關(guān)于防火墻的安全應(yīng)用以及主要功能
關(guān)于防火墻的安全應(yīng)用以及主要功能
計(jì)算機(jī)防火墻防護(hù)技術(shù)的安全應(yīng)用以及主要功能想必大家都不清楚,所以今天學(xué)習(xí)啦小編要跟大家介紹下防火墻的安全應(yīng)用以及主要功能,下面就是學(xué)習(xí)啦小編為大家整理到的資料,請(qǐng)大家認(rèn)真看看!
防火墻的安全應(yīng)用
1 防火墻功能簡(jiǎn)介
防火墻技術(shù)是一種將軟硬件結(jié)合起來(lái),作用在各網(wǎng)絡(luò)界面之間的網(wǎng)絡(luò)屏障,它只允許已知的安全信息通過(guò)屏障,屏蔽不安全的信息和程序,利用自身的網(wǎng)關(guān)技術(shù)來(lái)確保合法用戶的權(quán)限,防止非法用戶入侵。防火墻的內(nèi)部存儲(chǔ)了許多數(shù)據(jù),防火墻能夠根據(jù)這些數(shù)據(jù)來(lái)確定哪些信息或程序安全,可以通過(guò),哪些信息或程序非法,不能通過(guò),防火墻只允許被一些默認(rèn)允許的程序訪問(wèn),避免黑客系統(tǒng)對(duì)防火墻的破壞。防火墻主要有一下幾大功能:
(1)系統(tǒng)管理員可以在防火墻內(nèi)部自定義一個(gè)空間,制定一套限定網(wǎng)絡(luò)的訪問(wèn)機(jī)制,將那些被防火墻漏掉的威脅程序通過(guò)自己的設(shè)定分離出去,這樣既增強(qiáng)了防火墻的安全性能,又能夠使計(jì)算機(jī)安全運(yùn)行。
(2)防火墻技術(shù)規(guī)范了網(wǎng)絡(luò)的訪問(wèn),管理員可以通過(guò)防火墻對(duì)員工的操作進(jìn)行一些限制,對(duì)防火墻中的信息進(jìn)行進(jìn)一步篩選,防止員工進(jìn)入一些危險(xiǎn)網(wǎng)站或安裝一些危險(xiǎn)程序等,更加智能化的管理員工的工作。
(3)防火墻技術(shù)可以實(shí)現(xiàn)共享內(nèi)存的作用,它可以利用NAT技術(shù),將本機(jī)上的IP地址與網(wǎng)絡(luò)中的IP地址對(duì)應(yīng)起來(lái),以緩解地址空間的短缺,解決地址空間不足的問(wèn)題。
(4)防火墻作為連接計(jì)算機(jī)內(nèi)部與外部的屏障,可以通過(guò)防火墻的過(guò)濾作用,記錄進(jìn)入防火墻的程序或信息,利用防火墻的這一特性,我們可以科學(xué)、有效的記錄計(jì)算機(jī)在訪問(wèn)網(wǎng)絡(luò)時(shí)所產(chǎn)生的費(fèi)用等。
2 防火墻的類型
2.1 代理型防火墻
代理型防火墻相當(dāng)于一種代理服務(wù)器,是一種安全系數(shù)較高的高級(jí)防護(hù)技術(shù),代理型防火墻介于用戶與用戶之間,相當(dāng)于信息的中轉(zhuǎn)站,可以對(duì)一些有危害的信息進(jìn)行有針對(duì)性的阻止。對(duì)于用戶來(lái)說(shuō),代理型服務(wù)器就是真正的服務(wù)器,而對(duì)于服務(wù)器來(lái)說(shuō),代理型服務(wù)器就是客戶機(jī),用戶與用戶之間要進(jìn)行網(wǎng)絡(luò)信息的交流、溝通時(shí),首先必須要經(jīng)過(guò)代理型服務(wù)器進(jìn)行中轉(zhuǎn),然后經(jīng)過(guò)代理型服務(wù)器過(guò)濾之后再傳輸?shù)秸嬲挠脩舻挠?jì)算機(jī)中,實(shí)現(xiàn)用戶與用戶之間的交流,當(dāng)發(fā)送的信息存在惡意或者是不良的攻擊性時(shí),防火墻就要對(duì)其進(jìn)行攔截、篩選,以保障計(jì)算機(jī)網(wǎng)絡(luò)的安全和用戶信息的安全,代理型防火墻具有很強(qiáng)的安全性能,能夠?qū)τ?jì)算機(jī)中的信息進(jìn)行有針對(duì)性的篩選,將不良、有害的信息直接過(guò)濾出去,保障網(wǎng)絡(luò)的安全運(yùn)行。
