《边界防火墙简介》由会员分享,可在线阅读,更多相关《边界防火墙简介(5页珍藏版)》请在金锄头文库上搜索。
1、边界防火墙简介EZJ边界防火墙简介一 防止网络入侵,消息文件泄露,保护 内网安全,家用一般是软件性的。他会检查出入网络的链接,保 护一些端口,他有一套判断规则符合的就放行,不符合的就丢弃,防止计算机接收到非法包, 例如可以防止木马把电脑中的东西泄露出去。但有的是可以穿墙的,他会起一个和合法程序相同的名字来 糊弄人。对于内部控制的话,墙应该是阻挡不了的。墙是保护电 脑的第一道屏障。边界防火墙简介二 网络的安全不仅表现在网络的病毒防 治方面,而且还表现在系统抵抗外来非法黑客入侵的能力方面。 对于网络病毒,我们可以通过 kv300 或瑞星杀毒软件来对付,那 么对于防范黑客的入侵我们能采取什么样的措施
2、呢 ?在这样的情 况下,网络防火墙技术便应运而生了。一、防火墙的基本概念 古时候,人们常在寓所之间砌起一道 砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在, 如果一个网络接到了 internet 上面,它的用户就可以访问外部世 界并与之通信。但同时,外部世界也同样可以访问该网络并与之 交互。为安全起见,可以在该网络和 internet 之间插入一个中介 系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过 网络对本网络的威胁和入侵, 提供扼守本网络的安全和审计的唯 一关卡,它的作用与古时候的防火砖墙有类似之处,因此我们把 这个屏障就叫做“防火墙”。在电脑中,防火墙是一种装置,它是由
3、软件或硬件设备组合 而成,通常处于企业的内部局域网与 internet 之间,限制 internet用户对内部网络的访问以及管理内部用户访问外界的权 限。换言之,防火墙是一个位于被认为是安全和可信的内部网络 与一个被认为是不那么安全和可信的外部网络(通常是internet) 之间的一个封锁工具。防火墙是一种被动的技术,因为它假设了 网络边界的存在,它对内部的非法访问难以有效地控制。因此防 火墙只适合于相对独立的网络,例如企业内部的局域网络等。二、防火墙的基本准则 1.过滤不安全服务 基于这个准则, 防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放, 对不安全的服务或可能有安全隐患的服务
4、一律扼杀在萌芽之中。这是一种非常有效实用的方法,可以造成一种十分安全的环 境,因为只有经过仔细挑选的服务才能允许用户使用。 2.过滤非 法用户和访问特殊站点 基于这个准则,防火墙应先允许所有的用 户和站点对内部网络的访问,然后网络管理员按照ip地址对未授 权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更 为灵活的应用环境,网络管理员可以针对不同的服务面向不同的 用户开放,也就是能自由地设置各个用户的不同访问权限。 三、 防火墙的基本措施 防火墙安全功能的实现主要采用两种措施。1.代理服务器(适用于拨号上网 ) 这种方式是内部网络与 internet不直接通讯,内部网络计算机用户与代理服
5、务器采用一 种通讯方式,即提供内部网络协议(netbios、tcp/ip),代理服务 器与internet之间的通信采取的是标准tcp/ip网络通信协议, 防火墙内外的计算机的通信是通过代理服务器来中转实现的,结 构如下所示:内部网络一代理服务器一in terne t这样便成功地 实现了防火墙内外计算机系统的隔离,由于代理服务器两端采用 的是不同的协议标准,所以能够有效地阻止外界直接非法入侵。 代理服务器通常由性能好、处理速度快、容量大的计算机来充当, 在功能上是作为内部网络与internet的连接者,它对于内部网络 来说像一台真正的服务器一样,而对于互联网上的服务器来说, 它又是一台客户机。
