2023年12月30日发(作者:)

2018-07-03

1.所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

2. 为什麼需要防火墙?

A:Internet防火墙主要是为了防范黑客三种蓄意破坏的方式:

(1)入侵:常见的破坏方式,入侵后就可以正当使用电脑。入侵者希望自己能变成合法的使用者,任意使用电脑。

(2)拒绝服务:容易且不直接破坏系统的方式,黑客只要发出如洪水般的垃圾封包就可以瘫痪某部电脑,使得系统无法正常提供服务。

(3)资讯窃盗:黑客窃取使用者的帐号及密码,就可以进入电脑窃取所需的资讯。

3.防火墙能作些什麼?

(1)防火墙是保全决策的重点

防火墙为一个咽喉点,所有进入和出去的传输都必须通过这个狭窄、唯一的检查点,在网路安全防护上,防火墙提供非常大的杠杆效益,因为它把安全措施集中在这个检查点上。

(2)防火墙可以执行保全政策

防火墙强制执行站台的保全政策,只让『核准的』服务通过,而这些服务设定在Policy中。

(3)防火墙能有效率的记录Internet的活动

由於所有的传输都经过防火墙,所以它成为收集系统和网路的使用或误用资讯的地点。

(4)防火墙可以减少网路暴露的危机

防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝,避免有问题的封包影响到内部主机的安全。

4.防火墙无法作些什麼?

(1)防火墙管不到内部恶人

如果恶人已经在防火墙内可以无须接近防火墙,就可以偷窃资料、损坏硬体和软体,并巧妙的修改程式。内部威胁需要内部安全措施,例如机房安全管理措施及人员训练

(2)防火墙管不到不经过它的连线

对於不经过防火墙的传输,防火墙就无法发挥作用。例如某些站台允许直接通到内部主机的拨入存取或是技术及系统管理者会为他们自己设置进入网路的『后门』等。

(3)防火墙无法防范全新的威胁

防火墙的设计是为了防范已知的威胁,一个设计完善的防火墙或许可以防范一些新威胁,如:除了少数可靠的服务外,拒绝一切其他的服务就可以防止使用者设置新的极不安全的服务。

(4)防火墙无法防范病毒

防火墙无法防范PC和Macintosh病毒进入网路,虽然防火墙会就来源位址、目的位址及port号码作扫描,但不是细部资料,且使用精巧的封包过滤或代理软体对於防火墙而言也不太实际。

防火墙的用途和作用

Internet的发展给企业带来了革命性的改革和开放,企业正努力通过利用它来提高市场反应速度和办事效率,以便更具竞争力。企业通过Internet,可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加注安全的“战壕”,而这些“战壕”又要在哪里修建呢?

基于Internet体系应用有两大部分:Intranet和Extranet。Intranet是借助Internet的技术和设备在Internet上面构造出企业3W网,可放入企业全部信息;而Extranet是在电子商务、互相合作的需求下,用Intranet间的通道,可获得其它体系中部分信息。因此按照一个企业的安全体系可知防火墙战壕须在以下位置上位置:

①保证对主机和应用安全访问;

②保证多种客户机和服务器的安全性;

③保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与远程访问的雇员、客户、供应商提供安全通道。同时防火墙的安全性还要来自其良好的技术性能。

一般防火墙具备以下特点:

①广泛的服务支持,通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等;

②对私有数据的加密支持,保证通过Internet进行虚拟私人网络和商务活动不受损坏;

③客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网 与分支机构、商业伙伴和移动用户间安全通信的附加部分;

④反欺骗,欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。Firewall-1能监视这样的数据包并能扔掉它们;C/S 模式和跨平台支持,能使运行在一平台的管理模块控制运行在另一平台的监视模块。Solstice Firewall-1 特点还有取消了监视期间数据拷贝和正文转换操作,仅产生可忽略的网络等待时间,因而获得极大的以太网速度;并能容易扩展到几千个用户,而对网络性能影响极小。