防火墻是網絡安全的重要組成部分

時間：2020-06-01 16:09:01

關鍵字：互聯網防火墻

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] 防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它可以通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況

防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它可以通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

防火墻（Firewall），是一種硬件設備或軟件系統(tǒng)，主要架設在內部網絡和外部網絡間，為了防止外界惡意程式對內部系統(tǒng)的破壞，或者阻止內部重要信息向外流出，有雙向監(jiān)督功能。藉由防火墻管理員的設定，可以彈性的調整安全性的等級。防火墻總體上分為包過濾、應用級網關和代理服務器等幾大類型。包含如下幾種核心技術：

1、包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網絡層，通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。

包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2、應用代理技術

應用代理防火墻工作在OSI的第七層，它通過檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。應用網關防火墻是通過打破客戶機／服務器模式實現的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻具有可伸縮性差的缺點。

3、狀態(tài)檢測技術

狀態(tài)檢測防火墻工作在OSI的第二至四層，采用狀態(tài)檢測包過濾的技術，是傳統(tǒng)包過濾功能擴展而來。狀態(tài)檢測防火墻在網絡層有一個檢查引擎截獲數據包并抽取出與應用層狀態(tài)有關的信息，并以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。主要特點是由于缺乏對應用層協(xié)議的深度檢測功能，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4、完全內容檢測技術

完全內容檢測技術防火墻綜合狀態(tài)檢測與應用代理技術，并在此基礎上進一步基于多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火墻里，其中還包括IPS功能，多單元融為一體，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路，(因此也被稱為“下一代防火墻技術”)。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火墻可以檢查整個數據包內容，根據需要建立連接狀態(tài)表，網絡層保護強，應用層控制細等優(yōu)點，但由于功能集成度高，對產品硬件的要求比較高。

保護脆弱的服務通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理Firewall對企業(yè)內部網實現集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內部網絡系統(tǒng)，而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網絡系統(tǒng)的有用信息，如Figer和DNS。記錄和統(tǒng)計網絡利用數據以及非法使用數據Firewall可以記錄和統(tǒng)計通過Firewall的網絡通訊，提供關于網絡使用的統(tǒng)計數據，并且，Firewall可以提供統(tǒng)計數據，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。