通信网--防火墙
防火墙
科技名词定义中文名称:防火墙英文名称:fire protection wall;fire stopping;firewall定义1:变电站内,在两台充油设备间所建立的防止火焰从一台设备蔓延至另一台设备的隔墙。
应用学科:电力(一级学科);变电(二级学科)定义2:为封闭火区而砌筑的隔墙。
应用学科:煤炭科技(一级学科);煤矿安全(二级学科);矿山灾害(三级学科)定义3:一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。
应用学科:通信科技(一级学科);网络安全(二级学科)以上内容由全国科学技术名词审定委员会审定公布求助编辑百科名片防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
也有以防火墙为名的电影。
目录定义作用类型网络层防火墙应用层防火墙基本特性代理服务优点功能网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄VPN历史架构通用CPU架构ASIC架构网络处理器架构三种配置工作原理注意事项防火墙世界排名电影《防火墙》职员表基本信息剧情简介演员阵容幕后制作演员资料建筑防火墙在线观看定义作用类型网络层防火墙应用层防火墙基本特性代理服务优点功能网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄VPN历史架构通用CPU架构ASIC架构网络处理器架构三种配置发展史工作原理注意事项防火墙世界排名电影《防火墙》职员表基本信息剧情简介演员阵容幕后制作演员资料建筑防火墙展开编辑本段定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Interne防火墙t与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
名词解释防火墙
名词解释防火墙防火墙(Firewall),又称为防火墙设备、防火墙系统,是一种位于网络与网络之间的安全设备,通过设置各种安全规则和策略来监控和过滤网络流量,保护内部网络资源不受外部网络的攻击和侵入。
防火墙的作用是在网络中建立一道屏障,阻止未经授权的访问和数据传输,同时也可以控制特定类型的流量进出网络。
它能够识别并拦截恶意的网络攻击和非法的网络访问,并保护网络中的计算机和数据免受损害。
防火墙具有以下几个主要功能:1.包过滤(Packet filtering):根据预设的规则和策略,防火墙对通过的网络数据包进行筛选和处理,根据源IP地址、目标IP地址、协议类型、端口号等信息进行过滤和控制。
2.NAT(Network Address Translation):防火墙还可以实现网络地址转换,将内部网络的私有IP地址映射为公共IP地址,以增强网络的安全性和隐私性。
3.代理服务(Proxy Service):防火墙可以提供代理服务,将内部网络的请求转发给外部服务器,并将响应返回给内部网络,以隐藏内部网络的真实信息。
4.VPN(Virtual Private Network):支持虚拟专用网络连接,通过加密技术实现安全的远程访问和通信,保护用户的隐私和数据安全。
5.网络日志(Logging):防火墙可以记录和存储网络流量、安全事件和用户行为等信息,供审计和调查使用,以便及时发现和应对网络安全威胁。
防火墙通常分为软件防火墙和硬件防火墙两种类型。
软件防火墙是一种在计算机操作系统上运行的软件程序,可以通过过滤网络数据包来实现网络安全保护。
硬件防火墙则是一种独立的硬件设备,通常由专门的硬件设备厂商生产和提供。
硬件防火墙通常具有更高的性能和功能,适合用于中大型企业和组织的网络环境。
总之,防火墙是保护网络安全的关键设备之一,它可以根据事先制定的安全策略和规则来监控和控制网络流量,以保护内部网络不受未经授权的访问、攻击和侵入。
计算机网络安全--第九章 防火墙技术
基于网络体系结构的防火墙实现原理
08:02:44
防火墙与OSI 防火墙与OSI
基本防火墙
Network Transport
高级防火墙
DataLink Session Application
防火墙的原理 按照网络的分层体系结构, 按照网络的分层体系结构,在不同的分层结构 实现的防火墙不同,通常有如下几种。 上实现的防火墙不同,通常有如下几种。 1)基于网络层实现的防火墙,通常称为包过滤 )基于网络层实现的防火墙, 防火墙。 防火墙。 2)基于传输层实现的防火墙,通常称为传输级 )基于传输层实现的防火墙, 网关。 网关。 层次越高, 层次越高 3)基于应用层实现的防火墙,通常称为应用级 )基于应用层实现的防火墙, ,能检测的 资源越多,越安全, 资源越多,越安全, 网关。 网关。 但执行效率变差 4)整合上述所有技术,形成混合型防火墙,根 )整合上述所有技术,形成混合型防火墙, 据安全性能进行弹性管理。 据安全性能进行弹性管理。
08:02:44
