术等;人机界面良好,用户配置使用方便,易管理。
五.防火墙可以防范一个网络或企业内的数据和信息三方面的风险?答:机密性的风险;数据完整性的风险;可用性风险。
一.OSI模型层次结构及各层功能?答:1.物理层:提供机械,电气,功能和规程特性。
2.数据链路层:负责无错传输数据,确认帧,发错重传等。
3.网络层:处理网络间路由,确保数据及时传送。
4.传输层:提供建立,维护和取消传输连接功能,负责可靠地传输数据。
5.会话层:提供包括访问的验证和会话管理在内的建立和维护应用之间通信的机制。
6.表示层:提供格式化表示和转换数据服务。
7.应用层:提供网络与用户应用软件之间的接口服务。
二.数据封装或解封装的过程?答:封装:1.创建数据;2.为端到端的传输将数据打包;3.在报头上添加网络地址;4.在数据链路报头上添加本地地址;5.为进行传输而转换为比特。
解封装:1.检验该MAC目的地址是否与工作站的地址相匹配,或者是否为一个以太网广播地址。
如果这两种情况都没出现,就丢弃该帧。
2.如果数据已经出错了,那么将它丢弃,而且数据链路层可能会要求重传数据。
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。
1.数据包过滤型防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。
之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
所根据的信息来源于IP、TCP或UDP包头。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
简述防火墙的相关内容
简述防火墙的相关内容摘要:一、防火墙的定义与作用二、防火墙的类型及特点三、防火墙的配置与优化四、防火墙在网络安全中的作用五、应对新型网络安全威胁的策略正文:防火墙作为网络安全的重要组成部分,其功能和性能的提升日益受到关注。
本文将从以下几个方面阐述防火墙的相关内容:一、防火墙的定义与作用防火墙(Firewall)是一种网络安全设备,用于在内部网络和外部网络之间建立保护屏障,以阻止未经授权的访问和恶意攻击。
防火墙的作用包括:限制外部访问内部网络、防止内部网络数据泄露、拦截恶意软件和病毒、保障网络业务正常运行等。
二、防火墙的类型及特点防火墙主要有以下几种类型:1.硬件防火墙:以硬件设备的形式存在,性能稳定,安全性较高,但部署和维护成本较高。
2.软件防火墙:运行在计算机操作系统上,灵活性较强,但随着病毒和恶意软件的不断升级,防护能力有限。
3.代理防火墙:通过代理服务器进行数据传输,可以有效防止外部攻击,但可能导致网络延迟。
4.链路层防火墙:在数据链路层实现安全防护,对网络层及应用层的安全也有较好的保障。
5.下一代防火墙:集成了入侵检测、防病毒、应用控制等多种功能,具备更高的安全性能。
三、防火墙的配置与优化1.合理设置防火墙规则:根据企业网络的实际需求,制定合适的防火墙规则,避免过度限制影响业务。
2.定期更新病毒库和特征库:及时更新防火墙的病毒库和特征库,提高防护能力。
3.配置日志审计:设置防火墙日志审计,便于分析和排查安全事件。
4.加强权限管理:限制管理员权限,降低误操作风险。
四、防火墙在网络安全中的作用1.防止外部攻击:防火墙可以拦截恶意流量,防止黑客攻击和网络入侵。
2.防止信息泄露:防火墙可以监控网络流量,发现并阻止敏感信息泄露。
3.保障业务稳定:防火墙可以对业务流量进行优化和调度,确保业务稳定运行。
4.合规审查:防火墙可以对企业内部网络行为进行监控,确保合规性。
五、应对新型网络安全威胁的策略1.提高防火墙的智能化水平:运用人工智能技术,提高防火墙对未知威胁的识别能力。
防火墙的优缺点及种类
防火墙的优缺点及种类防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
下面由店铺给你做出详细的防火墙的优缺点及种类介绍!希望对你有帮助!数据包过滤数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应用级网关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。
一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
代理服务代理服务(Proxy Service)也称链路级网关或TCP通道(CircuitLevel Gateways or TCP Tunnels),也有人将它归于应用级网关一类。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。
防火墙的优缺点是什么
防火墙的优缺点是什么防火墙的优缺点是什么相信大家都听说过防火墙,防火墙在建筑中是一种具有较高耐火极限的重要防火分隔物,是阻止火势蔓延的有力设施。
但现在更多的是用来形容网络防火墙,那防火墙的作用是什么? 防火墙的优缺点有哪些?跟着小编一起了解下:防火墙是什么防火墙就是一个位于计算机和它所连接的网络之间的软件。
该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙的作用防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。
防火墙具有很好的网络安全保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
主要作用:1、Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部;2、能强化安全策略;3、能有效记录Internet上的活动;4、可限制暴露用户点;5、它是安全策略的检查点。
防火墙的优点1、防火墙能强化安全策略因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的"交通警察",它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。
2、防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。
作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3、防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。
防火墙的类型及主要优缺点
防火墙的类型概念以及主要优缺点2008年10月27日星期一下午03:22什么是防火墙对于企业的网络而言,未加特别安全保护而放臵在internet上,危险性是显而易见的。
随着决策层对安全认识的逐步加强,防火墙,作为一种应用非常广泛,技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。
