防火墻的作用主要有哪些
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。下面是小編整理的防火墻的作用主要有哪些,歡迎大家閱讀分享借鑒,希望對(duì)大家有所幫助。
防火墻的作用
防火墻是系統(tǒng)的第一道防線,其主要作用是防止非法用戶的進(jìn)入,具有很好的保護(hù)作用。
防火墻的具體功能主要包括“網(wǎng)絡(luò)安全”與“數(shù)據(jù)庫安全”,包含內(nèi)容如下:
強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全性
防火墻可以限制非法用戶,比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò),禁止存在安全脆弱性的服務(wù)和未授權(quán)的通信進(jìn)出網(wǎng)絡(luò),并抗擊來自各種路線的攻擊。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行記錄、監(jiān)控作為單一的網(wǎng)絡(luò)接入點(diǎn),所有進(jìn)出信息都必須通過防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息并做出日志記錄
限定內(nèi)部用戶訪問特殊站點(diǎn)
防火墻通過用戶身份認(rèn)證來確定合法用戶。防火墻通過事先確定的完全檢查策略,來決定內(nèi)部用戶可以使用哪些服務(wù),可以訪問哪些網(wǎng)站
限制暴露用戶點(diǎn),防止內(nèi)部攻擊
利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)網(wǎng)絡(luò)中網(wǎng)段的隔離,防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響,同時(shí),保護(hù)一個(gè)網(wǎng)段不受來自網(wǎng)絡(luò)內(nèi)部其它網(wǎng)段的攻擊
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)
防火墻可以作為部署NAT的邏輯地址,因此防火墻可以用來緩解地址空間短缺的問題,并消除機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩
虛擬專用網(wǎng)(,Virtual Private Network)
防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系。通過將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
防火墻的用途和作用
Internet的發(fā)展給企業(yè)帶來了革命性的改革和開放,企業(yè)正努力通過利用它來提高市場(chǎng)反應(yīng)速度和辦事效率,以便更具競爭力。企業(yè)通過Internet,可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì)Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加注安全的“戰(zhàn)壕”,而這些“戰(zhàn)壕”又要在哪里修建呢?
基于Internet體系應(yīng)用有兩大部分:Intranet和Extranet。Intranet是借助Internet的技術(shù)和設(shè)備在Internet上面構(gòu)造出企業(yè)3W網(wǎng),可放入企業(yè)全部信息;而Extranet是在電子商務(wù)、互相合作的需求下,用Intranet間的通道,可獲得其它體系中部分信息。因此按照一個(gè)企業(yè)的安全體系可知防火墻戰(zhàn)壕須在以下位置上位置:
①保證對(duì)主機(jī)和應(yīng)用安全訪問;
②保證多種客戶機(jī)和服務(wù)器的安全性;
③保護(hù)關(guān)鍵部門不受到來自內(nèi)部的攻擊、外部的攻擊、為通過Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全通道。同時(shí)防火墻的安全性還要來自其良好的技術(shù)性能。
防火墻無法干什么
(1)防火墻管不到內(nèi)部惡人
如果惡人已經(jīng)在防火墻內(nèi)可以無須接近防火墻,就可以偷竊資料、損壞硬體和軟體,并巧妙的修改程式。內(nèi)部威脅需要內(nèi)部安全措施,例如機(jī)房安全管理措施及人員訓(xùn)練
(2)防火墻管不到不經(jīng)過它的連線
對(duì)於不經(jīng)過防火墻的傳輸,防火墻就無法發(fā)揮作用。例如某些站臺(tái)允許直接通到內(nèi)部主機(jī)的撥入存取或是技術(shù)及系統(tǒng)管理者會(huì)為他們自己設(shè)置進(jìn)入網(wǎng)路等。
(3)防火墻無法防范全新的威脅
防火墻的設(shè)計(jì)是為了防范已知的威脅,一個(gè)設(shè)計(jì)完善的防火墻或許可以防范一些新威脅,如:除了少數(shù)可靠的服務(wù)外,拒絕一切其他的服務(wù)就可以防止使用者設(shè)置新的極不安全的服務(wù)。
(4)防火墻無法防范病毒
防火墻無法防范PC和Macintosh病毒進(jìn)入網(wǎng)路,雖然防火墻會(huì)就來源位址、目的位址及port號(hào)碼作掃描,但不是細(xì)部資料,且使用最精巧的封包過濾或代理軟體對(duì)於防火墻而言也不太實(shí)際。
防火墻的主要性能指標(biāo)
防火墻在性能方面的指標(biāo)主要包括如下幾個(gè)方面:
最大吞吐量:檢查防火墻在只有一條默認(rèn)允許規(guī)則和不丟包的情況下達(dá)到的最大吞吐速率,如網(wǎng)絡(luò)層吞吐量、HTTP 吞吐暈、SQL 吞吐量;
最大連接速率: TCP 新建連接速率、HTTP 請(qǐng)求速率、SQL 請(qǐng)求速率;
最大規(guī)則數(shù):檢查在添加大數(shù)量訪問規(guī)則的情況下,防火墻性能變化狀況;
并發(fā)連接數(shù):防火墻在單位時(shí)間內(nèi)所能
防火墻的使用技巧
1、所有的防火墻文件規(guī)則必須更改
防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí),觀察誰進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障,讓整個(gè)協(xié)議管理更加簡單和高效。
2、以最小的權(quán)限安裝所有的訪問規(guī)則
另一個(gè)常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個(gè)或者更多域內(nèi)指定打來那個(gè)的目標(biāo)對(duì)象。
3、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。
4、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則
規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。
5、每年至少對(duì)防火墻完整的審核兩次
如果你是名信用卡活動(dòng)頻繁的商人,那么除非必須的話這項(xiàng)不是向你推薦的最佳實(shí)踐方法,因?yàn)橹Ц犊ㄐ袠I(yè)標(biāo)準(zhǔn)1.1.6規(guī)定至少每隔半年要對(duì)防火墻進(jìn)行一次審核。