什么是防⽕墙?防⽕墙的作⽤有哪些?
1.什么是防⽕墙
防⽕墙是指设置在不同⽹络(如可信任的企业内部⽹和不可信的公共⽹)或⽹络安全域之间的⼀系列部件的组合。它可通过监测、限制、更改跨越防⽕墙的数据流,尽可能地对外部屏蔽⽹络内部的信息、结构和运⾏状况,以此来实现⽹络的安全保护。
在逻辑上,防⽕墙是⼀个分离器,⼀个限制器,也是⼀个分析器,有效地监控了内部⽹和Internet之间的任何活动,保证了内部⽹络的安全。
2.使⽤Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极⼤地提⾼⽹络安全和减少⼦⽹中主机的风险。例如, Firewall可以禁⽌NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁⽌访问另外的主机。例如, Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部⽹实现集中的安全管理,在Firewall定义的安全规则可以运⾏于整个内部⽹络系统,⽽⽆须在内部⽹每台机器上分别设⽴安全策略。Firewall可以定义不同的认证⽅法,⽽不需要在每台机器上分别安装特定的认证软件。外部⽤户也只需要经过⼀次认证即可访问内部⽹。
增强的保密性
使⽤Firewall可以阻⽌攻击者获取攻击⽹络系统的有⽤信息,如Figer和DNS。
记录和统计⽹络利⽤数据以及⾮法使⽤数据
Firewall可以记录和统计通过Firewall的⽹络通讯,提供关于⽹络使⽤的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执⾏
Firewall提供了制定和执⾏⽹络安全策略的⼿段。未设置Firewall时,⽹络安全取决于每台主机的⽤户。
3.防⽕墙的种类
防⽕墙总体上分为包过滤、应⽤级⽹关和代理服务器等⼏⼤类型。
数据包过滤
数据包过滤(Packet Filtering)技术是在⽹络层对数据包进⾏选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、⽬的地址、
所⽤的端⼝号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防⽕墙逻辑简单,价格便宜,易于安装和使⽤,⽹络性能和透明性好,它通常安装在路由器上。路由器是内部⽹络与Internet连接必不可少的设备,因此在原有⽹络上增加这样的防⽕墙⼏乎不需要任何额外的费⽤。
数据包过滤防⽕墙的缺点有⼆:⼀是⾮法访问⼀旦突破防⽕墙,即可对主机上的软件和配置漏洞进⾏攻击;⼆是数据包的源地址、⽬的地址以及IP的端⼝号都在数据包的头部,很有可能被窃听或假冒。
应⽤级⽹关
应⽤级⽹关(Application Level Gateways)是在⽹络应⽤层上建⽴协议过滤和转发功能。它针对特定的⽹络应⽤服务协议使⽤指定的数据过滤逻辑,并在过滤的同时,对数据包进⾏必要的分析、登记和统计,形成报告。实际中的应⽤⽹关通常安装在专⽤⼯作站系统上。
数据包过滤和应⽤⽹关防⽕墙有⼀个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。⼀旦满⾜逻辑,则防⽕墙内外的计算机系统建⽴直接联系,防⽕墙外部的⽤户便有可能直接了解防⽕墙内部的⽹络结构和运⾏状态,这有利于实施⾮法访问和攻击。
代理服务
代理服务(Proxy Service)也称链路级⽹关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有⼈将它归于应⽤级⽹关⼀类。它是针对数据包过滤和应⽤⽹关技术存在的缺点⽽引⼊的防⽕墙技术,其特点是将所有跨越防⽕墙的⽹络通信链路分为两段。防⽕墙内外计算机系统间应⽤层的" 链接",由两个终⽌代理服务器上的" 链接"来实现,外部计算机的⽹络链路只能到达代理服务器,从⽽起到了隔离防⽕墙内外计算机系统的作⽤。此外,代理服务也对过往的数据包进⾏分析、注册登记,形成报告,同时当发现被攻击迹象时会向⽹络管理员发出警报,并保留攻击痕迹。
4.设置防⽕墙的要素
⽹络策略
