學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>防火墻知識(shí)>

邊界防火墻有什么作用

時(shí)間: 林輝766 分享

  我們經(jīng)常所說的邊界防火墻,都有些什么作用呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的邊界防火墻作用介紹!希望對(duì)你有幫助!

  邊界防火墻作用介紹一

  邊界防火墻是最為傳統(tǒng)的那種,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對(duì)內(nèi)

  外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的,價(jià)格較貴,性能較好。

  邊界防火墻作用介紹二

  它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

  在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng), 保證了內(nèi)部網(wǎng)絡(luò)的安全。

  2.使用Firewall的益處

  保護(hù)脆弱的服務(wù)

  通過過濾不安全的服務(wù),F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如, Firewall可以禁止NIS、NFS服務(wù)通過,F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包。

  控制對(duì)系統(tǒng)的訪問

  Firewall可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī),同時(shí)禁止訪問另外的主機(jī)。例如, Firewall允許外部訪問特定的Mail Server和Web Server。

  集中的安全管理

  Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理,在Firewall定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng), 而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法, 而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

  增強(qiáng)的保密性

  使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Figer和DNS。

  記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)

  Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù),并且,F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù), 來(lái)判斷可能的攻擊和探測(cè)。

  策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí),網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

  3.防火墻的種類

  防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。

  數(shù) 據(jù) 包 過 濾

  數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用, 網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備, 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

  數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二:一是非法訪問一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。

  應(yīng) 用 級(jí) 網(wǎng) 關(guān)

  應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

  數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn),就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系, 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實(shí)施非法訪問和攻擊。

  代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù), 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 鏈接, 由兩個(gè)終止代理服務(wù)器上的 鏈接來(lái)實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器, 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。

  邊界防火墻作用介紹三

  防火墻在網(wǎng)絡(luò)中經(jīng)常是以下圖所示的兩種圖標(biāo)出現(xiàn)的。左邊那個(gè)圖標(biāo)非常形象,真正像一堵墻一樣。而右邊那個(gè)圖標(biāo)則是從防火墻的過濾機(jī)制來(lái)形象化的,在圖標(biāo)中有一個(gè)二極管圖標(biāo)。而二極管我們知道,它具有單向?qū)щ娦?,這樣也就形象地說明了防火墻具有單向?qū)ㄐ?。這看起來(lái)與現(xiàn)在防火墻過濾機(jī)制有些矛盾,不過它卻完全體現(xiàn)了防火墻初期的設(shè)計(jì)思想,同時(shí)也在相當(dāng)大程度上體現(xiàn)了當(dāng)前防火墻的過濾機(jī)制。因?yàn)榉阑鹱畛醯脑O(shè)計(jì)思想是對(duì)內(nèi)部網(wǎng)絡(luò)總是信任的,而對(duì)外部網(wǎng)絡(luò)卻總是不信任的,所以最初的防火墻是只對(duì)外部進(jìn)來(lái)的通信進(jìn)行過濾,而對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的通信不作限制。當(dāng)然目前的防火墻在過濾機(jī)制上有所改變,不僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信連接要進(jìn)行過濾,對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的部分連接請(qǐng)求和數(shù)據(jù)包同樣需要過濾,但防火墻仍只對(duì)符合安全策略的通信通過,也可以說具有“單向?qū)?rdquo;性。

  防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候,為防止火災(zāi)的發(fā)生和蔓延,人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障,這種防護(hù)構(gòu)筑物就被稱之為“防火墻”。其實(shí)與防火墻一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進(jìn)去呢?當(dāng)火災(zāi)發(fā)生時(shí),這些人又如何逃離現(xiàn)場(chǎng)呢?這個(gè)門就相當(dāng)于我們這里所講的防火墻的“安全策略”,所以在此我們所說的防火墻實(shí)際并不是一堵實(shí)心墻,而是帶有一些小孔的墻。這些小孔就是用來(lái)留給那些允許進(jìn)行的通信,在這些小孔中安裝了過濾機(jī)制,也就是上面所介紹的“單向?qū)ㄐ?rdquo;。

  防火墻的功能一般有五個(gè)功能。

  《一》防火墻是網(wǎng)絡(luò)安全的屏障:

  一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

  《二》防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:

  通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。

  《三》對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):

  如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

  《四》防止內(nèi)部信息的外泄:

  通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名,最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度,這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng),這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

  《五》除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系(虛擬專用網(wǎng))。

看了“ 邊界防火墻有什么作用”文章的還看了:

1.防火墻有什么作用

2.電腦防火墻有什么作用

3.intermet防火墻有哪些作用

4.360防火墻有什么作用

5.nat防火墻作用是什么

6.cisco防火墻作用有哪些

7.h3c防火墻主要作用介是什么

8.linux防火墻有什么作用

邊界防火墻有什么作用

我們經(jīng)常所說的邊界防火墻,都有些什么作用呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的邊界防火墻作用介紹!希望對(duì)你有幫助! 邊界防火墻作用介紹一 邊界防火墻是最為傳統(tǒng)的那種,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對(duì)內(nèi) 外部網(wǎng)絡(luò)實(shí)施隔離,
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 邊界防火墻怎么樣
    邊界防火墻怎么樣

    我們常說的邊界防火墻是怎么樣的呢?你有去了解過嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的邊界防火墻介紹!希望對(duì)你有幫助! 邊界防火墻簡(jiǎn)介一 防止網(wǎng)絡(luò)入侵

  • 筆記本防火墻如何去打開
    筆記本防火墻如何去打開

    筆記本防火墻開機(jī)后就突然關(guān)閉了!那么我們要怎么樣去打開呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的筆記本防火墻打開方法介紹!希望對(duì)你有幫助! 筆記本防火

  • 筆記本防火墻位置在哪
    筆記本防火墻位置在哪

    我的筆記本想要設(shè)置下防火墻!但是不知道防火墻位置在哪!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的筆記本防火墻位置介紹!希望對(duì)你有幫助! 筆記本防火墻位置介

  • 筆記本如何關(guān)閉防火墻
    筆記本如何關(guān)閉防火墻

    我的筆記本不想使用防火墻了!老是阻止我的一些軟件!要怎么樣去關(guān)閉呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的筆記本關(guān)閉防火墻方法介紹!希望對(duì)你有幫助! 筆

922743