所謂“防火墻”,是指將內網與公共接入網(互聯網)隔離的壹種方法,實際上是壹種隔離技術。防火墻是兩個網絡通信時實施的壹種訪問控制措施。它可以允許妳“同意”的人和數據進入妳的網絡,同時將妳“不同意”的人和數據拒之門外,最大限度地防止網絡中的黑客訪問妳的網絡,防止他們更改、復制和破壞妳的重要信息。
防火墻主要包括硬件防火墻和軟件防火墻。硬件防火墻由路由器組成。軟件防火墻是由各種軟件實現的。通常應用防火墻的目的是:限制他人進入內網;過濾掉不安全的服務和非法用戶;防止入侵者接近妳的防禦設施;限制人們訪問特殊網站;為監控局域網安全提供方便。
安全規則是計算機使用的局域網和互聯網的內置協議設置,以達到系統的最佳安全狀態。個人防火墻軟件中的安全規則可以分為兩種:壹種是定義的安全規則,即將安全規則定義成幾種方案,壹般分為低、中、高三種。這樣,不了解網絡協議的用戶可以根據自己的需求靈活設置不同的安全方案。還有壹種是用戶自定義的安全規則,也就是說,對網絡協議有了很好的了解,就可以根據自己的安全狀況單獨設置壹個協議。
個人防火墻軟件主要涉及以下協議:
如果ICMP消息類型、數據包的傳入接口和傳出接口匹配,並且規則允許該數據包;
TCP:傳輸控制協議;
IP:互聯網協議,負責從組合的地方傳輸數據,使用組合的方法;
UDP:用戶數據報協議,UDP和TCP協議封裝在IP包中;
網絡基本輸入輸出系統;
IPX/SPX:以太網使用的協議;
這些協議有不同的用途,具體用途根據用戶的需求來設置。
-
防火墻位於被認為是安全可信的內部網絡中,也位於被認為是安全可信的內部網絡中。
然後在安全可信的外部網絡(通常是互聯網)之間提供阻斷工具。
在決定使用防火墻的背後,有壹個隱藏的推理:如果沒有防火墻,壹個網絡
網絡暴露於安全性較低的互聯網協議和設施,面臨來自
被其他互聯網主機檢測和攻擊的危險。在沒有防火墻的環境中,
網絡安全只能體現在每臺主機的功能上。從某種意義上說,所有的主機都必須
我們必須共同努力實現高度安全。網絡越大,安全性越高。
就越難管理性生活。隨著安全問題上的錯誤和缺陷越來越普遍,網絡接入
入侵不僅來自高超的攻擊手段,還可能來自低級錯誤或配置不當。
密碼選擇。因此,防火墻的作用是防止不必要的和未經授權的通信進出被保險人。
保護網絡,迫使該單位加強自己的網絡安全政策。防火墻系統通常包括
屏蔽路由器和代理服務器。屏蔽路由器是壹種多端口IP路由器,它
通過根據壹組規則檢查每個傳入的IP包,判斷是否轉發它。
發送。屏蔽路由器從數據包報頭中獲取信息,例如協議號、IP地址和用於發送和接收消息的端口。
數字,連接標誌,甚至壹些其他的IP選項來過濾IP數據包。代理服務器是
防火墻系統中的壹個服務器進程,可以代替網絡用戶完成特定的TCP/IP。
功能。壹個代理服務器本質上是應用層網關,另壹個是特定的網絡應用。
和連接兩個網絡的網關。用戶對TCP/IP應用程序感興趣,例如Telnet或ftp。
與代理服務器打交道,代理服務器要求用戶提供他們想要訪問的遠程主機名。
當用戶回復並提供正確的用戶身份和身份驗證信息時,代理服務器將與遠程服務器通信。
主機充當兩個通信點的中繼。整個過程可以對用戶完全透明。用戶提供的
用戶身份和認證信息可用於用戶級認證。最簡單的情況是它只由
用戶ID和密碼。但是,如果防火墻可以通過互聯網訪問,我們
建議使用更強的身份驗證機制,如壹次性密碼或質詢-響應系統。屏蔽道路
路由器的優點是簡單和低成本。其缺點與包過濾規則比率的正確建立有關
難度更大,屏蔽路由器的管理成本,用戶級認證的缺失。路由器學生
制造商正在努力解決這些問題。特別是,他們正在開發編輯包。
用於過濾規則的圖形用戶界面。他們還在開發標準的用戶級認證協議,以
提供遠程身份驗證撥入用戶服務(REDIUS)。代理服務器的優勢是用戶級的。
認證、登錄和帳戶管理。它的缺點與這樣壹個事實有關,如果妳想提到
為了全面的安全保障,需要為每個服務建立相應的應用層網關。這件事
它嚴重限制了新應用的采用。最近,壹個名叫SOCKS的全能代理
服務器出來了。SOCKS主要由運行在防火墻系統上的代理服務器軟件組成。
包和壹個鏈接到各種網絡應用程序的庫函數包。這樣的結構有利於新的
應用程序的鉤子。屏蔽路由器和代理服務器通常組合在壹起形成壹個混合系統。
屏蔽路由器主要用於防止IP欺騙攻擊。目前,應用最廣泛的配置是
雙宿防火墻、屏蔽主機防火墻和屏蔽子網防火墻。
雖然防火墻已經在互聯網行業得到了廣泛的應用,至於防火墻,
話題還是很敏感的。防火墻的擁護者認為防火墻是壹種重要的新型安全措施。
措施,因為它將許多安全功能集中在壹個點上,大大簡化了安裝、配置和管理。
管理的手續。很多公司把防火墻當成自己單位在互聯網的大使館。
關於其項目、產品和服務的公共信息倉庫。從美國制造商的角度來看
看,防火墻技術很有意義,因為它不需要加密,所以在出口處不受限制。
系統。然而,目前可用的大多數防火墻產品都支持這種或那種IP層加密。
功能,從而在這方面受到美國出口政策的控制。防火墻的另壹個特征是它
它不局限於TCP/IP協議,所以它不僅適用於互聯網。的確,類似的技術完全是
它可以用於任何分組交換網絡,如X.25或ATM。防火墻的批評
用戶普遍關心的是使用防火墻的不便,比如需要多次登錄等非用戶。
受約束的機制影響著互聯網的使用甚至生存。他們聽起來
說是防火墻制造了壹種虛假的安全感,導致防火墻內部的安全警力放松。
如果。他們還指出,許多攻擊是內部犯罪,這是任何基於隔離的預防措施。
什麽都做不了。同樣,防火墻也解決不了數據進入防火墻帶來的問題。
有壹個安全問題。如果用戶獲取壹個程序並在本地運行它,該程序很可能包含
壹段惡意代碼,或泄露敏感信息,或破壞它。有了Java,
JavaScript和Active X控件及其對應瀏覽器的不斷推廣,這個問題
變得更加突出和尖銳。防火墻的另壹個缺點是很少有防火墻廠商推出簡。
易於使用的\ "監獄守衛\ "防火墻,大多數產品仍然需要網絡管理。
在經理手動建立的級別上。當然,這方面很快會有大的變化。盡管
在這些爭論中,防火墻的支持者和批評者都承認防火墻不能取代墻內的防火墻。
謹慎的安全措施。防火墻的存在在當今的互聯網世界至關重要。它
它是由壹些對高級別安全性有迫切要求的機構出於實際原因而建造的。
因此,它不是解決所有網絡安全問題的靈丹妙藥,而只是壹個網絡安全政策和
戰略的壹個組成部分。