2.2 包過(guò)濾型防火墻
包過(guò)濾型防火墻技術(shù)相對(duì)古老,其關(guān)鍵點(diǎn)在于網(wǎng)絡(luò)的分包傳輸,應(yīng)用這種防火墻會(huì)以包作為單位來(lái)進(jìn)行網(wǎng)絡(luò)信息的傳輸,每個(gè)包所代表的含義不同,并且不同內(nèi)容的信息會(huì)被分配到不同的包里,可以根據(jù)信息的大小、性質(zhì)、來(lái)源、某種特殊的信息、目標(biāo)地址、目標(biāo)端口或者不同的源地址等對(duì)信息進(jìn)行劃分。包過(guò)濾型防火墻就是對(duì)對(duì)這些數(shù)據(jù)包中的信息進(jìn)行分析,判斷其是否合法、安全,被允許訪問(wèn)的數(shù)據(jù)包就會(huì)通過(guò)防火墻的檢測(cè),不被允許的就表示數(shù)據(jù)包存在安全隱患。包過(guò)濾型防火墻有很多的優(yōu)點(diǎn),如對(duì)環(huán)境的適應(yīng)能力較強(qiáng),簡(jiǎn)單方便、實(shí)用性強(qiáng)、成本較低且能夠在簡(jiǎn)單的環(huán)境中保證網(wǎng)絡(luò)信息的安全,但這種技術(shù)存在一個(gè)很重要的缺點(diǎn):它只能從端口、目標(biāo)或者數(shù)據(jù)包的來(lái)源來(lái)檢測(cè)信息的安全性,不能夠識(shí)別一些惡意的程序或信息,一些有經(jīng)驗(yàn)的網(wǎng)絡(luò)黑客將會(huì)很容易破解防火墻技術(shù),傳播病毒,導(dǎo)致用戶的計(jì)算機(jī)遭到破壞。
2.3 網(wǎng)址轉(zhuǎn)化型防火墻――NAT
網(wǎng)址轉(zhuǎn)化就是指網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換,轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的地址標(biāo)準(zhǔn),然后允許外部的私有IP對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn),并且該用戶只能用一個(gè)IP地址進(jìn)行訪問(wèn),外部的私有IP會(huì)先進(jìn)行轉(zhuǎn)換,與原有的進(jìn)行識(shí)別、判斷并確認(rèn),之后才能放行,系統(tǒng)將真正的IP轉(zhuǎn)換成虛擬IP,這樣起到隱藏真正IP的作用。通過(guò)網(wǎng)絡(luò)中預(yù)先設(shè)置的安全準(zhǔn)則判斷是否安全,符合則接受訪問(wèn),不符合則拒絕訪問(wèn)。網(wǎng)絡(luò)轉(zhuǎn)換的過(guò)程也很簡(jiǎn)單、易操作。
2.4 監(jiān)測(cè)型防火墻
原先的防火墻一般只是防范或阻止一些惡意侵犯計(jì)算機(jī)網(wǎng)絡(luò)的地址,不能夠?qū)?shù)據(jù)信息進(jìn)行實(shí)時(shí)的檢測(cè),而監(jiān)測(cè)型防火墻可以實(shí)現(xiàn)這一功能,能夠?qū)?shù)據(jù)信息進(jìn)行自動(dòng)實(shí)時(shí)的檢測(cè),有效的提高了計(jì)算機(jī)的安全性,但這種防火墻不易管理,且成本較高,所以這種防火墻應(yīng)用較少,但綜合安全和成本兩方面來(lái)看,監(jiān)測(cè)型防火墻還是可行的,能夠有效的保障計(jì)算機(jī)的安全。
3 防火墻技術(shù)在計(jì)算機(jī)中的應(yīng)用
3.1 配置防火墻訪問(wèn)策略
訪問(wèn)策略是防火墻的安全核心,因此,要有詳細(xì)的信息說(shuō)明或系統(tǒng)的統(tǒng)計(jì)才能執(zhí)行設(shè)置,并且要了解訪問(wèn)單位對(duì)內(nèi)部或外界的應(yīng)用、該單位的源地址、目標(biāo)地址、TCP/UDP的端口,然后根據(jù)執(zhí)行的頻繁程度對(duì)策略在表中的位置進(jìn)行實(shí)施和配置。這種規(guī)則是按照順序進(jìn)行執(zhí)行的,我們按照一般的規(guī)則直接放在首位能夠有效的提高防火墻的應(yīng)用,并且增強(qiáng)防火墻的工作效率。
