|
|
防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合。它对两个或多个网络之间的通信进行控制,通过强制实施统一的安全策略,来防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
|
|
|
|
防火墙的相关概念有非信任网络(公共网络)、信任网络(内部网络)、DMZ(非军事化区)、可信主机、非可信主机、公网IP地址、保留IP地址、包过滤、地址转换。
|
|
|
(1)非信任网络(公共网络)。处于防火墙之外的公共开放网络,一般指Internet。
|
|
|
(2)信任网络(内部网络)。位于防火墙之内的可信网络,是防火墙要保护的目标。
|
|
|
(3)DMZ(非军事化区)。也称周边网络,可以位于防火墙之外,也可以位于防火墙之内。安全敏感度和保护强度较低。非军事化区一般用来放置提供公共网络服务的设备。这些设备由于必须被公共网络访问,所以无法提供与内部网主机相等的安全性。
|
|
|
(4)可信主机。位于内部网的主机,且具有可信任的安全特性。
|
|
|
|
(6)公网IP地址。由Internet信息中心统一管理分配的IP地址,可在Internet上使用。
|
|
|
(7)保留IP地址。专门保留用于内部网的IP地址。可以由网络管理员任意指派,在Internet上不可识别和不可路由,如192.168.0.0和10.0.0.0等地址网段。
|
|
|
(8)包过滤。防火墙对每个数据包进行允许或拒绝的决定。具体地说,就是根据数据包的头部按照规则进行判断,决定继续转发还是丢弃。
|
|
|
(9)地址转换。防火墙将内部网主机不可路由的保留地址转换成公共网络可识别的公共地址,可以达到节省IP和隐藏内部网络拓扑结构信息等目的。
|
|
|
|
|
(1)对进出的数据包进行过滤,过滤掉不安全的服务和非法用户。
|
|
|
(2)监视Internet安全,对网络攻击行为进行检测和报警。
|
|
|
|
(4)控制对特殊站点的访问,封堵某些禁止的访问行为。
|
|
|
(5)防火墙能强化安全策略,执行系统规定的规则,仅允许符合规则的信息通过。
|
|
|
(6)防火墙能有效地记录Internet上的活动。因为所有进出的信息都需要经过防火墙,所以防火墙可以记录信任网络和非信任网络之间发生的各种事件。
|
|
|
(7)防火墙是一个安全策略的边防站。因为所有进出内部网的信息都必须通过防火墙,所以防火墙便成为一个安全检查站,能够把可疑的连接或者访问拒之门外。
|
|
|
|
(1)防火墙不能防范不经过防火墙的攻击。未经过防火墙的数据,防火墙无法检查,如拨号上网。
|
|
|
(2)防火墙不能解决来自内部网络的攻击和安全问题。对于防火墙内部各主机间的攻击行为,防火墙就爱莫能助。
|
|
|
(3)防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。因为防火墙的各种策略是在某攻击方式经过专家分析后给出其特征而设置的。
|
|
|
(4)防火墙不能防止人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。
|
|
|
(5)防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议而实现的,因此就无法解决TCP/IP操作的漏洞,如DoS或DDoS攻击。
|
|
|
(6)防火墙对服务器合法开放的端口的攻击大多无法阻止。
|
|
|
(7)防火墙不能防止受病毒感染的文件传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。
|
|
|
(8)防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或复制到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
|
|
|
(9)防火墙不能防止内部的泄密行为。对于内部的一个合法用户主动泄密,防火墙是无能为力的。
|
|
|
(10)防火墙不能防止对本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己,因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙也有一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞和Bug,所以其本身也可能受到攻击和出现软件和硬件方面的故障。
|
|
|
|
根据防火墙实现原理的不同,通常将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙3类。
|
|
|