A. 什麼是防火牆,以及防火牆可以實現什麼功能.
一、防火牆的基本概念
古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。現在,如果一個網路接到了Internet上面,它的用戶就可以訪問外部世界並與之通信。但同時,外部世界也同樣可以訪問該網路並與之交互。為安全起見,可以在該網路和Internet之間插入一個中介系統,豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網路對本網路的威脅和入侵,提供扼守本網路的安全和審計的唯一關卡,它的作用與古時候的防火磚牆有類似之處,因此我們把這個屏障就叫做「防火牆」。
在電腦中,防火牆是一種裝置,它是由軟體或硬體設備組合而成,通常處於企業的內部區域網與Internet之間,限制Internet用戶對內部網路的訪問以及管理內部用戶訪問外界的許可權。換言之,防火牆是一個位於被認為是安全和可信的內部網路與一個被認為是不那麼安全和可信的外部網路(通常是Internet)之間的一個封鎖工具。防火牆是一種被動的技術,因為它假設了網路邊界的存在,它對內部的非法訪問難以有效地控制。因此防火牆只適合於相對獨立的網路,例如企業內部的區域網絡等。
二、防火牆的基本准則
1.過濾不安全服務
基於這個准則,防火牆應封鎖所有信息流,然後對希望提供的安全服務逐項開放,對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效實用的方法,可以造成一種十分安全的環境,因為只有經過仔細挑選的服務才能允許用戶使用。
2.過濾非法用戶和訪問特殊站點
基於這個准則,防火牆應先允許所有的用戶和站點對內部網路的訪問,然後網路管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。這種方法構成了一種更為靈活的應用環境,網路管理員可以針對不同的服務面向不同的用戶開放,也就是能自由地設置各個用戶的不同訪問許可權。
三、防火牆的基本措施
防火牆安全功能的實現主要採用兩種措施。
1.代理伺服器(適用於撥號上網)
這種方式是內部網路與Internet不直接通訊,內部網路計算機用戶與代理伺服器採用一種通訊方式,即提供內部網路協議(NetBIOS、TCP/IP),代理伺服器與Internet之間的通信採取的是標准TCP/IP網路通信協議,防火牆內外的計算機的通信是通過代理伺服器來中轉實現的,結構如下所示:
內部網路→代理伺服器→Internet
這樣便成功地實現了防火牆內外計算機系統的隔離,由於代理伺服器兩端採用的是不同的協議標准,所以能夠有效地阻止外界直接非法入侵。
代理伺服器通常由性能好、處理速度快、容量大的計算機來充當,在功能上是作為內部網路與Internet的連接者,它對於內部網路來說像一台真正的伺服器一樣,而對於互聯網上的伺服器來說,它又是一台客戶機。當代理伺服器接受到用戶的請求以後,會檢查用戶請求的站點是否符合設定要求,如果允許用戶訪問該站點的話,代理伺服器就會和那個站點連接,以取回所需信息再轉發給用戶。
另外,代理伺服器還能提供更為安全的選項,例如它可以實施較強的數據流的監控、過濾、記錄和報告功能,還可以提供極好的訪問控制、登錄能力以及地址轉換能力。但是這種防火牆措施,在內部網路終端機很多的情況下,效率必然會受到影響,代理伺服器負擔很重,並且許多訪問Internet的客戶軟體在內部網路計算機中無法正常訪問Internet。
2.路由器和過濾器
這種結構由路由器和過濾器共同完成對外界計算機訪問內部網路的限制,也可以指定或限制內部網路訪問Internet。路由器只對過濾器上的特定埠上的數據通訊加以路由,過濾器的主要功能就是在網路層中對數據包實施有選擇的通過,依照IP(Internet Protocol)包信息為基礎,根據IP源地址、IP目標地址、封裝協議埠號,確定它是否允許該數據包通過。這種防火牆措施最大的優點就是它對於用戶來說是透明的,也就是說不須用戶輸入賬號和密碼來登錄,因此速度比代理伺服器快,且不容易出現瓶頸現象。然而其缺點也是很明顯的,就是沒有用戶的使用記錄,這樣我們就不能從訪問記錄中發現非法入侵的攻擊記錄。 ....
B. 在一個計算機網路中,"防火牆"是指( )。
A,內外網路的分界線
C. 計算機防火牆的主要作用是什麼
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2.包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3.阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?
1.防火牆可以阻斷攻擊,但不能消滅攻擊源。
「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設置了防火牆後,這512K的攻擊流量依然不會有絲毫減少。
2.防火牆不能抵抗最新的未設置策略的攻擊漏洞
就如殺毒軟體與病毒一樣,總是先出現病毒,殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路,那麼防火牆也沒有辦法幫到您的。
3.防火牆的並發連接數限制容易導致擁塞或者溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止
某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。
5.防火牆對待內部主動發起連接的攻擊一般無法阻止
「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內部各主機間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。
6.防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。
7.防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。
看到這里,或許您原本心目中的防火牆已經被我拉下了神台。是的,防火牆是網路安全的重要一環,但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。
不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選擇絕對是防火牆。那麼,怎麼選擇需要的防火牆呢?
