防火墻的主要功能是什么
防火墻一般放在服務(wù)器上,這樣他既在服務(wù)器與服務(wù)器之間 又在服務(wù)器與工作站之間; 如果連外網(wǎng)他更在外網(wǎng)與內(nèi)網(wǎng)之間,防火墻的主要功能是什么你知道嗎?一起來(lái)看看防火墻的主要功能是什么,歡迎查閱!
什么是防火墻
防火墻是一個(gè)由計(jì)算機(jī)硬件和軟件組成的系統(tǒng),部署于網(wǎng)絡(luò)邊界,是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之前的連接橋梁,同時(shí)對(duì)進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)進(jìn)行保護(hù),防止惡意入侵、惡意代碼的傳播等,保障內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全。
簡(jiǎn)單的來(lái)說(shuō),防火墻就是一種,避免你的電腦被黑客入侵的一種防護(hù)工具,一種確保網(wǎng)絡(luò)安全的方法!
它可以使內(nèi)部網(wǎng)絡(luò)與Internet或者其它外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)之間的互相訪問(wèn),來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全!防火墻可以只用路由器實(shí)現(xiàn),也可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡(jiǎn)化網(wǎng)絡(luò)的安全管理。
防火墻的工作原理
防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量,從而完成看似不可能的任務(wù),僅讓安全、核準(zhǔn)了的信息進(jìn)入,同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù),
說(shuō)白了,它就像一個(gè)守城隊(duì),這個(gè)城處于緊張狀態(tài),只能讓外界的良民進(jìn)城,對(duì)城里的壞人進(jìn)行盤點(diǎn),不放走一個(gè)壞人。
隨著安全性問(wèn)題上的失誤和缺陷越來(lái)越普遍,對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段,也有可能來(lái)自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。
入城盤點(diǎn):入侵者想要進(jìn)入一座城,它有多種方式,打扮成各種方式入城,例如,假口令、假令牌,偽裝等。所以守城隊(duì)是防上這種可疑的人員入城的,另外對(duì)于城內(nèi)百姓,也是禁止百姓靠近城內(nèi)的主要防御設(shè)施。
出城監(jiān)視:同時(shí)為了更好保護(hù)城內(nèi)百姓,守城隊(duì)當(dāng)然還需要打探城外的動(dòng)向,了解到那些地方安全,那些地方有危險(xiǎn),然后規(guī)定普通百姓想要出城,有一些地方能去,有些地方有危險(xiǎn)不能去。
因此,防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò),迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。一般的防火墻都可以達(dá)到以下目的:
一是:可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過(guò)濾掉不安全服務(wù)和非法用戶;
二是:防止入侵者接近你的防御設(shè)施;
三是:限定用戶訪問(wèn)特殊站點(diǎn)。
四是:為監(jiān)視Internet安全提供方便。
防火墻的架構(gòu)與工作方式
防火墻可以使用戶的網(wǎng)絡(luò)劃規(guī)劃更加清晰明了,全面防止跨越權(quán)限的數(shù)據(jù)訪問(wèn),如果沒(méi)有防火墻的話,你可能會(huì)接到許許多多類似的報(bào)告,比如單位內(nèi)部的財(cái)政報(bào)告剛剛被數(shù)萬(wàn)個(gè)Email郵件炸爛。
一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。
1、屏蔽路由器:
是一個(gè)多端口的IP路由器,它通過(guò)對(duì)每一個(gè)到來(lái)的IP包依據(jù)組規(guī)則進(jìn)行檢查來(lái)判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號(hào)、收發(fā)報(bào)文的IP地址和端口號(hào)、連接標(biāo)志以至另外一些IP選項(xiàng),對(duì)IP包進(jìn)行過(guò)濾。
這里面舉個(gè)例子:
一堆人來(lái)到一個(gè)快要開(kāi)盤樓盤售樓部買房,售樓小姐先需要對(duì)你們進(jìn)行大概的登記和了解,你是否有正規(guī)工作,是否是本市戶口,是否能正常貸款,首付多少、、、,當(dāng)進(jìn)行這一系列的問(wèn)題后,售樓小姐會(huì)對(duì)來(lái)買房的人員進(jìn)行一個(gè)過(guò)濾。
2、代理服務(wù)器:
是防火墻中的一個(gè)服務(wù)器進(jìn)程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān),網(wǎng)關(guān)我們前天講到過(guò),它就是一個(gè)關(guān)口。
