『壹』 在一個子網內應用防火牆,不用其他的安全措施,這樣的網路會有什麼樣的安全隱患怎樣彌補
計算機網路安全防範策略
計算機網路安全從技術上來說,主要由防病毒、防火牆、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網路信息的安全性。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
(1)防火牆技術。防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。防火牆是指一個由軟體或和硬體設備組合而成,處於企業或網路群體計算機與外界通道之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。當一個網路接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。防火牆可以強化網路安全策略。通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證)配置在防火牆上。其次對網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網路安全問題對全局網路造成的影響。
(2)數據加密與用戶授權訪問控制技術。與防火牆相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用於開放的網路。用戶授權訪問控制主要用於對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。
數據加密主要用於對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換演算法,這種變換是受「密鑰」控制的。在傳統的加密演算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為「對稱密鑰演算法」。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密演算法中最具代表性的演算法。如果加密/解密過程各有不相乾的密鑰,構成加密/解密的密鑰對,則稱這種加密演算法為「非對稱加密演算法」或稱為「公鑰加密演算法」,相應的加密/解密密鑰分別稱為「公鑰」和「私鑰」。在公鑰加密演算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用於解密其接收的公鑰加密過的信息。典型的公鑰加密演算法如RSA是目前使用比較廣泛的加密演算法。
(3)入侵檢測技術。入侵檢測系統(Intrusion Detection System簡稱IDS)是從多種計算機系統及網路系統中收集信息,再通過這此信息分析入侵特徵的網路安全系統。IDS被認為是防火牆之後的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊後,收集入侵攻擊的相關信息,作為防範系統的知識,添加入策略集中,增強系統的防範能力,避免系統再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。
入侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作。檢測系統配置的正確性和安全漏洞,並提示管理員修補漏洞;識別反映已知進攻的活動模式並向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式。
(4)防病毒技術。隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防範中普遍使用的防病毒軟體,從功能上可以分為網路防病毒軟體和單機防病毒軟體兩大類。單機防病毒軟體一般安裝在單台PC上,即對本地和本地工作站連接的遠程資源採用分析掃描的方式檢測、清除病毒。網路防病毒軟體則主要注重網路防病毒,一旦病毒入侵網路或者從網路向其它資源傳染,網路防病毒軟體會立刻檢測到並加以刪除。
(5)安全管理隊伍的建設。在計算機網路系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網路安全的重要保證,只有通過網路管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網路的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防範意識。網路內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對於盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網路的安全可靠得到保障,從而使廣大網路用戶的利益得到保障。
5、結束語
計算機網路的安全問題越來越受到人們的重視,本文簡要的分析了計算機網路存在的幾種安全隱患,並探討了計算機網路的幾種安全防範措施。總的來說,網路安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網路系統,隨著計算機網路技術的進一步發展,網路安全防護技術也必然隨著網路應用的發展而不斷發展。
『貳』 校園網建設中防火牆技術有什麼應用
一、防火牆技術在校園網建設中的重要性
現代社會是電子信息的社會,網路已經成為遍及社會和家庭的必要工具。隨著計算機網路技術的不斷進步,相應的網路安全問題也逐步成為人們的關注焦點。
一些懷有惡意的網路攻擊,對網路客戶端的使用者進行信息盜取,修改網路數據,通過遠程式控制制電腦非法佔用電腦使用者資料信息。網路作為一個公開的信息交換工具就具有潛在的危險性。網路安全是一個特殊的領域,收到全球的高度重視。因此網路安全技術十分重要。
