-
防火墙技术 编辑
防火墙技术
防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术,几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙,防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统,位于被保护网络和其它网络之间,进行访问控制,阻止非法的信息访问和传递。防火墙并非单纯的软件或硬件,它实质是软件和硬件加上一组安全策略的集合 。
防火墙遵循的基本准则有两点。第一,它会拒绝所有未经说明允许的命令。防火墙的审查基础的逐项审阅,任何一个服务请求和应用操作都将被逐一审查符合允许的命令后才可能执行,这样的操作方法为保证内部计算机安全性提供了切实可行的办法。反而言之,用户可以申请的服务和服务数量是有限的,提高了安全性的同时也就减弱可用性。第二,它会允许所有未经说明拒绝的命令。防火墙在传递所有信息的时候都是按照约定的命令执行的,也就是会逐项审查后杜绝潜在危害性的命令,这一点的缺陷就是可用性优于安全性的地位,但是增加安全性的难度。
强化内部网络的安全性
防火墙可以限制非法用户,比如防止黑客、网络破坏者等进入内部网络,禁止存在安全脆弱性的服务和未授权的通信进出网络,并抗击来自各种路线的攻击。对网络存取和访问进行记录、监控作为单一的网络接入点,所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息并做出日志记录。在防火墙上可以很方便地监视网络的安全性,并产生报警 。
限定内部用户访问特殊站点
防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站 。
限制暴露用户点,防止内部攻击
利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,同时,保护一个网段不受来自网络内部其它网段的攻击 。
网络地址转换(NAT,Network Address Translation)
防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦 。
虚拟专用网(VPN,Virtual Private Network)
防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
过滤防火墙
过滤防火墙,顾名思义,就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则, 对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行,如果数据包不满足过滤规则, 就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头 IP 地址,目的IP地址,数据包遵守的协议,端口号等特征来完成。第一代的防火墙就属于过滤防火墙 。
应用网关防火墙
已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和 IP 层。与之不同的是,应用网关防火墙主要工作在最上层应用层。不仅如此, 相比于基于过滤的防火墙来说, 应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析,应用网关服务器在应用层上进行危险数据的过滤, 分析内部网络应用层的使用协议, 并且对计算机网络内部的所有数据包进行分析, 如果数据包没有应用逻辑则不会被放行通过防火墙 。
服务防火墙
上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景, 服务防火墙主要用于服务器的保护中。在现在的应用软件中, 往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中 。
监控防火墙
如果说之前介绍的防火墙都是被动防守的话, 那么监控防火墙则是不仅仅防守, 还会主动出击。一方面监控防火墙可以像传统的防火墙一样, 过滤网络中的有害数据。另一方面, 监控防火墙可以主动对数据进行分析和测试, 得到网络中是否存在外部攻击。这种防火墙对内可以过滤, 对外可以监控。从技术上来说, 是传统防火墙的重大升级 。
防火墙对内部网络环境安全性起着极大的提高意义,它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的,所以网络内部环境就非常的安全可靠。例如,NFS 是一个不安全协议,防火墙可以过滤点该信息,不允许该协议进入受保护的网络,这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员 。
网络安全策略
如果对网络安全配置上以防火墙为中心,就可以让口令、加密、身份认证、审计等安全软件配置在防火墙上。防火墙的这种集中安全管理与各个主机分散控制网络安全问题相比更比较经济实惠。另外,防火墙的集中安全控制也避免了一次一密口令系统和其他的身份认证系统分散在各个主机上的麻烦 。
进行监控审计
防火墙有着很好的日志记录功能,它会记录所有经过防火墙访问过的记录,更能够把网络使用情况的数据进行汇总分析,从而得出网络访问的统计性数据。如果访问的数据里面含有可疑性的动作,防火墙会进行报警,显示网络可能受到的相关的检测和攻击方面的数据信息。另外,它还可以通过访问数据的统计提供某个网络的使用情况和误用情况,为网络使用需求分析和网络威胁分析提供有价值的参考数据 。
防止内部信息的外泄
防火墙可以把内部网络隔离成若干个段,对局部重点网络或敏感网络加强监控,全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。另外,防火墙对 Finger、DNS等服务显示的内部细节数据进行隐蔽,这样由于 Finger 显示的所有用户的注册名、真名,最后登录时间和使用 shell 类型等信息就受到保护了,也就降低了外部的攻击侵入。同样,防火墙对内部网络中 DNS 信息的阻塞,也避免了主机域名和IP 地址的外泄,有效了保护内部信息的安全 。
支持线速处理,在不影响网络运行情况下,实现无缝部署到现有的网络中 。
标准的传统防火墙功能,NGFW 需要拥有传统防火墙的所有功能,包含包过滤、网络地址转换(Network Address Translation,NAT)、状态检测、虚拟专用网(Virtual Private Network,VPN)等功能 。
集成入侵防御系统(Intrusion prevention system,IPS),NGFW 在同一硬件内结成了传统防火墙和 IPS 的功能,IPS 成为NGFW 的核心部件,不是两者的简单叠加,而是功能的无缝融合。NGFW 中防火墙和 IPS 的无缝融合、自动联动的协作机制将大大提升防御性能,增强网络安全 性。
应用识别、控制与可视化,NGFW 与传统防火墙基于端口和 IP 协议进行应用识别不同,而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理宽带或优先排序应用层流量。深度流量检测让管理员可针对单个应用组件执行细粒度策略 。
智能防火墙,NGFW 可以收集来自防火墙外面的各类信息,用于改进阻塞决定,或优化阻塞规则库 。
防火墙的优点
保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务,防火墙可防止非法用户进入内部网络,减少内网中主机的风险 。
控制对系统的访问。可提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机,允许内部员工使用某些资源而不能使用其他资源等 。
集中的安全管理。对内网实行集中的安全管理。通过制定安全策略,其安全防护措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程序都存于防火墙中而不是分散到每个主机中,便于集中保护 。
增强保密性。可阻止攻击者获取攻击网络系统的有用信息 。
有效地记录Internet 上的活动。因为所有进出信息都必须通过防火墙,所以非常便于收集关于系统和网络使用和误用的信息。
防火墙的不足之处
不能防范来自内部的攻击。对内部用户偷窃数据,破坏硬件和软件等行为无能为力 。
不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止,从而给系统带来威胁,如用户可以将数据复制到磁盘中带出内网 。
不能防范未知的威胁。能较好地防备已知的威胁,但不能自动防御所有新的威胁 。
不能完全防范病毒的破坏 。
为了提高安全性,限制和关闭了一些有用但存在安全缺陷的网络服务,给用户带来了使用的不便 。
1、本站所有文本、信息、视频文件等,仅代表本站观点或作者本人观点,请网友谨慎参考使用。
2、本站信息均为作者提供和网友推荐收集整理而来,仅供学习和研究使用。
3、对任何由于使用本站内容而引起的诉讼、纠纷,本站不承担任何责任。
4、如有侵犯你版权的,请来信(邮箱:baike52199@gmail.com)指出,核实后,本站将立即删除。