防火墙的概念 因此按照企业内部的安全体系结构, 因此按照企业内部的安全体系结构, 防火墙应当满足如下要求。 防火墙应当满足如下要求。 1)保证对主机和应用的安全访问。 )保证对主机和应用的安全访问。 访问 2)保证多种客户机和服务器的安全性。 )保证多种客户机和服务器的安全性 安全 3)保护关键部门不受到来自内部和外 ) 部的攻击,为通过Internet与远程访问 部的攻击,为通过 与远程访问 的雇员、客户、供应商提供安全通道。 的雇员、客户、供应商提供安全通道。
08:02:44
防火墙的概念 因此, 因此,防火墙是在两个网络之间执 行控制策略的系统(包括硬件和软件), 行控制策略的系统(包括硬件和软件), 目的是保护网络不被可疑目标入侵。 目的是保护网络不被可疑目标入侵。
网络信息安全--防火墙
近年来,随着普通计算机用户群的日益增长, “防火墙”一词已经不再是服务器领域的专署, 大部分家庭用户都知道为自己爱机安装各种 “防火墙”软件了。但是,并不是所有用户都 对“防火墙”有所了解的,一部分用户甚至认 为,“防火墙”是一种软件的名称
防火墙
到底什么才是防火墙?它工作在什么位置,起 着什么作用?查阅历史书籍可知,古代构筑和 使用木制结构房屋的时候为防止火灾的发生和 蔓延,人们将坚固的石块堆砌在房屋周围作为 屏障,这种防护构筑物就被称为“防火墙” (FireWall)
防火墙技术
应用代理:一个完整的代理设备包含一个服务端 和客户端,服务端接收来自用户的请求,调用自 身的客户端模拟一个基于用户请求的连接到目标 服务器,再把目标服务器返回的数据转发给用户, 完成一次代理工作过程。那么,如果在一台代理 设备的服务端和客户端之间连接一个过滤措施呢? 这样的思想便造就了“应用代理”防火墙,这种 防火墙实际上就是一台小型的带有数据检测过滤 功能的透明代理服务器,但是它并不是单纯的在 一个代理设备中嵌入包过滤技术,而是一种被称 为“应用协议分析”(Application Protocol Analysis)的新技术
1.DMZ口 这个是非武装区,用于服务器 内 外网都可以访 问,但还是与内网隔离,就算是黑客把DMZ服务 器拿下,也不能使用服务器来控制内网的网络.起 到安全的策略 外部能访问DMZ 内部能访问DMZ 2.trust口 可信任的接口.是局域网的接口.此接口外网和 DMZ无法访问.外部不能访问trust口,DMZ不能 访问trust口 3.untrust口 不信任的接口,是用来接internet的,这个接口的信 息内网不接受,可以通过untrust口访问DMZ,但 不能访问trust口
防火墙的定义和作用
防火墙的定义和作用随着互联网的普及,网络安全问题也日益受到人们的关注。
防火墙作为一种网络安全设施,能够对网络进行保护,是网络安全的基础。
防火墙是什么?防火墙是一种用于保护计算机网络安全的设施,它能够监视网络通信流量,并根据特定的规则对流量进行筛选和控制。
防火墙通常位于网络边界,也就是连接内部网络和外部网络的地方。
它可以控制内部网络与外部网络之间的通信,可以防止非法外部网络攻击内部网络,同时也可以限制内部网络对外部网络的访问,防止内部网络泄漏信息。
防火墙的作用防火墙的主要作用是保护计算机网络安全,具体表现如下:1.防止网络攻击:包括黑客攻击、病毒传播、网络钓鱼等,防火墙能够监视网络通信流量,并根据特定的规则对流量进行筛选和控制,能够有效防止非法攻击。
2.限制网络访问:防火墙可以进行流量管理和访问控制,对内部网络与外部网络之间的通信进行限制和控制,能够防止内部网络泄漏信息。
3.数据过滤:防火墙可以过滤网络通信流量,根据特定的规则,对网络数据进行筛选,过滤掉不必要的流量,提高网络通信效率。
4.日志记录:防火墙能够记录网络通信流量的信息,包括数据的源地址、目标地址、通信端口等信息,能够帮助管理员检测网络异常和攻击。
防火墙的分类根据防火墙的实现方式和功能特点,可以将防火墙分为以下几类:1.软件防火墙:是运行在计算机系统中的一种软件程序,主要用于限制计算机系统和网络应用程序的网络通信。
软件防火墙可以在计算机操作系统的内核层和用户层之间进行数据过滤,是一种灵活、可定制的防火墙。
2.硬件防火墙:是一种独立的硬件设备,通常是以防火墙为主要功能的路由器。
由于其采用专用的硬件实现,硬件防火墙具有高速、可靠的特点,适合用于企业级网络安全。
3.云防火墙:是指基于云端服务的一种防火墙,主要通过云服务器进行数据过滤和访问控制。
结语防火墙作为网络安全的基础,它能够保护计算机网络,避免网络威胁,保护业务系统运行稳定。
随着网络攻击技术的不断提升,防火墙在保护网络安全方面也需要不断进化和改进。
通信网络的常见故障处理(正式)
通信网络的常见故障处理(正式)通信网络的常见故障处理1. 引言通信网络是现代社会中不可或缺的一部分,然而,由于网络设备、软件配置或运维人员的失误等原因,网络故障是不可避免的。
本文将介绍一些通信网络常见故障的处理方法,帮助网络运维人员更好地解决问题。
2. 常见故障及处理方法2.1 网络连接故障网络连接故障是通信网络中最常见的问题之一。
以下是一些常见的网络连接故障及处理方法:- 物理连接问题:检查网络设备之间的物理连接是否正常,例如网线是否插紧、网卡是否有问题等。
