下载文档原格式
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
防火墙FireWall Westone Legend Maker防火墙防火墙设置在不同网络域(如可信任的企业内部网和不可信的公共网)之间,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
防火墙策略防火墙采用的阻断策略与放行策略•所有进出网络的数据流必须经过防火墙•所有穿过防火墙的数据流必须匹配安全策略防火墙的作用•信息隐藏•安全通信•入侵检测•审记预警互联网防火墙WLM防火墙基本功能概述•实时的连接状态监控功能•动态过滤技术•基于网络IP和MAC地址绑定的包过滤•网络地址转换(NAT)•透明代理(Transparent Proxy)•URL级的信息过滤•流量控制管理•支持IDS互动•基于SSL的远程管理•认证、授权、记帐(AAA)•抗攻击和自我保护能力•工作模式的多样性•支持双机热备份功能•审计和告警功能•安全的网络结构和安全的体系结构•提供操作简单的图形化用户界面对防火墙进行配置实时的连接状态监控功能•基于连接的状态检查,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表•通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,大大的提高了系统的性能和安全性•连接状态表里的记录可以随意排列,提高系统查询效率•对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,对连接过程状态进行监控动态过滤技术•利用静态规则打开的极少数端口,作动态的分析,适时打开所需端口,服务结束后,自动关闭端口•这样,尽可能地消除“开口”隐患包过滤技术定制数据包过滤规则,除了对源/目的地址,端口的控制外,还可以对服务,协议,传输方向,源路由以及时间的访问控制。
MAC地址绑定将内部网络接口的IP地址同它的硬件物理地址(MAC地址)进行绑定的功能,防止IP地址盗用。
同时提供一种自动搜索局域网内给定网段的MAC地址的方法,自动获取所有IP地址对应的MAC地址。
电脑防火墙基础知识所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.下面就让小编带你去看看电脑防火墙基础知识,希望能帮助到大家!电脑小知识:计算机防火墙到底是什么?能不能阻止黑客的入侵?在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
作用防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
从类型上来说我们主要是分为两种网络层防火墙网络层防火墙[3]可视为一种IP 封包过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的TCP/IP 协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是FTP)。
也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。
防火墙主要由四个部分组成:服务访问规则、验证工具、包过滤和应用网关。
所有计算机的一切输入输出的网络通信和数据包都要经过防火墙。
下面就让带你去看看防火墙的基础知识科普,希望能帮助到大家!网络基础知识:TCP协议之探测防火墙为了安全,主机通常会安装防火墙。
防火墙设置的规则可以限制其他主机连接。
例如,在防火墙规则中可以设置IP地址,允许或阻止该IP地址主机对本机的连接;还可以设置监听端口,允许或阻止其他主机连接到本地监听的端口。
为了清楚地了解目标主机上是否安装防火墙,以及设置了哪些限制,netwo__工具提供了编号为76的模块来实现。
它通过发送大量的TCP[SYN]包,对目标主机进行防火墙探测,并指定端口通过得到的响应包进行判断。
如果目标主机的防火墙处于关闭状态,并且指定的端口没有被监听,将返回[RST,ACK]包。
如果目标主机上启用了防火墙,在规则中设置了端口,阻止其他主机连接该端口,那么在探测时将不会返回响应信息。
如果设置为允许其他主机连接该端口,将返回[SYN,ACK]包。
如果在规则中设置了IP地址,并允许该IP地址的主机进行连接,探测时返回[SYN,ACK]包;当阻止该IP地址的主机进行连接,探测时将不会返回数据包。
由于它可以发送大量的TCP[SYN]包,用户还可以利用该模块实施洪水攻击,耗尽目标主机资源。
在主机192.168.59.131上对目标主机192.168.59.133进行防火墙探测。
1)向目标主机端口2355发送TCP[SYN]包,探测是否有防火墙。
执行命令如下:root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355执行命令后没有任何输出信息,但是会不断地向目标主机发送TCP[SYN]包。
2)为了验证发送探测包情况,可以通过Wireshark抓包进行查看,如图1所示。
其中,一部分数据包目标IP地址都为192.168.59.133,源IP地址为随机的IP地址,源端口为随机端口,目标端口为2355。
关于防火墙知识点总结一、防火墙的工作原理防火墙的目标是保护内部网络免受来自外部网络的威胁,同时允许合法的流量流入和离开网络。
它通过成为网络流量的监视者和过滤者来实现这一目的。
当一台主机发送一个数据包时,防火墙会检查数据包的源地址、目的地址、端口、协议类型等信息,并根据预设的规则来决定是否允许数据包通过。
防火墙通常使用两种基本的过滤策略:包过滤和状态检测。
包过滤是根据数据包的目的地址、源地址、端口和协议类型等信息对数据包进行过滤。
状态检测则是通过监视网络连接的状态来判断是否允许数据包通过。
