1楼:清浅水横斜
1、防火墙的基本准则
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。
当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。
2、企业网的安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
3.防火墙的基本概念
防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略。
一个有效的防火墙应该能够确保:所有从因特网流入或流向因特网的信息都将经过防火墙;所有流经防火墙的信息都应接受检查。
因特网防火墙的功能为:通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,应做日志登记;提供网络地址转换(nat)功能,有助于缓解ip地址资源紧张的问题,同时,可以避免当一个内部网更换isp时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶须,以使费用的耗费满足企业内部财政模式;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的www和ftp服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
4.防火墙的分类、作用
现有的防火墙主要有:包过滤型、**服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(packet fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以ip包信息为基础,对ip源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
**服务器型(proxy service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(proxy server)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且**服务器提供日志(log)和审计(audit)服务。
复合型(hybfid)防火墙将包过滤和**服务两种方法结合起来,形成新的防火墙,由堡垒主机(bastion host)提供**服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙(dua1-homed host firewall),它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙( screened host firewall)是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器(encryptinn router),加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
5.各类防火墙的基本功能、作用与不足
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或**服务器)以及链路层网关。
1、包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续**,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定tcp
防火墙技术的基本分类有哪些
2楼:云端科技
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于pc架构,就是说,它们和普通的家庭用的pc没有太大区别。在这些pc架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的unix、linux和freebsd系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和dmz区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的asic芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有***screen、forti***、cisco等。
这类防火墙由于是专用os(操作系统),因此防火墙本身的漏洞比较少,不过**相对比较高昂。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用**型”两大类。前者以以色列的checkpoint防火墙和美国cisco公司的pix防火墙为代表,后者以美国nai公司的gauntlet防火墙为代表。
防火墙的主要功能和几种类型?
3楼:巴巴拉小白兔
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
主要功能:
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测cgi/iis服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的ip地址转换,可以分为源地址转换和目的地址转换,即snat和nat。
snat主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而dnat主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
类型1、过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
2、应用**类型防火墙
应用**防火墙主要的工作范围就是在ois的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的**程序就可以实现对应用层的监督与控制。
这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
3、复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用**防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制。
如果安全策略是**策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
扩展资料
具体应用
1、内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。
总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。
2、外网中的防火墙技术
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。
基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
4楼:匿名用户
防火墙的主要功能包括以下几个方面:
1过滤掉不安全的服务和非法用户;
2防止入侵者进入内部网络;
3限定对特殊站点的访问;
4监视局域网的安全。
5防火墙具有的功能包括:
6访问控制功能。
防火墙的类型:包过滤型、**服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(packet fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以ip包信息为基础,对ip源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
**服务器型(proxy service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(proxy server)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且**服务器提供日志(log)和审计(audit)服务。
复合型(hybfid)防火墙将包过滤和**服务两种方法结合起来,形成新的防火墙,由堡垒主机(bastion host)提供**服务。
windows防火墙和瑞星防火墙的优缺点
1楼 安徽电信网上营业厅 对于没有防火墙的家庭用户来说,blackice是一道不可缺少的防线 而对于企业网络,它又增加了一层保护措施 它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。blackice集成有非常强大的检测和分析引擎,可以识别200多种入侵技巧,会给出全面的网络检测以及系统防护,还...