物理连接问题:检查网络设备之间的物理连接是否正常,例如网线是否插紧、网卡是否有问题等。
- IP地址冲突:检查网络设备的IP地址是否冲突,如果有冲突,修改重复的IP地址,确保每个设备具有唯一的IP地址。
IP地址冲突:检查网络设备的IP地址是否冲突,如果有冲突,修改重复的IP地址,确保每个设备具有唯一的IP地址。
- 网络设备设置问题:检查网络设备的配置是否正确,例如网关地址、子网掩码、DNS服务器等设置是否正确。
网络设备设置问题:检查网络设备的配置是否正确,例如网关地址、子网掩码、DNS服务器等设置是否正确。
- 网络防火墙问题:检查网络设备的防火墙设置,确保允许所需的通信流量通过。
网络防火墙问题:检查网络设备的防火墙设置,确保允许所需的通信流量通过。
2.2 网络速度慢网络速度慢是用户常常抱怨的问题之一。
以下是一些常见的网络速度慢的原因及处理方法:- 带宽限制:检查网络带宽是否受限,在高带宽需求的情况下,考虑升级网络带宽以提高速度。
带宽限制:检查网络带宽是否受限,在高带宽需求的情况下,考虑升级网络带宽以提高速度。
- 网络拥塞:排查是否有大量网络流量集中在某一点,尝试通过优化网络拓扑或升级网络设备来解决拥塞问题。
网络拥塞:排查是否有大量网络流量集中在某一点,尝试通过优化网络拓扑或升级网络设备来解决拥塞问题。
- 恶意软件感染:扫描网络设备和计算机是否感染了恶意软件,进行杀毒和清除操作。
防火墙的工作原理
防火墙的工作原理防火墙的工作原理是通过对网络通信进行监控和过滤,以保障网络安全。
它起着防护网络免受未经授权的访问和恶意攻击的作用。
防火墙通常是网络安全架构中的重要组成部分,被广泛应用于企业、组织和个人的网络环境中。
一、工作原理概述防火墙基于各种规则和策略,通过对进出网络的数据流量进行检查和过滤,控制网络通信的访问权限。
其工作原理主要包括以下几个方面:1.包过滤(Packet Filtering):防火墙监测和分析通过网络传输的数据包,根据特定规则对数据包进行过滤和处理。
这些规则可由管理员配置,通常基于源IP地址、目标IP地址、端口号、协议类型等属性进行判断。
如果数据包符合规则,防火墙会根据配置的策略决定是否允许通过;否则,拒绝或丢弃该数据包。
2.状态检测(Stateful Inspection):防火墙还可以通过对数据包建立和维护状态表来判断数据包是否合法。
状态表记录了已经建立的网络连接的相关信息,包括源IP地址、目标IP地址、协议类型、端口号、连接状态等。
当一个数据包到达时,防火墙会先查询状态表,判断该数据包是否属于一个已经建立的合法网络连接。
如果是,防火墙会允许数据包通过;否则,防火墙会对数据包进行进一步处理。
3.应用层代理(Application Level Proxy):防火墙还可以作为应用层代理(Proxy)来工作,即充当客户端和服务器之间的中间人,对应用层数据进行检查和过滤。
当客户端与服务器之间建立连接时,防火墙会拦截连接请求,并对双方进行身份验证。
只有在身份验证通过后,防火墙才会建立实际的连接,并对数据进行检查和处理。
这种方式可以提供更高层次的访问控制和审核能力,但会影响网络通信的性能。
4.网络地址转换(Network Address Translation,NAT):防火墙还可以实现网络地址转换,将内部网络中的私有IP地址转换为外部网络的公共IP地址,以隐藏内部网络的真实拓扑结构。
防火墙
基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址
Host C Host D 1010010101
规则编号 1 2 3 4 5 6 7 8 源地址 源端口 Any Any Any Any Any Any Any Any 目的地址 Any 目标端口 Any Any Any 53 25 110 80 Any 动作 拒绝 拒绝 允许 允许 允许 允许 允许 拒绝
192.168.1.1
Any
192.168.1.1
防火墙体系结构
包过滤型防火墙 双宿网关防火墙 屏蔽主机防火墙
屏蔽子网防火墙
包过滤型防火墙
用一台过滤路由器来实现对所接收的每个数据包做 允许拒绝的决定 过滤规则基于IP包头信息
包头信息中包括IP源地址、IP目标端地址、内装协议 (TCP,UDP,ICMP或IP Tunnel)、TCP/UDP目标端口、 ICMP消息类型以及TCP包头中的ACK位 包的进入接口和出接口如果有匹配,并且规则允许该数 据包通过,该数据包会按照路由表转发 如果匹配规则拒绝,则该数据包就会被丢弃 如果没有匹配规则,用户配置的缺省参数会决定是转发 还是丢弃数据包
访问控制功能 身份认证功能 审计功能 带宽管理 IP与MAC(用户)绑定 端口映射 NAT
访问控制功能
基于源IP地址
基于目的IP地址 基于源端口
Access list 192.168.1.3 to 202.2.33.2
Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass 规则匹配成功
防火墙
防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网?与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