3.2 網(wǎng)絡(luò)安全服務(wù)配置
網(wǎng)絡(luò)安全服務(wù)的隔離區(qū)是將系統(tǒng)劃分出一個(gè)獨(dú)立的局域網(wǎng)絡(luò),保障系統(tǒng)的管理和服務(wù)器上的數(shù)據(jù)信息的安全,從而使系統(tǒng)能夠正常的運(yùn)行。通過(guò)防火墻對(duì)網(wǎng)絡(luò)地址進(jìn)行相應(yīng)的轉(zhuǎn)換,將網(wǎng)絡(luò)地址設(shè)置成公用的,全部的主機(jī)地址設(shè)置成有效的網(wǎng)絡(luò)IP地址,這樣能夠?qū)崿F(xiàn)對(duì)外部的IP地址進(jìn)行屏蔽,有效的保護(hù)內(nèi)部的網(wǎng)絡(luò)IP地址,保證計(jì)算機(jī)的安全運(yùn)行。企業(yè)或單位在有邊界路由的情況下,可以利用原有的路由,再用包過(guò)濾型防火墻技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù),這在降低成本的同時(shí)有效的保護(hù)了網(wǎng)絡(luò)的安全。或者是將公用的服務(wù)器與邊界路由進(jìn)行連接,不需設(shè)置防火墻,在服務(wù)器和路由之間設(shè)置一個(gè)隔離區(qū),僅需將一些安全訪問(wèn)的數(shù)據(jù)信息或IP地址放在隔離區(qū)內(nèi),即可形成簡(jiǎn)單的保護(hù)和防范。
3.3 對(duì)日志進(jìn)行監(jiān)控
對(duì)日志進(jìn)行監(jiān)控是非常有效的管理手段,它能夠有效的保障網(wǎng)絡(luò)的安全運(yùn)行,系統(tǒng)的告警日志會(huì)實(shí)時(shí)的記錄用戶所進(jìn)行的每一步操作,而防火墻的信息數(shù)據(jù)量非常大,并且非常復(fù)雜,所以,系統(tǒng)的告警日志是非常重要的,通過(guò)查看告警日志記錄的關(guān)于防火墻的數(shù)據(jù)信息,并對(duì)其進(jìn)行篩選,將對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的信息記錄下來(lái)并做好日志,然后做好防范工作,以保證網(wǎng)絡(luò)安全、有效的運(yùn)行。
4 總結(jié)
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,人們?cè)絹?lái)越依賴于網(wǎng)絡(luò),網(wǎng)絡(luò)安全問(wèn)題是不可避免的,因此,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也要隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷的改革、創(chuàng)新,為了保障網(wǎng)絡(luò)的安全運(yùn)行,防火墻技術(shù)的重要性是不言而喻的,所以,我們?cè)诮M建網(wǎng)絡(luò)時(shí)必須要選擇合適的防火墻,抵御有害信息入侵計(jì)算機(jī)系統(tǒng),但僅僅靠防火墻技術(shù)是不夠的,要從科學(xué)、全面的方面入手,才能真正解決計(jì)算機(jī)的網(wǎng)絡(luò)安全問(wèn)題。
防火墻的主要功能以及技術(shù)原理
一、防火墻的主要功能
