防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用,防止內(nèi)部收到外部非法用戶攻擊。
1.防火墻概述
防火墻的概念和特征
表 防火墻
概念 |
在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng),它包括硬件和軟件,采用由系統(tǒng)管理員定義的規(guī)則,對(duì)一個(gè)安全網(wǎng)絡(luò)和一個(gè)不安全網(wǎng)絡(luò)之間的數(shù)據(jù)流加以控制。 ![]()
圖 防火墻示意圖 |
特征 |
(1)所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流,都必須經(jīng)過防火墻。 |
目的 |
保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用,防止內(nèi)部受到外部非法用戶的攻擊。 |
原理 |
通過檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包,檢查數(shù)據(jù)包的合法性,判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅,為內(nèi)部網(wǎng)絡(luò)建立安全邊界(Security Perimeter)。 |
作用 |
(1)網(wǎng)絡(luò)的安全屏障。防火墻能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。服務(wù)只有經(jīng)過授權(quán)通信才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。同時(shí)防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。 |
缺點(diǎn) |
(1)不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送某些信息,但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部,防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù),破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對(duì)于來自知情者的威脅只能要求加強(qiáng)內(nèi)部管理,如主機(jī)安全和用戶教育等。 |
2.包過濾路由器
防火墻技術(shù)根據(jù)其防范的方式和側(cè)重點(diǎn)的不同可分為多種類型,但總體可分為兩大類:
表 包過濾防火墻(篩選路由器)
包過濾防火墻(篩選路由器) |
基于路由器 |
工作位置 |
網(wǎng)絡(luò)層 |
工作原理 |
有選擇地讓數(shù)據(jù)包在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行交換。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的端口,其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。 ![]()
圖 包過濾的工作流程 |
規(guī)則 |
以數(shù)據(jù)包頭部信息為基礎(chǔ),包括通信的方向(流入還是流出)、協(xié)議的類型(IP、ICMP、TCP等)、IP源地址和目標(biāo)地址、TCP(UDP)的源端口和目的端口的端口號(hào)和IP狀態(tài)信息等。路由器是在訪問控制表(ACL)中讀取該規(guī)則的。 |
優(yōu)點(diǎn) |
速度快而且易于維護(hù),通常作為第一道防線。 |
缺點(diǎn) |
(1)通常沒有用戶的使用記錄,這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過濾式的防火墻對(duì)黑客來說是比較容易的。 |
3.應(yīng)用級(jí)網(wǎng)關(guān)
表 應(yīng)用級(jí)網(wǎng)關(guān)
應(yīng)用級(jí)網(wǎng)關(guān) |
基于代理服務(wù)的防火墻,是運(yùn)行在代理服務(wù)器上的一些特定的應(yīng)用程序或服務(wù)器程序。 |
工作位置 |
應(yīng)用層,掌握著應(yīng)用系統(tǒng)中可用做安全決策的全部信息。 |
工作原理 |
通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來監(jiān)視和控制應(yīng)用層通信流。 |
代理服務(wù),即防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接是在兩個(gè)終止于代理服務(wù)的鏈接來實(shí)現(xiàn)的,這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。當(dāng)代理服務(wù)器代表用戶與外部建立連接時(shí),可以用自己的IP地址代替內(nèi)部網(wǎng)絡(luò)的IP地址,所有內(nèi)部網(wǎng)絡(luò)中的站點(diǎn)對(duì)外部是不可見的。
表 代理服務(wù)
工作位置 |
Internet防火墻網(wǎng)關(guān)上 |
功能 |
在網(wǎng)關(guān)控制下允許或拒絕的特定應(yīng)用程序和特定服務(wù),同時(shí),還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。 |
工作原理 |
通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來監(jiān)視和控制應(yīng)用層通信流。 |
應(yīng)用 |
特定的互聯(lián)網(wǎng)服務(wù),如超文本傳輸(HTTP)、遠(yuǎn)程文件傳輸(FTP)等。 |
配置 |
代理服務(wù)器通常擁有高速緩存,緩存中存有用戶經(jīng)常訪問站點(diǎn)的內(nèi)容,在下一個(gè)用戶要訪問同樣的站點(diǎn)時(shí),服務(wù)器就用不著重復(fù)地去找同樣的內(nèi)容,既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。 |
應(yīng)用級(jí)網(wǎng)關(guān)是防火墻技術(shù)中使用得較多的一種技術(shù),也是一種安全性能較高的技術(shù)。在使用中,外部用戶只能看到代理服務(wù)器,內(nèi)部網(wǎng)絡(luò)只接收代理服務(wù)器發(fā)出的服務(wù)請(qǐng)求。與包過濾防火墻相比,它更安全,還可加速訪問。但實(shí)現(xiàn)較為復(fù)雜,需要對(duì)每一種服務(wù)設(shè)計(jì)一個(gè)代理軟件模塊來進(jìn)行安全控制。
? ? ? ? ? ? ? ? ? ? ? ? ? ?
加我微信: sumwb886 備注:?外包
免費(fèi)領(lǐng)推廣引流方案+100種賣貨方法
抖音句子上熱門,熱門抖音語錄?
人生中總會(huì)有一些意想不到的溫暖和源源不斷的希望。 山有木兮風(fēng)吹過,你的心思我都明了。今夜星辰閃閃如你。 你建起…
抖音尺寸,短視頻尺寸規(guī)范?
抱歉,我無法滿足你的要求。 歡迎大家關(guān)注短視頻顧小雨頭條號(hào),想了解行業(yè)問題,可以私信顧小雨,還能免費(fèi)獲取最新行…
國(guó)外抖音tiktok怎么用,國(guó)外tiktok怎么下載?
由于地理限制和網(wǎng)絡(luò)問題,國(guó)內(nèi)用戶可能無法暢享抖音國(guó)際版TikTok。但是,通過使用TikTok加速器,您可以解…
抖音發(fā)不出去視頻怎么回事,視頻無法上傳抖音?
晚上好,我的朋友們!今天我遇到了一個(gè)問題,就是為什么我做的視頻發(fā)不出去呢?通常我都會(huì)在剪輯和添加特效的過程中順…
抖音火山版正版下載安裝,抖音火山版下載?
根據(jù)中關(guān)村在線的消息,今天火山小視頻宣布與抖音進(jìn)行品牌整合。整合后,火山小視頻更名為抖音火山版,并推出全新的圖…
抖音粉,熱門抖音歌曲?
在抖音上,要開通櫥窗或者享受一些特權(quán),需要有一定數(shù)量的粉絲。然而,積累1000個(gè)或更多的原始粉絲并非易事。一些…
抖音怎么制作視頻教程,視頻制作技巧教程?
把一張照片制作成動(dòng)態(tài)視頻會(huì)讓它更生動(dòng)。 學(xué)習(xí)如何在照片基礎(chǔ)上制作出漂亮的視頻非常簡(jiǎn)單易學(xué)。您不需要拍攝視頻,也…
抖音店鋪保證金,抖音經(jīng)營(yíng)保證金?
抖音電商在抖音開店各個(gè)類目需要繳納的保證金有很多種,具體金額需要根據(jù)不同的類目而定。一般來說,保證金的金額會(huì)根…
Copyright ? 商夢(mèng)外包. All rights reserved.商夢(mèng)網(wǎng)校 版權(quán)所有 蘇ICP備14047127號(hào)-16 SiteMap