1.防火墙技术发展概述传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。
随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。
防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。
对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
二. 防火墙的分类世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。
根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。
软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
硬件防火墙:把软件防火墙嵌入在硬件中,一般的软件安全厂商所提供的硬件防火墙便是在硬件服务器厂商定制硬件,然后再把linux系统与自己的软件系统嵌入。
通信网络的安全保护措施
通信网络的安全保护措施随着社会的进步与发展,通信网络在我们的生活中扮演着越来越重要的角色。
然而,与此同时,网络安全问题也日益严重。
黑客入侵、数据泄露、网络病毒等威胁正威胁着我们的个人和机密信息。
为了保障通信网络的安全,我们需要采取一系列的安全措施。
本文将详细阐述通信网络的安全保护措施,包括网络防火墙、加密技术、用户身份验证、网络监控和员工教育培训。
首先,网络防火墙是保护通信网络的第一道防线。
网络防火墙能够监控并控制网络流量,防止恶意软件和未经授权的访问。
防火墙可以分为软件防火墙和硬件防火墙。
软件防火墙是一种安装在计算机上,用来监控和控制网络流量的软件程序。
硬件防火墙则是一种独立设备,用来监控和控制网络流量。
通过设置合理的防火墙规则,可以有效地防止黑客攻击和网络入侵。
其次,加密技术是保护通信网络安全的关键。
加密技术使用数学算法将数据转化为密文,以实现数据的保密性和完整性。
加密技术可以分为对称加密和非对称加密。
对称加密使用相同的密钥进行加密和解密,速度快但安全性较低;而非对称加密使用公钥和私钥进行加密和解密,安全性更高但速度较慢。
加密技术在保护敏感信息的传输和储存过程中起到了至关重要的作用。
第三,用户身份验证是防止未经授权访问的一个重要手段。
在通信网络中,用户身份验证是确认用户身份的过程。
常用的身份验证方法包括用户名和密码、指纹识别、双重验证等。
通过使用强密码和使用多重身份验证技术,可以有效减少黑客入侵的风险。
此外,网络监控是确保通信网络安全的另一个重要方面。
网络监控可以实时检测和预防网络攻击,并对异常活动进行及时响应。
常见的网络监控技术包括入侵检测系统(IDS)和入侵防御系统(IPS)。
IDS用于检测恶意活动,如黑客攻击和病毒传播;而IPS则不仅可以检测恶意活动,还能主动阻断攻击。
最后,员工教育培训是保护通信网络安全的最后一道防线。
员工教育培训应包括对网络安全的基本知识和操作技能的培训。
员工需要了解网络安全的重要性,学习如何识别和应对常见的网络威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通信网论文--防火墙技术
摘要
本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。
防火墙是一种访问控制技术,它通过在某个机构的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。
说明了网络常见攻击方式以及防火墙应对策略。
分析了防火墙技术在Internet安全上的重要作用,并提出其不足之处和解决方案。
最后展望了防火墙的反战前景以及技术方向。
关键字:防火墙网络网络安全功能Internet;
一防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
二防火墙的分类
防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。
常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet 从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。
安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。
三防火墙的原理
作为近年来新兴的保护计算机网络安全技术性措施,防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输出。
防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地控制,因此,防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。
作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。
通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。
企业信息系统对于来自Internet的访问,采取有选择的接收方式。
它可以允许
或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。
如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。
如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。
这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。
FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
四防火墙的主要技术
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
(一).网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。
一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP 包来自何方,去向何处。
防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。
其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
(二).应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。
应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。
在实际工作中,应用网关一般由专用工作站系统来完成。
但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。
在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
(三).电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。
代理服务器是设置在Internet防火墙网关的专用应用级代码。
这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。
同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。
代理服务技术主要通过专用计算机硬件(如工作站)来承担。
(四).规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。
它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。
它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。
当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。
规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
五防火墙的发展前景及技术方向
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。
但是,从产品及功能上,却又
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求
4)单向防火墙(又叫做网络二极管)
5)
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。
不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。
网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。
不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。
甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。
这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。
参考文献
[1] 作者:彭涛. 《计算机网络教程》机械工业出版社,
[2] 作者:IBON.Marshield 《网络安全技术白皮书》艾邦公司资料,
[3] 作者:楚狂等《网络安全与Firewall技术》人民邮电出版社
[4] 作者:聂元铭丘平《网络信息安全技术》科学出版社
[5] 作者:满昌勇《计算机网络基础》,清华大学出版社,2010(02)。