1、防火墙定义
防火墙是在内部网与外部网之间实施安全防范的系统, 可被认为是一种访问 控制机制, 用于确定哪些内部服务允许外部访问, 以及允许哪些外部服务访问内 部服务。
2、防火墙的基本准则
①一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后 对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的 环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使 用的方便性,用户所能使用的服务范围受限制。
②一切未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后 逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户 提供更多的服务,其弊病是,在日益增多的网络服务面前,网管人员疲于奔命,特 别是受保护的网络范围增大时, 很难提供可靠的安全防护。
3、防火墙的基本类型
① 包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商
用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过 滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMP
/IP Tunnel)、端口号等进行筛选。
② 代理服务型(Proxy Service): 代理服务型防火墙通常由两部分构成:
服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中
间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与 外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
③复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成 新的防火墙, 所用主机称为堡垒主机(Bastion Host),负责提供代理服务
④其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙 。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上
运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏 蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时 ,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确 保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密
路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进 行解压缩和解密。
4、防火墙的局限性 防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从 Internet服务
提供商那里购置直接的SLIP或PPP连接,则绕过了防火墙 系统所提供的安全保护,
从而造成了一个潜在的后门攻击渠道。防火墙不能防范人为因素的攻击。防火墙
不能防止由内奸或用户误操作造成的威胁,以及由于口令泄露而受到的攻击。防火
墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、二进制文件
类型(加密、压缩)的种类太多且更新很快, 所以防 火墙无法逐个扫描每个文件以
查找病毒。防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据 邮寄
或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。例如,一种
数据驱动式的攻击可以使主机修改与系统安全有关的配置文件,从而使入侵者下一
次更容易攻击该系统。
防火墙是在内部网与外部网之间实施安全防范的系统, 可被认为是一种访问 控制机制, 用于确定哪些内部服务允许外部访问, 以及允许哪些外部服务访问内 部服务。
2、防火墙的基本准则
①一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后 对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的 环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使 用的方便性,用户所能使用的服务范围受限制。
②一切未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后 逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户 提供更多的服务,其弊病是,在日益增多的网络服务面前,网管人员疲于奔命,特 别是受保护的网络范围增大时, 很难提供可靠的安全防护。
3、防火墙的基本类型
① 包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商
用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过 滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMP
/IP Tunnel)、端口号等进行筛选。
② 代理服务型(Proxy Service): 代理服务型防火墙通常由两部分构成:
服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中
间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与 外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
③复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成 新的防火墙, 所用主机称为堡垒主机(Bastion Host),负责提供代理服务
④其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙 。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上
运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏 蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时 ,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确 保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密
路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进 行解压缩和解密。
4、防火墙的局限性 防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从 Internet服务
提供商那里购置直接的SLIP或PPP连接,则绕过了防火墙 系统所提供的安全保护,
从而造成了一个潜在的后门攻击渠道。防火墙不能防范人为因素的攻击。防火墙
不能防止由内奸或用户误操作造成的威胁,以及由于口令泄露而受到的攻击。防火
墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、二进制文件
类型(加密、压缩)的种类太多且更新很快, 所以防 火墙无法逐个扫描每个文件以
查找病毒。防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据 邮寄
或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。例如,一种
数据驱动式的攻击可以使主机修改与系统安全有关的配置文件,从而使入侵者下一
次更容易攻击该系统。
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货