|
知识路径: > 防火墙技术原理与应用 > 防火墙概述 > 防火墙工作原理 >
|
相关知识点:3个
|
|
|
|
防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与因特网或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如下图所示。
|
|
|
|
|
防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如下图所示。防火墙的安全策略有两种类型:
|
|
|
(1)白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止;
|
|
|
(2)黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。
|
|
|
|
|
防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能主要有以下几个方面。
|
|
|
. 过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。
|
|
|
. 限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、WWW服务器等可让外部网访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。
|
|
|
. 网络访问审计。防火墙是外部网络与受保护网络之间的唯一网络通道,可以记录所有通过它的访问,并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。
|
|
|
. 网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。
|
|
|
. 协同防御。防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。
|
|
|