高校雖然和具有商業機密的企業網有著一定的差距,但是校園網依舊有自己的安全保護需要和保護內容。首先安全安靜的網路環境是學校保護學生身心健康的重要手段。現在我國的大部分高校依舊採用的是大面積的覆蓋,很多棟建築還有教學課堂都在逐步走向網路化的進程中。越來越多的學生都在運用網路進行學習和娛樂,並且使用網路的時間在不斷加長,這些都是的網路的安全管理工作越來越重要,也越來越有管理難度。
在平時的教學當中,關於教學的網路資源的調配工作越來越成為學校關注的問題,網路寬頻的使用和分配,如何滿足現代教育多媒體教學技術應用的需求。多媒體教學中包括遠程技術的使用,校園網的用戶認證,防止惡意的網路攻擊和校園網上不良信息的傳播等。很多校園網路沒有設置相應的安全防護系統,學生們在課堂上能夠任意鏈接IE瀏覽各種信息,其中包括一些網上的不良信息。這些不僅影響教師的教學進度,而且影響學生的身心健康和正常發展。
網路安全是當前所有網路用戶最為關注的問題,目前的防火牆技術已經成為保護校園網路安全,正確解決校園安全隱患的有效工具。防火牆並不是單單包括防火牆軟體的應用,還包括防火牆硬體的配置。這樣的防火牆技術能夠確保電腦更加安全,但是費用也相對來說比較高。防火牆技術必須隨著網路技術的不斷發展而進步變化,只有如此才能真正確保電腦校園網路的安全和穩定。
二、防火牆技術在高校校園網中的選用原則
(一)防火牆技術概念
防火牆技術對於加強網路管理和網路控制起到很大的作用。通過對網路的訪問之間加強控制,防止用戶受到非法訪問的騷擾。防火牆是一種保護網路整體環境安全的設備。它對多個網路用戶之間的資源傳送和連接方式都有相應的安全策略。網路之間的通信只有通過防火牆技術的檢查才能夠確保整個網路的安全運行,是整個網路處於防火牆技術的監控下。
(二)高校校園網中使用防火牆的選用原則
選擇防火牆的標准有很多,但最重要的是以下幾條:
1、總體擁有成本
防火牆產品作為網路系統的安全屏障,其TCO(Total Cost of Ownership,總體擁有成本)不應該超過受保護網路系統可能遭受最大損失的成本。以一個非關鍵部門的網路系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火牆的總成本也不應該超過10萬元。當然,對於關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。
2、防火牆本身是安全的
作為信息系統安全產品,防火牆本身也應該保證安全,不給外部侵入者以可乘之機。
3、管理與培訓
管理和培訓是評價一個防火牆好壞的重要方面。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售後服務。
4、可擴充性
網路系統在建設的初始階段往往由內部信息的系統規模比較小,遭受的損失可能就比較小,太昂貴的防火牆產品就顯得沒有必要。隨著現代社會中的網路不斷發展,網路信息安全成本不斷上升,遭受網路損失的可能性和危害性都增強了,因此越來越多的用戶面對可能付出的昂貴的損失,選擇了更加安全可靠的防火牆產品。好的防火牆技術能夠在保障網路安全的同時給予用戶高度是自我空間,有較好的的產品彈性。
三、高校校園網中常用的防火牆技術
防火牆是一種在內外部網路建立保護層,保護內外部網路資源不被破壞。使用防火牆能夠有效的使內部網路的訪問受到保護,使其擁有一個保護層,避免內部網路受到外部網路的干擾,而不影響內部網路成員對外網路資源的訪問。同時校園網路的為了維護網路的穩定和安全一定不會選用單一的防火牆技術。其中常用的保護校園網路的技術主要包括以下幾方面。這些技術能夠綜合全面的解決高校校園網路的各項安全問題。
(一)包過濾技術
包過濾技術是在網路中適當的位置上對數據包實施有選擇的過濾。包過濾防火牆一般含有一個包檢查模塊,它可以安裝在網關或路由器上,處於系統的TCP(Transfer Controln Protocol,傳輸控制協議)層和IP(Internet Protocol,網際協議)層之間,以便搶在操作系統或路由器的TCP層之前對IP包進行處理。通過檢查模塊的處理,防火牆可以對進出站的數據進行檢查,驗證數據包是否符合過濾規則。
(二)代理技術
代理技術是針對每一個特定應用服務的控制,它作用於應用層,具有狀態性的特點,能提供部分與傳輸有關的狀態,起到外部網路向內部網路申請服務時的中間轉接作用。內部網路只接受代理提出的服務請求,拒絕外部網路其他節點的直接請求。提供代理服務的可以是一台雙宿網關,也可以是一台堡壘主機。
(三)狀態檢查技術
在網路層實現網路防火牆技術包括很多方面技術的支持。其中狀態檢查就是其中一項技術。狀態檢查技術採用的是在網關上安裝和運行安全引擎,對網路進行模塊檢測。模塊檢測是在不影響網路正常運行的前提下進行的。它能夠對網路通信進行信息抽取,實行動態檢測,更容易實現網路系統的全面安全管理。
(四)內容檢查技術
內容檢查技術提供對高層服務協議數據的監控,以確保數據流的安全。它是一個利用智能方式來分析數據,使系統免受信息內容安全威脅的軟體組。
『叄』 防火牆是什麼在網路環境中的應用
防火牆(英語:Firewall)在計算機科學領域中是一個架設在互聯網與企業內網之間的信息安全系統,根據企業預定的策略來監控往來的傳輸。
防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備,從專業角度來說,防火牆是位於兩個(或多個)網路間,實行網路間訪問或控制的一組組件集合之硬體或軟體。
功能
防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。
它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是:根據最小特權原則,在不同水平的信任區域,透過連通安全政策的運行,提供受控制的連通性。
例如:TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。