然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多,这就给使用者选择和应用防火墙带来了一定的误解和困难。
那么什么是防火墙,主要的防火墙之间如何区别呢?对于防火墙的概念,我们可以这样理解:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。
防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。
那么如何理解种类众多的防火墙呢,下面来做个介绍。
防火墙的类型如果我们从OSI分层模式来考察及分类防火墙,会比较容易的把握住防火墙的脉络,个人认为,目前主要的防火墙可以分为三类,它们分别是:包过滤防火墙、基于状态的包过滤防火墙、应用代理(网关)防火墙,而由这三类防火墙可以推导和演绎出其它可能的变化。
下面我们来逐一说明。
包过滤防火墙首先,我们要提到的是最基本的报文过滤的防火墙,这个层次的防火墙通常工作在OSI的三层及三层以下,由此我们可以看出,可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的MAC地址等。
除此以外,随着包过滤防火墙的发展,部分OSI四层的内容也被包括进来,如报文的源端口和目的端口。
本层次最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进屏蔽,在路由器上可以进行如下配臵:interface xip access-group 101 inaccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any从上面这个例子可以很明显的看出,路由器这里的配臵完全是针对OSI的三层ip地址,也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容,路由器完全不会去关心。
防火墙的类型及主要优缺点
防火墙的类型概念以及主要优缺点2008年10月27日星期一下午03:22什么是防火墙对于企业的网络而言,未加特别安全保护而放臵在internet上,危险性是显而易见的。
随着决策层对安全认识的逐步加强,防火墙,作为一种应用非常广泛,技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。
然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多,这就给使用者选择和应用防火墙带来了一定的误解和困难。
那么什么是防火墙,主要的防火墙之间如何区别呢?对于防火墙的概念,我们可以这样理解:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。
防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。
那么如何理解种类众多的防火墙呢,下面来做个介绍。
防火墙的类型如果我们从OSI分层模式来考察及分类防火墙,会比较容易的把握住防火墙的脉络,个人认为,目前主要的防火墙可以分为三类,它们分别是:包过滤防火墙、基于状态的包过滤防火墙、应用代理(网关)防火墙,而由这三类防火墙可以推导和演绎出其它可能的变化。
下面我们来逐一说明。
包过滤防火墙首先,我们要提到的是最基本的报文过滤的防火墙,这个层次的防火墙通常工作在OSI的三层及三层以下,由此我们可以看出,可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的MAC地址等。
除此以外,随着包过滤防火墙的发展,部分OSI四层的内容也被包括进来,如报文的源端口和目的端口。
本层次最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进屏蔽,在路由器上可以进行如下配臵:interface xip access-group 101 inaccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any从上面这个例子可以很明显的看出,路由器这里的配臵完全是针对OSI的三层ip地址,也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容,路由器完全不会去关心。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
这条规则也允许与Web连接使用相同端口的连接,所以它并不是十分安全。
丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从而减少IP欺骗性的攻击。
丢弃包含源路由信息的包,以减少源路由攻击。
要记住,在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取得正常路由,可能会绕过已有的安全程序。
通过忽略源路2.状态/动态检测防火墙状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。
它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
当包过滤防火墙见到一个网络包,包是孤立存在的。
它没有防火墙所关心的历史或未来。
允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。
包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。
为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。
例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。
如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。
因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。
只有未被请求的传入通信被截断。
如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。
例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。
如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。
状态/动态检测防火墙可提供的其他一些额外的服务有:将某些类型的连接重定向到审核服务中去。
例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发到SecutID服务器(用一次性口令来使用)。
拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。
跟踪连接状态的方式取决于包通过防火墙的类型:TCP包。
当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。