这两种过滤策略可以根据网络的需求和安全级别来选择使用,以确保网络的安全性。
二、防火墙的类型根据工作原理和应用场景的不同,防火墙可以分为软件防火墙和硬件防火墙。
软件防火墙通常是安装在服务器操作系统上的防火墙软件,可以通过设置规则来对网络流量进行过滤。
硬件防火墙是一种独立的网络安全设备,通常集成了包过滤、状态检测、入侵检测等功能,可以独立工作并保护整个网络。
另外,根据其部署方式,防火墙又可以分为边界防火墙、主机防火墙和内部防火墙。
边界防火墙通常部署在网络的边界处,用于保护整个网络免受外部网络的威胁。
主机防火墙是部署在单个主机上的防火墙软件,用于保护特定的主机或者服务器。
内部防火墙用于网络内部不同安全级别的区域之间的流量过滤,避免高危区域对低危区域的威胁。
三、防火墙的应用场景防火墙在网络安全中起着至关重要的作用,在各种网络环境中被广泛应用。
以下是一些常见的防火墙应用场景:1. 企业网络安全:企业网络中通常会配置边界防火墙来保护整个内部网络免受来自外部网络的威胁。
此外,还可以使用主机防火墙来保护各个服务器或者终端设备的安全。
2. 云计算环境:随着云计算的发展,各种云平台都提供了防火墙服务,用于保护云上资源的安全。
用户可以根据自己的需求设置防火墙规则,保证云上应用的安全。
3. 无线网络安全:在无线网络中,防火墙可以对无线信号进行过滤,阻止非法的设备接入网络,并保护网络不受来自无线网络的攻击。
常用网络防火墙管理命令与技巧随着网络安全威胁的不断增加,网络防火墙成为保护企业和个人信息安全的关键设备之一。
网络防火墙管理命令和技巧是网络安全人员必备的知识和技能。
本文将介绍一些常用的网络防火墙管理命令和技巧,以帮助读者更好地保护网络安全。
一、防火墙基础知识在介绍网络防火墙管理命令和技巧之前,我们首先来了解一些防火墙的基础知识。
防火墙是一种网络安全设备,通过过滤和控制网络流量来保护网络免受未经授权的访问和攻击。
防火墙的主要功能包括网络流量过滤、访问控制、入侵检测和阻止、虚拟专用网络(VPN)等。
二、常用管理命令1. 查看防火墙状态:通过命令"show firewall"或"showsecurity policy"可以查看当前防火墙的状态,包括已配置的策略、连接状态和其他相关信息。
2. 添加和删除防火墙策略:通过命令"set firewall policy"可以添加或修改防火墙策略,通过命令"delete firewall policy"可以删除已有的防火墙策略。
3. 配置网络地址转换(NAT):通过命令"set firewall nat"可以配置网络地址转换,将内部IP地址映射为外部可公开访问的IP地址,以保护内部网络的安全。
4. 管理入侵检测系统(IDS):通过命令"set security ips"可以配置入侵检测系统,对网络中的异常流量进行识别和阻止,以防止潜在的攻击。
三、常用管理技巧1. 命令行快捷键:在配置防火墙时,使用命令行界面是一个高效的方式。
掌握一些常用的命令行快捷键,如Tab键自动补全命令、Ctrl+C中断执行、Ctrl+Z挂起执行等,可以提高工作效率。
2. 使用正则表达式:正则表达式是一种强大的文本模式匹配工具,在防火墙管理中可以用于配置策略、过滤日志等。
例如,通过使用正则表达式可以迅速过滤出指定源IP或目标端口的网络流量。
网络安全防火墙知识点总结一、概述网络安全防火墙是网络安全的重要组成部分,它起到了阻止未经授权的访问和保护网络免受恶意攻击的作用。
通过对网络数据流量进行过滤和监控,防火墙可防止恶意攻击者进入网络,并保护敏感信息免受攻击。
随着网络的不断发展和应用范围的不断扩大,网络安全防火墙的重要性日益凸显。
本文将介绍网络安全防火墙的各种知识点,包括工作原理、分类、应用场景、选择方法等,以便读者更好地理解和应用网络安全防火墙。
二、工作原理网络安全防火墙是一种网络安全设备,其工作原理是通过过滤、阻止和监控网络数据流量,为网络提供安全保护。
当网络数据流经防火墙时,防火墙会对数据包进行分析,根据预先配置的安全策略对数据包进行处理,从而实现对网络数据流量的控制和管理。
具体来说,网络安全防火墙主要通过以下几种方式来实现对网络数据流量的过滤和监控:1. 状态检测:防火墙可以通过检测数据包的状态(如连接状态、会话状态等)来确定是否允许通过。
2. 地址转换:防火墙可以对数据包的源地址或目的地址进行转换,从而隐藏内部网络的真实地址。
3. 端口过滤:防火墙可以根据端口号对数据包进行过滤,对特定端口的数据包进行拦截或放行。
4. 内容过滤:防火墙可以通过检测数据包中的内容(如协议、关键词等)来进行过滤,对不合规的内容进行拦截或放行。
5. 应用层过滤:防火墙可以对数据包进行深度分析,对特定应用层协议(如HTTP、FTP、SMTP等)进行过滤和检测。
通过上述方式,网络安全防火墙可以实现对网络数据流量的精细化控制和管控,从而保护网络安全。
三、分类根据不同的分类标准,网络安全防火墙可以分为多种类型。
常见的分类方式包括按工作层次、按功能特点、按部署位置等。
1. 按工作层次分类根据工作层次的不同,网络安全防火墙可以分为以下几种类型:(1)包过滤型防火墙包过滤型防火墙是最早出现的一种防火墙,它主要根据协议、端口号等基本信息对数据包进行过滤。
由于其工作在网络层(第3层),因此它的性能比较高,但安全性相对较低。
防火墙的基础知识大全什么是防火墙? 防火墙是使用一段"代码墙"把你的电脑和internet 分隔开。
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。
下面就让小编带你去看看关于防火墙的基础知识大全吧,希望能帮助到大家!都0202了,这些防火墙的知识你还不懂吗?硬件防火墙的原理软件防火墙及硬件防火墙中还有的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定,直接关系到整个内部网络的安全。