如果電腦有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【共享文件夾】公開到Internet,使得任何人都有機會瀏覽目錄內的文件。
且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽文件夾的需求)。
防火牆的本義,是指古代構築和使用木製結構房屋時,為防止火災發生及蔓延,人們將堅固石塊堆砌在房屋周圍做為屏障,這種防護結構建築就被稱為防火牆。
現代網路時代引用此喻意,指隔離本地網路與外界網路或是區域網間與互聯網或互聯網的一道防禦系統,藉由控制過濾限制消息來保護內部網資料的安全。
(3)防火牆的設備分析與網路安全應用擴展閱讀:
防火牆的重要性
1、記錄計算機網路之中的數據信息
數據信息對於計算機網路建設工作有著積極的促進作用,同時其對於計算機網路安全也有著一定程度上的影響。
通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據信息影響到計算機網路的安全。
除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網路風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控,一旦發現工作人員即將進入存在安全隱患的網站,防火牆就會立刻發出警報,藉此有效防止工作人員誤入存在安全隱患的網站,有效提高訪問工作的安全性。
3、控制不安全服務
計算機網路在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網路安全造成影響。
此外,通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網路問題給用戶帶來經濟損失。
缺點
正常狀況下,所有互聯網的數據包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸。例如在攻擊性數據包出現時,攻擊者會不時寄出數據包,讓防火牆疲於過濾數據包,而使一些合法數據包軟體亦無法正常進出防火牆。
『肆』 通過案例說明防火牆技術的具體應用
宏基恆信防火牆成功案例分析
隨著金融電子化的發展,全球金融通信網路已初具規模。某金融單位組建的計算機通信網路覆蓋全國,有力的促進了該企業各種金融業務的發展。然而網路技術的普及、網路規模的延伸,開始逐步讓該企業對網路安全提出了更高的要求。
為了進一步促進金融電子化的建設,保障金融網路安全運行,該企業經過前期充分的調研分析與論證,實施了防火牆/VPN系統建設項目。項目包括企業總部及30餘家下屬省級機構的防火牆系統實施。
系統部署結構如圖:
部署說明:
根據需求,該項目中防火牆系統保護的安全區域定義為總部及各省級機構的區域網
防火牆部署在各安全區域邊界,即區域網及外連路由器之間;
總部及各省級分支機構防火牆採用NetScreen公司產品NS-100A,共計36台;
防火牆部署採用『透明模式'模式,相當於網橋,因此無須改動該企業現有IP規劃結構,無須改動相關網路設備、主機的網路配置參數。
連接說明:
NS-100A的外埠(untrust口)相當於一般主機的網路介面,內埠(trust口)則相當於交換機埠。因此,其外埠同路由器的以太口相連要用交叉線,內埠同區域網交換機連接也要用交叉線。
對於有多個外連路由器的分支機構,需要准備一台HUB,連接時將防火牆外埠用直連線連接到該HUB上,然後再將HUB外連到各路由器。
設備管理說明:
為實現對防火牆的管理與配置,為防火牆分配一系統IP(sys-ip),該IP可為路由器內網口所在網段的任意有效IP。
對防火牆的管理通過https。
VPN系統工作模式:
說明:
VPN通道是在NetScreen防火牆之間建立,各NetScreen防火牆作為VPN網關;
VPN的部署設計採用LAN-TO-LAN的工作模式,總部和各省級分支機構之間各建一條VPN通道,省級分支機構間不建通道。
VPN的密鑰管理採用自動密鑰交換方式。
為緩解因採用VPN技術而對防火牆處理能力及網路吞吐能力的影響,只有關鍵業務採用VPN傳輸。
對防火牆系統的管理採取以下原則:
省級機構管理員管理所屬防火牆的配置和日常維護;
總部管理員管理總部所屬防火牆的配置和日常維護;
總部管理員可以監控和查看各省級分支機構的防火牆運行狀態,但沒有配置許可權。
遵循本原則,防火牆系統的管理採用集中監控,分布管理的方式,示意如圖:
技術說明:
在總部使用一台 PC 機,安裝 NetScreen 防火牆集中管理軟體 Global Manager ;
針對 Global Manager 集中監控的需要,在總部防火牆建立相應的訪問策略,允許該主機對各省級單位防火牆的相應管理服務埠的訪問;
經省級機構管理員授權,總部管理員通過該管理軟體可集中監控(查看)全 轄網路 系統部署的 NetScreen 防火牆;
總部及各省分支機構防火牆的配置維護許可權限制為各自的本地用戶。
『伍』 防火牆的作用是什麼,防火牆的主要功能作用介紹
一、防火牆的作用是什麼? 1.包過濾 具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。2.包的透明轉發 事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。3.阻擋外部攻擊 如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。4.記錄攻擊 如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。二、防火牆有哪些缺點和不足? 1.防火牆可以阻斷攻擊,但不能消滅攻擊源。「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設置了防火牆後,這512K的攻擊流量依然不會有絲毫減少。2.