2024年4月11日发(作者:)

防火墙入侵检测与VPN

防火墙篇

为什么要使用防火墙?

首先,联网之后计算机可能会受到大量的攻击。

其次,联网主机受到攻击的方式更加复杂。

再次,联网主机受到攻击的事件处理起来 非常困难。

最后,很多网络协议都不完善。

防火墙技术就是人们为解决这些问题而付出的努力之一。防火墙是部署在用户

内联网络和外联网络之间的一道屏障,一切内联网络和外联网络间交换的数据都应

该通过防火墙设备。以预先定义好的安全规则为标准,防火墙将通过它的数据流进

行安全检测,符合安全规则的数据流将准予放行,而不符合安全规则的数据流将被

阻隔。

第一章防火墙基础知识

防火墙的定义(从以下文字简化 概括)

从广泛、宏观的意义上说,防火墙是隔离在内部网络与外部网络之间的一个防御系

统。防火墙拥有内联网络与外联网络之间的唯一进出口,因此能够使内联网络与外

联网络,尤其是与Internet相互隔离。它通过限制内联网络与外联网络之间的访

问来防止外部用户非法使用内部资源,保护内联网络的设备不被破坏,防止内联网

络的敏感数据被窃取,从而达到保护内联网络的目的。

AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定

义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:

防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过

防火墙。

只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。

防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。

简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一

组组件集合。

防火墙的物理位置 常识

从设备部署位置上看,防火墙要部署在本地受保护区域与外部网络的交界点上。

从具体的实现上看,防火墙运行在任何要实现访问控制功能的设备上。

再次强调一下,防火墙不是万能的,为了保护内联网络的安全,使得内联网络免受

威胁和攻击,内部资源不被非法使用或恶意泄露,任何网络之间交换的数据流都必

须通过防火墙,否则将无法对数据进行监控。

下图为防火墙在网络中的常见位置:

防火墙的逻辑位置

防火墙与网络层次关系如下表所示

ISO OSI/RM七层模型

应用层

表示层

会话层

传输层

网络层

数据连路层

物理层

防火墙级别

网关级

电路级

路由器级

网桥级

中继器级

五类安全服务

1 鉴别服务用于保证通信的真实性,证实数据源和目的地是通信双方所同意的包括

对等实体鉴别和数据源鉴别;

2 访问控制服务用于保证系统的可控性,防止未授权用户对系统资源的非法使用;