防火牆的分類
首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的組成結構而言,可分為以下三種:
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類,因為採用的是經過裁減內核和定製組件的平台,因此國內防火牆的某些銷售人員常常吹噓其產品是「專用的os」等等,其實是一個概念誤導,下面我們提到的第三種防火牆才是真正的os專用。
第三種:晶元級防火牆
它們基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少,不過價格相對比較高昂,所以一般只有在「確實需要」的情況下才考慮。
在這里,特別糾正幾個不正確的觀念:
1.在性能上,晶元級防火牆>硬體防火牆>軟體防火牆。
在價格上看來,的確倒是如此的關系。但是性能上卻未必。防火牆的「好」,是看其支持的並發數、最大流量等等性能,而不是用軟體硬體來區分的。事實上除了晶元級防火牆外,軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆,原因1是考慮到用戶網路管理員的素質等原因,還有就是基於我國大多數民眾對「看得見的硬體值錢,看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆性能,不外是為了讓自己那加上了外殼的普通pc+一個被修改後的內核+一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶元級防火牆呢?坦白說,國內沒有公司有技術實力。而且在中國市場上來看,某些國內的所謂硬體防火牆的硬體質量連diy的兼容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡,使用過的人都能猜到是哪家,我就不點名了。真正看防火牆,應該看其穩定性和性能,而不是用軟、硬來區分的。至少,如果筆者自己選購,我會選擇購買CheckPoint而非某些所謂的硬體防火牆的。
2.在效果上,晶元防火牆比其他兩種防火牆好
這同樣也是一種有失公允的觀點。事實上晶元防火牆由於硬體的獨立,的確在OS本身出漏洞的機會上比較少,但是由於其固化,導致在面對新興的一些攻擊方式時,無法及時應對;而另外兩種防火牆,則可以簡單地通過升級os的內核來獲取系統新特性,通過靈活地策略設置來滿足不斷變化的要求,不過其OS出現漏洞的概率相對高一些。
3.唯技術指標論
請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事,是否習慣使用又是另一回事。如果對一款產品的界面不熟悉,策略設置方式不理解,那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到,肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今,市場已經很成熟了,各類產品的存在,自然有其生存於市場的理由。如何把產品用好,遠比盲目地比較各類產品好。
IDS
什麼是IDS呢?早期的IDS僅僅是一個監聽系統,在這里,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows操作系統的事件查看器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,並且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
接下來,我簡單介紹一下IDS與防火牆聯動工作原理
入侵檢測系統在捕捉到某一攻擊事件後,按策略進行檢查,如果策略中對該攻擊事件設置了防火牆阻斷,那麼入侵檢測系統就會發給防火牆一個相應的動態阻斷策略,防火牆根據該動態策略中的設置進行相應的阻斷,阻斷的時間、阻斷時間間隔、源埠、目的埠、源IP和目的IP等信息,完全依照入侵檢測系統發出的動態策略來執行。一般來說,很多情況下,不少用戶的防火牆與IDS並不是同一家的產品,因此在聯動的協議上面大都遵從 opsec 或者 topsec協議進行通信,不過也有某些廠家自己開發相應的通信規范的。目前總得來說,聯動有一定效果,但是穩定性不理想,特別是攻擊者利用偽造的包信息,讓IDS錯誤判斷,進而錯誤指揮防火牆將合法的地址無辜屏蔽掉。
因為諸多不足,在目前而言,IDS主要起的還是監聽記錄的作用。用個比喻來形容:網路就好比一片黑暗,到處充滿著危險,冥冥中只有一個出口;IDS就象一支手電筒,雖然手電筒不一定能照到正確的出口,但至少有總比沒有要好一些。稱職的網管,可以從IDS中得到一些關於網路使用者的來源和訪問方式,進而依據自己的經驗進行主觀判斷(注意,的確是主觀判斷。例如用戶連續ping了伺服器半個小時,到底是意圖攻擊,還是無意中的行為?這都依據網路管理員的主觀判斷和網路對安全性的要求來確定對應方式。)對IDS的選擇,跟上面談到的防火牆的選擇類似,根據自己的實際要求和使用習慣,選擇一個自己夠用的,會使用的就足夠了。
最後,要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題,是從設備到人,從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題;任何一個環節工作,只是邁向安全的步驟。
參考資料:TechTarget中文網
D. 關於計算機的防火牆
您好!對於防火牆的定義在各種書籍上出現了很多種:
防火牆是在Internet與Intranet之間進行訪問控制的安全網關;防火牆是增強網路間訪問控制策略的一種或一組設備;防火牆是在兩個網路之間實施訪...
E. 在計算機網路系統中,防火牆技術的原理是什麼
什麼是防火牆?
防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
F. 什麼是「防火牆」
這個你問的太籠統了 不好回答啊
不說多
慢慢說 ,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂防火牆,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你同意的人和數據進入你的網路,同時將你不同意的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
G. 防火牆主要是用來防什麼東東的
軟體防火牆 防止病毒。
硬體防火牆 防止網路攻擊 埠分配 等
H. 防火牆主要由哪幾部分組成
防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。防火牆是一種保護計算機網路安全的技術性措施,它通過在網路邊界上建立相應的網路通信監控系統來隔離內部和外部網路,以阻擋來自外部的網路入侵。
防火牆有網路防火牆和計算機防火牆的提法。網路防火牆是指在外部網路和內部網路之間設置網路防火牆。這種防火牆又稱篩選路由器。網路防火牆檢測進入信息的協議、目的地址、埠(網路層)及被傳輸的信息形式(應用層)等,濾除不符合規定的外來信息。
(8)在一個計算機網路中防火牆是指擴展閱讀
防火牆的功能:
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。