防火牆是什麼呢

  防火牆***Firewall***,也稱防護牆,是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。以下是防火牆的解釋,歡迎大家閱讀!

  一、什麼是防火牆  

  1、什麼是防火牆?

  防火牆是設定在被保護網路和外部網路之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。防火牆是指設定在不同網路***如可信任的企業內部網和不可信的公共網***或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出***,能根據企業的安全政策控制***允許、拒絕、監測***出入網路的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊保安服務,實現網路和資訊保安的基礎設施。

  防火牆可通過監測、限制、更改跨越防火牆的資料流,儘可能地對外部遮蔽網路內部的資訊、結構和執行狀況,以此來實現網路的安全保護。

  2、 防火牆的實質

  防火牆包含著一對矛盾*** 或 稱 機 制***:一方面它限制資料流通,另一方面它又允許資料流通。由於網路的管理機制及安全策略***security policy***不同,因此這對矛盾呈現出不同的表現形式。

  存在兩種極端的情形:第一種是除了非允許不可的都被禁止,第二種是除了非禁止不可都被允許。第一種的特點是安全但不好用,第二種是好用但不安全,而多數防火牆都在兩者之間採取折衷。

  這裡所謂的好用或不好用主要指跨越防火牆的訪問效率。在確保防火牆安全或比較安全前提下提高訪問效率是當前防火牆技術研究和實現的熱點。

  3、使用Firewall的益處

  a、保護脆弱的服務

  通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。

  b、 控制對系統的訪問

  Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的Mail Server和Web Server。

  c、 集中的安全管理

  Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統,而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟體。外部使用者也只需要經過一次認證即可訪問內部網。

  d、增強的保密性

  使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用資訊,如Figer和DNS。

  e、記錄和統計網路利用資料以及非法使用資料

  Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計資料,並且,Firewall可以提供統計資料,來判斷可能的攻擊和探測。

  f、策略執行

  Firewall提供了制定和執行網路安全策略的手段。未設定Firewall時,網路安全取決於每臺主機的使用者。

  二、防火牆的功能

  1、 防火牆是網路安全的屏障:

  一個防火牆***作為阻塞點、控制點***能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

  2、 防火牆可以強化網路安全策略:

  通過以防火牆為中心的安全方案配置,能將所有安全軟體***如口令、加密、身份認證、審計等***配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。

  3、 對網路存取和訪問進行監控審計:

  如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計資料。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細資訊。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

  4、防止內部資訊的外洩:

  通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全域性網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名,最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊,這樣一臺主機的域名和IP地址就不會被外界所瞭解。

  除了安全作用,防火牆還支援具有Internet服務特性的企業內部網路技術體系。通過,將企事業單位在地域上分佈在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通訊線路,而且為資訊共享提供了技術保障。

最近訪問