|
防火墙是一种特殊的设备(通常是一个路由器,也可能只是一台运行专用软件的PC),它有选择地过滤或阻塞网络间的流量。通常防火墙都是硬件和软件的结合(如路由器的操作系统和配置),它可能位于两个互相连接的私有网络处,更常见的是在一个私有网络与一个公共网络(比如Internet)连接处。下图所示为常见防火墙的示意图。
|
|
|
|
|
通过在网络中设置防火墙,可以过滤网络通信的数据包,对非法访问加以拒绝。系统设置防火墙后,可以为网络提供各种保护,主要包括以下几个方面的内容。
|
|
|
|
|
|
|
|
|
|
|
利用防火墙技术,通常能够在内外网之间提供安全保护。但是,仅仅使用防火墙保证网络安全还远远不够,原因如下所述。
|
|
|
◆入侵者可寻找防火墙背后可能敞开的后门。网络结构的改变,有时会造成防火墙上的安全策略失效。
|
|
|
◆入侵者可能就在防火墙内。在每个企业的内部网络中,每个内部网段上除连接着业务主机外,还有许多工作站,这些工作站与主机的通信不需要通过防火墙。如果攻击行为是从这些工作站上发起的,主机将处于无保护的状态。
|
|
|
◆由于性能的限制,防火墙不能提供实时的入侵检测能力。
|
|
|
单一应用防火墙技术,以上问题是不能得到有效解决的。如果公司在重要主机上安装实时入侵检测系统就可以解决由上述情况引起的安全问题。
|
|
|