因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
4种类型(1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(3)状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
电脑防火墙的相关知识介绍今天店铺要跟大家介绍下电脑防火墙的相关知识,下面就是店铺为大家整理到的资料,请大家认真看看!电脑防火墙的相关知识介绍防火墙 (网络术语)防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种位于内部网络与外部网络之间的网络安全系统。
一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
什么是防火墙XP系统相比于以往的Windows系统新增了许多的网络功能(Windows 7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。
防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
ICF工作原理ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。
为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。
在单独的计算机中,ICF将跟踪源自该计算机的通信。
与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。
所有Internet传入通信都会针对于该表中的各项进行比较。
只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。
ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。
常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。
安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。
[1]吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。
其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。
吞吐量测试结果以比特/秒或字节/秒表示。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
主要类型网络层防火墙网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源IP 地址、来源端口号、目的IP 地址或端口号、服务类型(如HTTP 或是FTP)。
也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。
基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。
基本特性(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。
从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。
所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(三)防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。
其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。
而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。
防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
(四)应用层防火墙具备更细致的防护能力自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击成为当下取代传统攻击,最大程度危害用户的信息安全,而传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。
从2011年开始,国内厂家通过多年的技术积累,开始推出下一代防火墙,在国内从第一家推出真正意义的下一代防火墙的网康科技开始,至今包扩东软,天融信等在内的传统防火墙厂商也开始相互[3] 效仿,陆续推出了下一代防火墙,下一代防火墙具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,在具备传统防火墙、IPS、防毒等功能的同时,还能够对用户和内容进行识别管理,兼具了应用层的高性能和智能联动两大特性,能够更好的针对应用层攻击进行防护。
(五)数据库防火墙针对数据库恶意攻击的阻断能力虚拟补丁技术:针对CVE公布的数据库漏洞,提供漏洞特征检测技术。
高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术:提供SQL注入特征库。
返回行超标禁止技术:提供对敏感表的返回行数控制。
SQL黑名单技术:提供对非法SQL的语法抽象描述。
代理服务代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理使得由外在网络窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可从防火墙外面(只要应用代理剩下的原封和适当地被配置)被入侵。
