防火牆的功能是什麼?
防火牆的作用是什麼?
關於防火牆其實在技術專題中,我們有專門的介紹,只是內容比較散,因此我們在這裡從比較簡單的講起,由淺入深的來了解一下防火牆。
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網絡安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火牆同時可以保護網絡免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網絡安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與將網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網絡存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外洩:
通過利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所瞭解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。
防火牆的分類
根據防火牆的分類標準不同,防火牆可以分為N多種類型,這裡我們遵循的,當然是根據網絡體系結......
防火牆的作用是什麼
防火牆的英文名為“FireWall”,它是目前一種最重要的網絡防護設備。從專業角度講,防火牆是位於兩個(或多個)網絡間,實施網絡之間訪問控制的一組組件集合。
防火牆在網絡中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象,真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的,在圖標中有一個二極管圖標。而二極管我們知道,它具有單向導電性,這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網絡總是信任的,而對外部網絡卻總是不信任的,所以最初耽防火牆是隻對外部進來的通信進行過濾,而對內部網絡用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變,不僅對外部網絡發出的通信連接要進行過濾,對內部網絡用戶發出的部分連接請求和數據包同樣需要過濾,但防火牆仍只對符合安全策略的通信通過,也可以說具有“單向導通”性。
防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單向導通性”。
防火牆的功能一般有五個功能。
《一》防火牆是網絡安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火牆同時可以保護網絡免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
《二》防火牆可以強化網絡安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火牆上。與將網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
《三》對網絡存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
《四》防止內部信息的外洩:
通過利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節......
防火牆的作用是什麼
1.什麼是防火牆
防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,儘可能地對外部屏蔽網絡內部的信息、結構和運行狀況, 以此來實現網絡的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網絡的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網絡系統, 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Figer和DNS。
記錄和統計網絡利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網絡通訊,提供關於網絡使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時,網絡安全取決於每臺主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理服務器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備, 因此在原有網絡上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟件和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。 它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯繫, 防火牆外部的用戶便有可能直接瞭解防火牆內部的網絡結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP......
電腦防火牆有什麼用?有什麼功能?
阻止黑客攻擊,一定程度上彌補系統原有的漏洞,監控網絡活動並阻止可疑通信
防火牆有什麼用?
防火牆定義
防火牆就是一個位於計算機和它所連接的網絡之間的軟件。該計算機流入流出的所有網絡通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬件自身的一部分,你可以將因特網連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網絡中所有計算機的代理和防火牆。最後,直接連在因特網的機器可以使用個人防火牆。
防火牆的作用
1.什麼是防火牆
防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,儘可能地對外部屏蔽網絡內部的信息、結構和運行狀況, 以此來實現網絡的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網絡的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網絡系統, 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Figer和DNS。
記錄和統計網絡利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網絡通訊,提供關於網絡使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時,網絡安全取決於每臺主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理服務器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備, 因此在原有網絡上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟件和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。 它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯繫, 防火牆外部的用戶便有可能直接瞭解防火牆內部的網絡結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代......
防火牆的主要功能是什麼?
防止某些病毒或者木馬,保護系統不被入侵
防火牆是什麼意思
所謂防火牆指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,
防火牆就是一個位於計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的作用是什麼
它可通過監測、限制、更改跨越防火牆的數據流,儘可能地對外部屏蔽網絡內部的信息、結構和運行狀況, 以此來實現網絡的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網絡的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網絡系統, 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Figer和DNS。
記錄和統計網絡利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網絡通訊,提供關於網絡使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時,網絡安全取決於每臺主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理服務器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備, 因此在原有網絡上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟件和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。 它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯繫, 防火牆外部的用戶便有可能直接瞭解防火牆內部的網絡結構和運行狀態,這有利於實施非法訪問和攻擊。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術......
什麼是防火牆 防火牆的主要功能有哪些
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網絡非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2.包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的服務器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對服務器的訪問的請求與服務器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3.阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的服務器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。