一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項(xiàng)TCP/TP應(yīng)用,比如Telnet或者FTP,同代理服務(wù)器打交道,代理服務(wù)器要求用戶提供其要訪問(wèn)的遠(yuǎn)程主機(jī)名。
當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后,代理服務(wù)器連通遠(yuǎn)程主機(jī),為兩個(gè)通信點(diǎn)充當(dāng)中繼。整個(gè)過(guò)程可以對(duì)用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級(jí)的認(rèn)證。
還來(lái)講買房:
當(dāng)你已經(jīng)符合買房的條件了,你要買到房,關(guān)鍵的環(huán)節(jié)就是貸款,這時(shí)售樓顧問(wèn)就是網(wǎng)關(guān),你提供完整的貸款資料(工資證明,收入明細(xì)等)給售樓顧問(wèn),售樓顧問(wèn)會(huì)審核下,各條件都符合了,沒(méi)有問(wèn)題的話,他就提交給銀行,貸款批下來(lái)了,房子就可以順利的買到了。
防火墻的功能
局域網(wǎng)內(nèi)部,不連接互聯(lián)網(wǎng)外網(wǎng)的一般是不需要防火墻,監(jiān)控單獨(dú)一個(gè)網(wǎng)絡(luò)的時(shí)候才需要,一般都接在局域網(wǎng)內(nèi),通過(guò)路由器處的防火墻,而大型網(wǎng)絡(luò)連接外網(wǎng)的,是需要防火墻的。
一、為什么使用防火墻
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
二、防火墻的五大基礎(chǔ)的作用:
1.過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)
2.管理進(jìn)出訪問(wèn)網(wǎng)絡(luò)的行為
3.封堵某些禁止業(yè)務(wù)
4.記錄通過(guò)防火墻信息內(nèi)容和活動(dòng)
5.對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警
防火墻的主要性能指標(biāo)
防火墻在性能方面的指標(biāo)主要包括如下幾個(gè)方面:
最大吞吐量:檢查防火墻在只有一條默認(rèn)允許規(guī)則和不丟包的情況下達(dá)到的最大吞吐速率,如網(wǎng)絡(luò)層吞吐量、HTTP 吞吐暈、SQL 吞吐量;
最大連接速率: TCP 新建連接速率、HTTP 請(qǐng)求速率、SQL 請(qǐng)求速率;
最大規(guī)則數(shù):檢查在添加大數(shù)量訪問(wèn)規(guī)則的情況下,防火墻性能變化狀況;
并發(fā)連接數(shù):防火墻在單位時(shí)間內(nèi)所能
防火墻的使用技巧
1、所有的防火墻文件規(guī)則必須更改
防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí),觀察誰(shuí)進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障,讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。
2、以最小的權(quán)限安裝所有的訪問(wèn)規(guī)則
另一個(gè)常見(jiàn)的安全問(wèn)題是權(quán)限過(guò)度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來(lái)訪問(wèn)他們所需的系統(tǒng),常用方法是在一個(gè)或者更多域內(nèi)指定打來(lái)那個(gè)的目標(biāo)對(duì)象。
3、根據(jù)法規(guī)協(xié)議和更改需求來(lái)校驗(yàn)每項(xiàng)防火墻的更改
在防火墻操作中,日常工作都是以尋找問(wèn)題,修正問(wèn)題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來(lái)解決問(wèn)題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過(guò)程中,我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來(lái)確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。
4、當(dāng)服務(wù)過(guò)期后從防火墻規(guī)則中刪除無(wú)用的規(guī)則
規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問(wèn)題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒(méi)有刪除規(guī)則的流程。業(yè)務(wù)部門擅長(zhǎng)讓你知道他們了解這些新規(guī)則,卻從來(lái)不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。
5、每年至少對(duì)防火墻完整的審核兩次
如果你是名信用卡活動(dòng)頻繁的商人,那么除非必須的話這項(xiàng)不是向你推薦的最佳實(shí)踐方法,因?yàn)橹Ц犊ㄐ袠I(yè)標(biāo)準(zhǔn)1.1.6規(guī)定至少每隔半年要對(duì)防火墻進(jìn)行一次審核。