一、什么是防火墙?
防火墙(英语:Firewall)是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
基本定义:防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
功能:防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
二、网络防火墙的作用是什么?
防火墙(Firewall)是指一个由软件或硬件设备组合而成,处于企业或网络群体电脑与外界通道之间,用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
一般防火墙具备以下特点:
广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览、HTIP服务、FIP服务等;通过对专用数据的加密支持,保证通过Internet进行的虚拟专用网商务活动不受破坏;客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;反欺骗。欺骗是从外部获取网络访问权的常用手段,它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则:一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反,它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息,起初这堵墙几乎不起作用,如同虚设;然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留。但是就怕漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
正因为安全领域中有许多变动的因素,所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:
安全=风险分析+执行策略+系统实施+漏洞监测+实时响应从而满足综合性与整体性相结合的要求。
现有的防火墙技术主要有两大类:数据包过滤技术和代理服务技术。第一类是数据包过滤技术(PacketFilter)。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术(ProXyService)。这是一种基于代理服务器的防火墙技术,通常由两部分构成--客户与代理服务器连接,代理服务器再与外部服务器连接,而内部网络与外部网络之间没有直接的连接关系。
防火墙是有其局限性的:
防火墙不能防止绕过防火墙的攻击。比如,一个企业内联网设置了防火墙,但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接,绕过了企业内联网的保护,为该网留下了一个供人攻击的后门,成了一个潜在的安全隐患。
防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘,因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏,防火墙是无能为力的。
防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
目前市场上很多流行的安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击,一旦外部侵入者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦侵入者骗过了认证系统,那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行深入检测和分析,那么网络传输速度势必受到影响。
静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响,任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。
针对静态安全技术的不足,许多世界网络安全和管理专家都提出了各自的解决方案,如NAI为传统的防火墙技术做出了重要的补充和强化,其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。
三、什么是网络防火墙
网络防火墙(外文名:Internet Firewall)是一种用来加强网络之间访问控制的特殊网络互联设备。 网络防火墙对流经它的网络通信进行扫描,过滤掉一些攻击。它还可以关闭不使用的端口,禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
四、什么是网络防火墙?
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象,真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
五、网络防火墙是指什么?
防火墙(Firewall)是指一个由软件或硬件设备组合而成,处于企业或网络群体电脑与外界通道之间,用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
一般防火墙具备以下特点:
广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览、HTIP服务、FIP服务等;通过对专用数据的加密支持,保证通过Internet进行的虚拟专用网商务活动不受破坏;客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;反欺骗。欺骗是从外部获取网络访问权的常用手段,它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则:一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反,它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息,起初这堵墙几乎不起作用,如同虚设;然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留。但是就怕漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
正因为安全领域中有许多变动的因素,所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:
安全=风险分析+执行策略+系统实施+漏洞监测+实时响应从而满足综合性与整体性相结合的要求。
现有的防火墙技术主要有两大类:数据包过滤技术和代理服务技术。第一类是数据包过滤技术(PacketFilter)。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术(ProXyService)。这是一种基于代理服务器的防火墙技术,通常由两部分构成--客户与代理服务器连接,代理服务器再与外部服务器连接,而内部网络与外部网络之间没有直接的连接关系。
防火墙是有其局限性的:
防火墙不能防止绕过防火墙的攻击。比如,一个企业内联网设置了防火墙,但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接,绕过了企业内联网的保护,为该网留下了一个供人攻击的后门,成了一个潜在的安全隐患。
防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘,因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏,防火墙是无能为力的。
防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
目前市场上很多流行的安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击,一旦外部侵入者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦侵入者骗过了认证系统,那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行深入检测和分析,那么网络传输速度势必受到影响。
静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响,任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。
针对静态安全技术的不足,许多世界网络安全和管理专家都提出了各自的解决方案,如NAI为传统的防火墙技术做出了重要的补充和强化,其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。
六、什么是防火墙?防火墙的类型有哪些
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙的主要类型
1、过滤防火墙
过滤防火墙,顾名思义,就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则,对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行,如果数据包不满足过滤规则,就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头IP地址,目的IP地址,数据包遵守的协议,端口号等特征来完成。第一代的防火墙就属于过滤防火墙。
2、应用网关防火墙
已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和IP层。与之不同的是,应用网关防火墙主要工作在最上层应用层。不仅如此,相比于基于过滤的防火墙来说,应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析,应用网关服务器在应用层上进行危险数据的过滤,分析内部网络应用层的使用协议,并且对计算机网络内部的所有数据包进行分析,如果数据包没有应用逻辑则不会被放行通过防火墙。
3、服务防火墙
上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景,服务防火墙主要用于服务器的保护中。在现在的应用软件中,往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中。
4、监控防火墙
如果说之前介绍的防火墙都是被动防守的话,那么监控防火墙则是不仅仅防守,还会主动出击。一方面监控防火墙可以像传统的防火墙一样,过滤网络中的有害数据。另一方面,监控防火墙可以主动对数据进行分析和测试,得到网络中是否存在外部攻击。这种防火墙对内可以过滤,对外可以监控。从技术上来说,是传统防火墙的重大升级。
5、应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
以上内容参考:百度百科-防火墙、百度百科-防火墙技术