通常防火墻的主要功能有:過(guò)濾掉不安全的服務(wù)和非法用戶;控制和限制對(duì)特殊站點(diǎn)的訪問(wèn);限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò);防止入侵者接近你的防御設(shè)施;提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn);防火墻的設(shè)計(jì)應(yīng)遵循安全防范策略的基本原則――“除非明確允許,否則就禁止”;如果組織機(jī)構(gòu)的安全策略發(fā)生改變,可以加入新的服務(wù);有先進(jìn)的認(rèn)證手段或有掛鉤程序,可以安裝先進(jìn)的認(rèn)證方法;可以使用FTP和Telnet等服務(wù)代理,編程的IP過(guò)濾語(yǔ)言,并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾。
許多用戶在選擇防火墻時(shí)還可能考慮一些特殊功能要求。這些功能主要有:
1. 網(wǎng)絡(luò)地址轉(zhuǎn)移功能( NAT)。2.雙重DNS(域名服務(wù))。3.虛擬專用網(wǎng)絡(luò)()。4.掃毒功能。5.特殊控制需求。
二、 防火墻的原理以及實(shí)現(xiàn)方法
防火墻負(fù)責(zé)管理危險(xiǎn)區(qū)域和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。在沒有防火墻時(shí),內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給危險(xiǎn)區(qū)域上的其它主機(jī),極易受到攻擊。由此可見,對(duì)于連接到因特網(wǎng)的內(nèi)部網(wǎng)絡(luò),一定要選用適當(dāng)?shù)姆阑饓Α>头阑饓Φ脑韥?lái)講可以把它簡(jiǎn)單地抽象為一對(duì)開關(guān),其中一個(gè)開關(guān)用于允許傳輸,另一個(gè)用于阻止傳輸。實(shí)際上防火墻代表了用戶的網(wǎng)絡(luò)安全策略,其實(shí)現(xiàn)方式比較靈活。
1.在邊界路由器上實(shí)現(xiàn)。(1)通過(guò)標(biāo)準(zhǔn)的路由器來(lái)實(shí)現(xiàn)(由于該用途的路由器稱為Screening Router,即篩選路由器、屏蔽路由器),常用的如Cisco路由器很容易設(shè)置成一個(gè)防火墻。(2)通過(guò)PC機(jī)的路由器來(lái)實(shí)現(xiàn),但要使用軟件包。
2.在一臺(tái)雙端口主機(jī)(Dual - homed Host)上實(shí)現(xiàn)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都可以訪問(wèn)這臺(tái)主機(jī),但外部主機(jī)與內(nèi)部主機(jī)不能直接進(jìn)行通信,可以實(shí)施三種類型的防火墻:(1)應(yīng)用層網(wǎng)關(guān)防火墻(Ap-plication Gateway Firewall) (2)代理服務(wù)型防火墻(Proxy Server Firewall) (3)線(電)路層/級(jí)網(wǎng)關(guān)型防火墻(Circuit Gateway Fire-wall)。
3.在子網(wǎng)上實(shí)現(xiàn)。在一個(gè)公共子網(wǎng)(該子網(wǎng)的作用相當(dāng)于一臺(tái)雙端口主機(jī))上實(shí)現(xiàn),可建立含有單段網(wǎng)絡(luò)、?;饏^(qū)結(jié)構(gòu)的防火墻。盡管防火墻有許多防范功能,但由于互連網(wǎng)的開放性,它也有一些力不能及的地方,表現(xiàn)在:①防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從客觀存在保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào),一些用戶可以形成與Internet的直接的SLIP或PPP連接。從而繞過(guò)防火墻,造成一個(gè)潛在的后門攻擊渠道。②目前很難對(duì)防火墻進(jìn)行徹底的測(cè)試驗(yàn)證,面對(duì)大多數(shù)的惡意攻擊,防火墻會(huì)有所防范,但是不是在任何情況下都有效是未知的,這就涉及到了一個(gè)軟件及時(shí)更新的問(wèn)題。