防火牆不能抵抗最新的未設置策略的攻擊漏洞就如殺毒軟體與病毒一樣,總是先出現病毒,殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路,那麼防火牆也沒有辦法幫到您的。3.防火牆的並發連接數限制容易導致擁塞或者溢出由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。5.防火牆對待內部主動發起連接的攻擊一般無法阻止「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內部各主機間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。6.防火牆本身也會出現問題和受到攻擊防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。7.防火牆不處理病毒不管是funlove病毒也好,還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。看到這里,或許您原本心目中的防火牆已經被我拉下了神台。是的,防火牆是網路安全的重要一環,但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選擇絕對是防火牆。那麼,怎麼選擇需要的防火牆呢?防火牆的分類介紹: 首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的組成結構而言,可分為以下三種:第一種:軟體防火牆軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。第二種:硬體防火牆這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。收藏本文章下載本文章(DOC格式)下載本文章(TXT格式)
『陸』 防火牆是如何解決網路的安全問題
防火牆最基本的功能就是控制在計算機網路中,不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。 例如:TCP/IP Port 135~139是 Microsoft Windows 的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【共享文件夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽文件夾的需求)。 防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
網路安全的屏障
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
強化網路安全策略
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
『柒』 防火牆在安全防禦中的作用。具體點!
1.什麼是防火牆
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理伺服器上的" 鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
4.設置防火牆的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務, 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。
防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟體(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火牆在大型網路系統中的部署
根據網路系統的安全需要,可以在如下位置部署防火牆:
區域網內的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。
在廣域網系統中,由於安全的需要,總部的區域網可以將各分支機構的區域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的區域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網。
總部的區域網和分支機構的區域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網。
在遠程用戶撥號訪問時,加入虛擬專網。
ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。
兩網對接時,可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT),地址映射(MAP), 網路隔離(DMZ), 存取安全控制,消除傳統軟體防火牆的瓶頸問題。
6.防火牆在網路系統中的作用
防火牆能有效地防止外來的入侵,它在網路系統中的作用是:
控制進出網路的信息流向和信息包;
提供使用和流量的日誌和審計;
隱藏內部IP地址及網路結構的細節;
『捌』 什麼是防火牆防火牆有哪些主要功能
防火牆是位於內部網和外部網之間的屏障,它按照系統管理員預先定義好的規則來控制數據包的進出。防火牆是系統的第一道防線,其作用是防止非法用戶的進入。
功能:
1、防火牆有訪問控制的功能,防火牆能夠通過包過濾機制對網路間的訪問進行控制,它按照網路管理員制定的訪問規則,通過對比數據包中的標識信息,攔截不符合規則的數據包並將其丟棄。
2、防火牆具有防禦常見攻擊的能力,它還能夠掃描通過FTP上傳與下載的文件或者電子郵件的附件,以發現其中包含的危險信息,也可以通過控制、檢測與報警的機制,在一定程度上防止或者減輕DDos的攻擊。