影响Firewall系统设计、安装和使⽤的⽹络策略可分为两级,⾼级的⽹络策略定义允许和禁⽌的服务以及如何使⽤服务,低级的⽹络策略描述Firewall如何限制和过滤在⾼级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部⽹络访问(如拨⼊策略、SLIP/PPP连接等)。服务访问策略必须是可⾏的和合理的。可⾏的策略必须在阻⽌已知的⽹络风险和提供⽤户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的⽤户在必要的情况下从Internet访问某些内部主机和服务;允许内部⽤户访问指定的Internet主机和服务。
防⽕墙设计策略
防⽕墙设计策略基于特定的Firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:允许任何服务除⾮被明确禁⽌;禁⽌任何服务除⾮被明确允许。第⼀种的特点是安全但不好⽤,第⼆种是好⽤但不安全,通常采⽤第⼆种类型的设计策略。⽽多数防⽕墙都在两种之间采取折衷。
增强的认证
许多在Internet上发⽣的⼊侵事件源于脆弱的传统⽤户/⼝令机制。多年来,⽤户被告知使⽤难于猜测和破译⼝令,虽然如此,攻击者仍然在Internet上监视传输的⼝令明⽂,使传统的⼝令机制形同虚设。增
强的认证机制包含智能卡,认证令牌,⽣理特征(指纹)以及基于软件(RSA)等技术,来克服传统⼝令的弱点。虽然存在多种认证技术,它们均使⽤增强的认证机制产⽣难被攻击者重⽤的⼝令和密钥。⽬前许多流⾏的增强机制使⽤⼀次有效的⼝令和密钥(如SmartCard和认证令牌)。
5.防⽕墙在⼤型⽹络系统中的部署
根据⽹络系统的安全需要,可以在如下位置部署防⽕墙:
局域⽹内的VLAN之间控制信息流向时。
Intranet与Internet之间连接时(企业单位与外⽹连接时的应⽤⽹关)。
在⼴域⽹系统中,由于安全的需要,总部的局域⽹可以将各分⽀机构的局域⽹看成不安全的系统,(通过公⽹ChinaPac,ChinaDDN,Frame Relay等连接)在总部的局域⽹和各分⽀机构连接时采⽤防⽕墙隔离,并利⽤VPN构成虚拟专⽹。
网吧的防火墙怎么关总部的局域⽹和分⽀机构的局域⽹是通过Internet连接,需要各⾃安装防⽕墙,并利⽤NetScreen的VPN组成虚拟专⽹。在远程⽤户拨号访问时,加⼊虚拟专⽹。
ISP可利⽤NetScreen的负载平衡功能在公共访问服务器和客户端间加⼊防⽕墙进⾏负载分担、存取控制、⽤户认证、流量控制、⽇志纪录等功能。
两⽹对接时,可利⽤NetScreen硬件防⽕墙作为⽹关设备实现地址转换(NAT),地址映射(MAP),⽹络隔离(DMZ), 存取安全控制,消除传统软件防⽕墙的瓶颈问题。
6.防⽕墙的作⽤有哪些?
1、防⽕墙是⽹络安全的屏障
⼀个防⽕墙能极⼤地提⾼⼀个内部⽹络的安全性,并通过过滤不安全的服务⽽降低风险。由于只有经过精⼼选择的应⽤协议才能通过防⽕墙,因此⽹络环境变得更安全,例如,防⽕墙能够禁⽌⼤家所熟悉的不安全的NFS协议进出受保护⽹络,这样外部的攻击者就不可能利⽤这些脆弱的协议来攻击内部⽹络,防⽕墙同时能够保护⽹络免受基于路由的攻击。例如IP选项中的源路由攻击和ICMP重定向路径。
2、可以强化⽹络安全策略
通过以防⽕墙为中⼼的安全⽅案配置,可以将所有安全软件配置在防⽕墙上,与将⽹络安全问题分散到各个主机上相⽐,防⽕墙的集中安全管理更经济。
3、对⽹络存取和访问进⾏监控审计
3、对⽹络存取和访问进⾏监控审计
如果所有的访问都经过防⽕墙,则防⽕墙可以记录下这些访问并做出⽇志记录,同时也可以提供⽹络使⽤情况的统计数据,如果发⽣可疑动作,收集⼀个⽹络的使⽤和误⽤情况也是⾮常重要的,⽽⽹络使⽤统计对⽹络需求分析和威胁分析等来说也是⾮常重要的。
4、防⽌内部信息的外泄
通过防⽕墙对内部⽹络的划分,可实现内部⽹重点⽹段的隔离,从⽽限制了局部重点或敏感⽹络安全问题对全局⽹络造成的影响,其次,隐私是内部⽹络⾮常关⼼的问题,⼀个内部⽹络中不引⼊注意的细节可能包含了有关安全的线索⽽引起外部攻击者的兴趣,甚⾄因此⽽暴露了内部⽹络的某些安全漏洞,使⽤防⽕墙就可以隐蔽那些透漏内部细节的服务。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论