6、当代理服务器接受到用户的请求以后,会检 查用户请求的站点是否符合设定要求,如果允许用户访问该站点 的话,代理服务器就会和那个站点连接,以取回所需信息再转发 给用户。另外,代理服务器还能提供更为安全的选项,例如它可以实 施较强的数据流的监控、过滤、记录和报告功能,还可以提供极 好的访问控制、登录能力以及地址转换能力。但是这种防火墙措 施,在内部网络终端机很多的情况下,效率必然会受到影响,代 理服务器负担很重,并且许多访问internet的客户软件在内部网 络计算机中无法正常访问internet。2.路由器和过滤器 这种结构由路由器和过滤器共同完成对 外界计算机访问内部网络的限制,也可以指定或限制
7、内部网络访 问in terne t。路由器只对过滤器上的特定端口上的数据通讯加以 路由,过滤器的主要功能就是在网络层中对数据包实施有选择的 通过,依照ip(internet protocol)包信息为基础,根据ip源地 址、ip目标地址、封装协议端口号,确定它是否允许该数据包通 过。这种防火墙措施最大的优点就是它对于用户来说是透明的, 也就是说不须用户输入账号和密码来登录,因此速度比代理服务 器快,且不容易出现瓶颈现象。然而其缺点也是很明显的,就是 没有用户的使用记录,这样我们就不能从访问记录中发现非法入 侵的攻击记录。边界防火墙简介三 我们平时接触的防火墙是主要是对 osi三层及以下的防护,
8、而应用层防火墙顾名思义可以对7层进行 一个防护。传统的防火墙一般是静态的,针对特定的端口,特定 的地址设定策略。而应用层防火墙,你可以把它理解为动态的, 是基于应用层协议的检测和阻断,其原理应该是对网络中的流量 进行抓包,将流量提取出来进行协议还原,模式匹配等等技术。 功能接近于和ips(入侵保护系统)。应用层网关(application level gateway),也叫做应用层防 火墙或应用层代理防火墙,通常用于描述第三代防火墙。当一个 用户在这个可信赖的网络希望连接到在不被信赖的网络的服务例 如因特网,这个应用专注于在防火墙上的代理服务器。这个代理 服务器有效地伪装成在因特网上的真实服务
9、器。它评估请求和决 定允许或拒绝基于一系列被个人网络服务管理规则的请求。应用层防火墙在现代的计算环境中,应用层防火墙日益显示出其可以减少 攻击面的强大威力。最初的网络安全不过是使用支持访问列表的路由器来担任。 对简单的网络而言,仅使用访问控制列表和一些基本的过滤功能 来管理一个网络对于未授权的用户而言已经足够。因为路由器位 于每个网络的中心,而且这些设备还被用于转发与广域网的通信。但路由器仅能工作在网络层,其过滤方式多少年来并没有根 本性的变化。制造路由器的公司也为增强安全性在这一层上也是 下足了工夫。更明确地讲,所有的安全措施只不过存在于路由器 所在的网络层而已。第三代防火墙称为应用层防火墙
10、或代理服务器防火墙,这种 防火墙在两种方向上都有“代理服务器”的能力,这样它就可以 保护主体和客体,防止其直接联系。代理服务器可以在其中进行 协调,这样它就可以过滤和管理访问,也可以管理主体和客体发 出和接收的内容。这种方法可以通过以各种方式集成到现有目录 而实现,如用户和用户组访问的 ldap。应用层防火墙还能够仿效暴露在互联网上的服务器,因此正 在访问的用户就可以拥有一种更加快速而安全的连接体验。事实 上,在用户访问公开的服务器时,他所访问的其实是第七层防火 墙所开放的端口,其请求得以解析,并通过防火墙的规则库进行 处理。一旦此请求通过了规则库的检查并与不同的规则相匹配, 就会被传递给服务器。这种连接在是超高速缓存中完成的,因此 可以极大地改善性能和连接的安全性。而在 osi 模型中,第五层是会话层,第七层是应用层。应用 层之上的层为第八层,它在典型情况下就是保存用户和策略的层 次。看了“ 边界防火墙怎么样”文章的
