|
防火墙Firewall的概念和类型
|
|
来源: 作者: 发布时间:2007-09-24
|
|
 |
教学目标 |
|
教学内容 |
| |
|
防火墙的概念与功能特点 |
| |
|
通过防火墙可以定义一个关键点防止外来入侵;监控网络的安全,若有异常给出报警提示;提供网络地址转换功能,缓解IP地址资源紧张;集中化的安全管理;对网络访问进行记录和统计。
防火墙的基本准则为:过滤不安全服务;过滤非法用户和访问特殊站点。 |
| |
|
防火墙的基本类型 |
| |
|
防火墙大致可划分为三类:包过滤防火墙、代理服务器防火墙、状态监视器防火墙。 |
|
|
防火墙产品选购策略和使用
|
| |
|
国外较好的防火墙产品有Checkpoint Firewall(美国老牌)、NetScreen(完全基于硬件)。国内防火墙产品中较好的有天融信网络卫士、东大阿尔派网眼(适用于交换路由双环境)、清华紫光UnisFirewall(定位于大型ISP)等。
|
| |
 |
防火墙技术的发展方向
|
|
|
未来的防火墙应该既有高安全性又有高效率。 | |
|
在古代,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能防止火势蔓延到其它寓所,这道砖墙称为防火墙。
1. 防火墙的定义
在计算机科学中,防火墙是具有以下特征的计算机硬件或软件:
☆ 由内到外和由外到内的所有访问都必须通过它;
☆ 只有本地安全策略所定义的合法访问才被允许通过它;
☆ 防火墙本身无法被穿透。
2. 防火墙的功能特点
防火墙的功能特点为:通过防火墙可以定义一个关键点防止外来入侵;监控网络的安全,若有异常给出报警提示;提供网络地址转换功能,缓解IP地址资源紧张;集中化的安全管理;对网络访问进行记录和统计。
防火墙的基本准则为:过滤不安全服务;过滤非法用户和访问特殊站点。 |
| 防火墙的基本类型 |
| |
|
防火墙大致可划分为三类:包过滤防火墙、代理服务器防火墙、状态监视器防火墙。
1. 包过滤防火墙
(1) 包过滤防火墙的工作原理
采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
(2) 包过滤防火墙的优缺点
包过滤防火墙最大的优点是:价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。但它也有一些缺点:包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。
2. 代理服务器防火墙
(1) 代理服务器防火墙的工作原理
代理服务器运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。
(2) 代理服务器防火墙的优缺点
代理服务器防火墙的优点:可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;可用于实施较强的数据流监控、过滤、记录和报告等。它的缺点:使访问速度变慢,因为它不允许用户直接访问网络;应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件,这会带来兼容性问题。
3. 状态监视器防火墙
(1) 状态监视器防火墙的工作原理
这种防火墙安全特性较好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考。
(2) 状态监视器防火墙的优缺点
状态监视器防火墙的优点:检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充;它会监测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口;防范攻击较坚固。它的缺点:配置非常复杂、会降低网络的速度。 |
| 防火墙产品选购策略和使用 |
| |
|
1. 常见防火墙产品
随着国内安全市场的兴旺,防火墙产品也层出不穷。国外较好的有Checkpoint Firewall(美国老牌)、NetScreen(完全基于硬件)。国内产品中较好的有天融信网络卫士、东大阿尔派网眼(适用于交换路由双环境)、清华紫光UnisFirewall(定位于大型ISP)等。
2. 防火墙的选购策略
在购买防火墙时,要注意
☆ 购买防火墙之前,首先要知道防火墙的最基本性能。
☆ 选购防火墙前,还应认真制定安全政策,也就是要制定一个周密计划。
☆ 在满足实用性、安全性的基础上,还要考虑经济性。
3. 防火墙的使用
不同类型的防火墙,在不同网络系统中所起的作用也不同。一些防火墙在同一网络系统中的不同位置,作用也不同。所以防火墙的安装要由软件提供商来指导,并对网络管理员进行培训。
在日常的使用中,要注意实施定时的扫描和检查,发现系统有问题及时排除故障和恢复系统;保证系统监控及防火墙之间的通信线路能够畅通无阻;全天候对主机系统进行监控、管理和维护。
|
| 防火墙技术的发展方向 |
| |
|
目前防火墙在安全性、效率和功能方面还存在一定矛盾。防火墙的技术结构,一般来说安全性高的效率较低,或者效率高的安全性较差。未来的防火墙应该既有高安全性又有高效率。重新设计技术架构,比如在包过滤中引入鉴别授权机制、复变包过滤、虚拟专用防火墙、多级防火墙等将是未来可能发展的方向。
|
共2页: 上一页 1 [2] 下一页 |
| |
|
[ 收藏]
[ 推荐]
[ 评论(0条)]
[返回顶部] [打印本页]
[关闭窗口] |
|
|
| |
|
|
 |
|
主题推广 |
|
|
|
|
|
