防火牆的使用 篇一
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視訊流等,但至少這是你自己的保護選擇。
在具體應用防火牆技術時,還要考慮到兩個方面:
一是防火牆是不能防病毒的,儘管有不少的防火牆產品聲稱其具有這個功能。 二是防火牆技術的另外一個弱點在於資料在防火牆之間的更新是一個難題,如果延遲太大將無法支援實時服務請求。並且,防火牆採用濾波技術,濾波通常使網路的效能降低50%以上,如果為了改善網路效能而購置高速路由器,又會大大提高經濟預算。
總之,防火牆是企業網安全問題的流行方案,即把公共資料和服務置於防火牆外,使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術,防火牆具有簡單實用的特點,並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。
概念原理 篇二
防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和資料進入你的網路,同時將你“不同意”的人和資料拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通訊。
防火牆(FireWall)成為新興的保護計算機網路安全技術性措施。它是一種隔離控制技術,在某個機構的網路和不安全的網路(如Internet)之間設定屏障,阻止對資訊資源的非法訪問,也可以使用防火牆阻止重要資訊從企業的網路上被非法輸出。作為Internet網的安全性保護軟體,FireWall已經得到廣泛的應用。通常企業為了維護內部的資訊系統安全,在企業網和Internet間設立FireWall軟體。企業資訊系統對於來自Internet的訪問,採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的資訊或危險的使用者,則可以通過設定使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW伺服器向外部提供資訊,那麼就可以在FireWall上設定使得只有這兩類應用的資料包可以通過。這對於路由器來說,就要不僅分析IP層的資訊,而且還要進一步瞭解TCP傳輸層甚至應用層的資訊以進行取捨。FireWall一般安裝在路由器上以保護一個子網,也可以安裝在一臺主機上,保護這臺主機不受侵犯。
簡介 篇三
防火牆技術,最初是針對 Internet 網路不安全因素所採取的一種保護措施。顧名思義,防火牆就是用來阻擋外部不安全因素影響的內部網路屏障,其目的就是防止外部網路使用者未經授權的訪問。它是一種計算機硬體和軟體的結合,使Internet與Internet之間建立起一個安全閘道器(Security Gateway),從而保護內部網免受非法使用者的侵入,防火牆主要由服務-本站§ 訪問政策、驗證工具、包過濾和應用閘道器4個部分組成,防火牆就是一個位於計算機和它所連線的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通訊均要經過此防火牆。
防火牆有網路防火牆和計算機防火牆的提法。網路防火牆是指在外部網路和內部網路之間設定網路防火牆。這種防火牆又稱篩選路由器。網路防火牆檢測進入資訊的協議、目的地址、埠(網路層)及被傳輸的資訊形式(應用層)等,濾除不符合規定的外來資訊。防火牆示意圖見圖8.14,網路防火牆也對使用者網路向外部網路發出的資訊進行檢測。
計算機防火牆是指在外部網路和使用者計算機之間設定防火牆。計算機防火牆也可以是使用者計算機的'一部分。計算機防火牆檢測介面規程、傳輸協議、目的地址及/或被傳輸的資訊結構等,將不符合規定的進入資訊剔除。計算機防火牆對使用者計算機輸出的資訊進行檢查,並加上相應協議層的標誌,用以將資訊傳送到接收使用者計算機(或網路)中去。
使用防火牆的好處有:保護脆弱的服務,控制對系統的訪問,集中地安全管理,增強保密性,記錄和統計網路利用資料以及非法使用資料情況。防火牆的設計通常有兩種基本設計策略:第一,允許任何服務除非被明確禁止;第二,禁止任何服務除非被明確允許。一般採用第二種策略。
從技術角度來看,目前有兩類防火牆,即標準防火牆和雙穴閘道器。標準防火牆使用專門的軟體,並要求比較高的管理水平,而且在資訊傳輸上有一定的延遲。雙穴閘道器是標準防火牆的擴充,也稱應用層閘道器,它是一個單獨的系統,但能夠同時完成標準防火牆的所有功能。它的優點是能夠執行比較複雜的應用,同時防止在網際網路和內部系統之間建立任何直接的連線,可以確保資料包不能直接從外部網路到達內部網路。
隨著防火牆技術的進步,在雙穴閘道器的基礎上又演化出兩種防火牆配置,一種是隱蔽主機閘道器,一種是隱蔽智慧閘道器。目前,技術比較複雜而且安全級別較高的防火牆是隱蔽智慧閘道器,它將閘道器隱藏在公共系統之後使其免遭直接攻擊。隱蔽智慧閘道器提供了對網際網路服務進行幾乎透明的訪問,同時也阻止了外部未授權訪問者對專用網路的非法訪問。