通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。
对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直到连接结束为止。
在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。
UDP包。
UDP包比TCP包简单,因为它们不包含任何连接或序列信息。
它们只包含源地址、目的地址、校验和携带的数据。
这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。
可是,如果防火墙跟踪包的状态,就可以确定。
对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。
和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。
对其他种类的包,情况和UDP包类似。
防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。
由信息,防火墙可以减少这种方式的攻击。
3.应用程序代理防火墙应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。
相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。
网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。
另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。
这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。
例如,一个用户的Web浏览器可能在80端口,但也经常可能是在1080端口,连接到了内部网络的HTTP代理防火墙。
防火墙然后会接受这个连接请求,并把它转到所请求的Web服务器。
这种连接和转移对该用户来说是透明的,因为它完全是由代理防火墙自动处理的。
代理防火墙通常支持的一些常见的应用程序有:HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTPIRC应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。
要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。
如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。
4.NAT讨论到防火墙的主题,就一定要提到有一种路由器,尽管从技术上讲它根本不是防火墙。
网络地址转换(NAT)协议将内部网络的多个IP 地址转换到一个公共地址发到Internet上。
NAT经常用于小型办公室、家庭等网络,多个用户分享单一的IP 地址,并为Internet连接提供一些安全机制。
当内部用户与一个公共主机通信时,NAT追踪是哪一个用户作的请求,修改传出的包,这样包就像是来自单一的公共IP地址,然后再打开连接。
一旦建立了连接,在内部计算机和Web站点之间来回流动的通信就都是透明的了。
当从公共网络传来一个未经请求的传入连接时,NAT有一套规则来决定如何处理它。
如果没有事先定义好的规则,NAT只是简单的丢弃所有未经请求的传入连接,就像包过滤防火墙所做的那样。
可是,就像对包过滤防火墙一样,你可以将NAT配置为接受某些特定端口传来的传入连接,并将它们送到一个特定的主机地址。
5.个人防火墙现在网络上流传着很多的个人防火墙软件,它是应用程序级的。
个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态/动态检测防火墙相同的方式,保护一台计算机免受攻击。
通常,这些防火墙是安装在计算机网络接口的较低级别上,使得它们可以监视传入传出网卡的所有网络通信。
一旦安装上个人防火墙,就可以把它设置成“学习模式”,这样的话,对遇到的每一种新的网络通信,个人防火墙都会提示用户一次,询问如何处理那种通信。
然后个人防火墙便记住响应方式,并应用于以后遇到的相同那种网络通信。
例如,如果用户已经安装了一台个人Web服务器,个人防火墙可能将第一个传入的Web连接作上标志,并询问用户是否允许它通过。
用户可能允许所有的Web连接、来自某些特定IP地址范围的连接等,个人防火墙然后把这条规则应用于所有传入的Web连接。
基本上,你可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口。
不再是计算机的操作系统直接通过网卡进行通信,而是以操作系统通过和个人防火墙对话,仔细检查网络通信,然后再通过网卡通信。
二、各类防火墙的优缺点1.包过滤防火墙使用包过滤防火墙的优点包括:防火墙对每条传入和传出网络的包实行低水平控制。
每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。
防火墙将基于这些信息应用过滤规则。
防火墙可以识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网络之间访问的唯一来源。
因为所有的通信必须通过防火墙,绕过是困难的。
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:配置困难。
因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。
然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
为特定服务开放的端口存在着危险,可能会被用于其他传输。
例如,Web服务器默认端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口而搜寻的。
就这样无意中,RealPlayer就利用了Web服务器的端口。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。
但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
2.状态/动态检测防火墙状态/动态检测防火墙的优点有:检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。
识别带有欺骗性源IP地址包的能力。
包过滤防火墙是两个网络之间访问的唯一来源。
因为所有的通信必须通过防火墙,绕过是困难的。
基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。
基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。
记录有关通过的每个包的详细信息的能力。