3、防火牆是審計和記錄Internet使用費用的一個最佳地點,網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,並能夠依據本機構的核算模式提供部門級的計費。
(8)防火牆的設備分析與網路安全應用擴展閱讀:
主要類型
1、網路層防火牆
網路層防火牆可視為一種IP封包過濾器,運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過。
其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內置的規則。
2、應用層防火牆
應用層防火牆是在TCP/IP堆棧的「應用層」上運作,您使用瀏覽器時所產生的數據流或是使用FTP時的數據流都是屬於這一層。
應用層防火牆可以攔截進出某應用程序的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
3、資料庫防火牆
資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫防火牆通過SQL協議分析,根據預定義的禁止和許可策略讓合法的SQL操作通過,阻斷非法違規操作,形成資料庫的外圍防禦圈,實現SQL危險操作的主動預防、實時審計。
資料庫防火牆面對來自於外部的入侵行為,提供SQL注入禁止和資料庫虛擬補丁包功能。
『玖』 防火牆的功能
雲防火牆主要有以下功能:
1、精細化多維管控:通過網路流量深度檢測和解析技術,能夠對應用、用戶、內容、國家地理等進行多維度的精準識別,為用戶提供了前所未有的豐富而靈活的安全管控功能;
2、全並行高性能安全:在具備全面安全防護的同時,更為用戶提供業界領先的安全性能,最大可提供80Gbps吞吐能力、90萬新建連接速率(HTTP)及3000萬並發連接數,其高吞吐、低延時、高並發等高性能優勢,可為用戶帶來更快速的安全體驗;
3、全面威脅檢測與防護:提供了基於深度應用、協議檢測和攻擊原理分析的入侵防禦技術,可有效過濾病毒、木馬、蠕蟲、間諜軟體、漏洞攻擊、逃逸攻擊等安全威脅,為用戶提供L2-L7層網路安全防護;
4、安全審計與集中管理:持系統日誌、配置日誌、流量日誌、攻擊日誌及會話日誌等類型日誌的海量信息記錄,為用戶提供上網訪問行為的監管和審計,滿足國家合規性監管要求。
『拾』 防火牆的主要功能和幾種類型
防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
主要功能:
1、入侵檢測功能
網路防火牆技術的主要功能之一就是入侵檢測功能,主要有反埠掃描、檢測拒絕服務工具、檢測CGI/IIS伺服器入侵、檢測木馬或者網路蠕蟲攻擊、檢測緩沖區溢出攻擊等功能,可以極大程度上減少網路威脅因素的入侵,有效阻擋大多數網路安全攻擊。
2、網路地址轉換功能
利用防火牆技術可以有效實現內部網路或者外部網路的IP地址轉換,可以分為源地址轉換和目的地址轉換,即SNAT和NAT。
SNAT主要用於隱藏內部網路結構,避免受到來自外部網路的非法訪問和惡意攻擊,有效緩解地址空間的短缺問題,而DNAT主要用於外網主機訪問內網主機,以此避免內部網路被攻擊。
3、網路操作的審計監控功能
通過此功能可以有效對系統管理的所有操作以及安全信息進行記錄,提供有關網路使用情況的統計數據,方便計算機網路管理以進行信息追蹤。
4、強化網路安全服務
防火牆技術管理可以實現集中化的安全管理,將安全系統裝配在防火牆上,在信息訪問的途徑中就可以實現對網路信息安全的監管。
類型
1、過濾型防火牆
過濾型防火牆是在網路層與傳輸層中,可以基於數據源頭的地址以及協議類型等標志特徵進行分析,確定是否可以通過。在符合防火牆規定標准之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
2、應用代理類型防火牆
應用代理防火牆主要的工作范圍就是在OIS的最高層,位於應用層之上。其主要的特徵是可以完全隔離網路通信流,通過特定的代理程序就可以實現對應用層的監督與控制。
這兩種防火牆是應用較為普遍的防火牆,其他一些防火牆應用效果也較為顯著,在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型,這樣才可以有效地避免防火牆的外部侵擾等問題的出現。
3、復合型
目前應用較為廣泛的防火牆技術當屬復合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那麼可以針對報文的報頭部分進行訪問控制。
如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此復合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。
(10)防火牆的設備分析與網路安全應用擴展閱讀
具體應用
1、內網中的防火牆技術
防火牆在內網中的設定位置是比較固定的,一般將其設置在伺服器的入口處,通過對外部的訪問者進行控制,從而達到保護內部網路的作用,而處於內部網路的用戶,可以根據自己的需求明確許可權規劃,使用戶可以訪問規劃內的路徑。
總的來說,內網中的防火牆主要起到以下兩個作用:一是認證應用,內網中的多項行為具有遠程的特點,只有在約束的情況下,通過相關認證才能進行;二是記錄訪問記錄,避免自身的攻擊,形成安全策略。
2、外網中的防火牆技術
應用於外網中的防火牆,主要發揮其防範作用,外網在防火牆授權的情況下,才可以進入內網。針對外網布設防火牆時,必須保障全面性,促使外網的所有網路活動均可在防火牆的監視下,如果外網出現非法入侵,防火牆則可主動拒絕為外網提供服務。
基於防火牆的作用下,內網對於外網而言,處於完全封閉的狀態,外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑,所以防火牆能夠詳細記錄外網活動,匯總成日誌,防火牆通過分析日常日誌,判斷外網行為是否具有攻擊特性。