Ⅰ 防火牆的意義和作用
防火牆可以對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。
防火牆還可以關閉不使用的埠,而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。
它還可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
你可以去網路上了解更多有關「防火牆」的知識。
Ⅱ 計算機防火牆的主要作用是什麼
防火牆具有很好的保護作用,入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。
從實現原理上分,防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1、網路級防火牆
一般來說,它是根據源地址和目的地址、應用程序、協議和每個IP包的埠來決定是否通過。路由器是「傳統的」網路級防火牆。大多數路由器可以通過檢查這些信息來確定是否轉發接收到的數據包,但無法確定IP數據包從何而來,從何而去。
防火牆檢查每個規則,直到發現數據包中的信息與規則匹配為止。如果沒有可以滿足的規則,防火牆將使用默認規則。通常,默認規則是要求防火牆丟棄數據包。其次,通過定義基於TCP或UDP包的埠號,防火牆可以確定是否允許建立特定的連接,如telnet和FTP連接。
2、應用級網關
應用級網關可以檢查傳入和傳出的數據包,通過網關復制和傳輸數據,防止可信伺服器和客戶端與不可信主機直接建立聯系。應用層網關可以理解應用層的協議,進行更復雜的訪問控制,並進行精細的注冊和審計。
它針對特定的網路應用服務協議,即數據過濾協議,能夠對數據包進行分析並形成相關的報表。應用網關對一些易於登錄和控制所有輸出和輸入通信的環境進行嚴格控制,以防止有價值的程序和數據被盜。在實際應用中,應用網關通常由一個專用的工作站系統來完成。
然而,每一個協議都需要相應的代理軟體,由於其工作量大,效率不如網路防火牆。應用層網關具有較好的訪問控制能力,是目前最安全的防火牆技術,但實現起來比較困難,一些應用層網關缺乏「透明性」。
實際上,當用戶通過可信網路上的防火牆訪問Internet時,他們經常發現存在延遲,必須多次登錄才能訪問Internet或intranet。
3、電路級網關
電路級網關用於監控可信客戶端或伺服器與不可信主機之間的TCP握手信息,以確定會話是否合法。在OSI模型中,電路級網關過濾會話層上的包,這比包過濾防火牆高兩層。電路級網關還提供了一個重要的安全功能:代理伺服器。
代理伺服器是Internet防火牆網關中設置的一種特殊的應用程序級代碼。此代理服務允許管理員允許或拒絕特定應用程序或應用程序的特定功能。包過濾技術和應用網關通過特定的邏輯判斷來決定是否允許特定的數據包通過。
一旦滿足判斷條件,防火牆內網的結構和運行狀態就會「暴露」給國外用戶,這就引入了代理服務的概念,即防火牆內外計算機系統應用層的「鏈路」被兩個代理服務「鏈路」終止,從而實現成功實現了防火牆內外計算機系統的隔離。
同時,代理服務還可以實現強大的數據流監控、過濾、記錄和報告功能。代理服務技術主要由專用計算機硬體(如工作站)承擔。
4、規則檢查防火牆
防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。與包過濾防火牆一樣,規則檢查防火牆可以通過OSI網路層上的IP地址和埠號過濾傳入和傳出的包。與電路級網關一樣,它可以檢查syn和ACK標記以及序列號是否按邏輯順序排列。
當然,和應用層網關一樣,它可以檢查OSI應用層上的包內容,看看這些內容是否符合企業網路的安全規則。盡管規則檢查防火牆集成了前三種防火牆的特性,但它不同於應用層網關,因為它不會破壞客戶機/伺服器模式來分析應用層中的數據。
它允許受信任的客戶端和不受信任的主機建立直接連接。規則檢查防火牆不依賴於與應用層相關的代理,而是依賴於某種演算法來識別傳入和傳出的應用層數據。這些演算法通過了解合法數據包的模式來比較傳入和傳出的數據包,從而在理論上比應用程序級代理更有效地過濾數據包。
(2)計算機網路中防火牆的作用是什麼意思擴展閱讀;
防火牆技術的應用應考慮兩個方面:
首先,雖然許多防火牆產品聲稱它們具有此功能,但防火牆並不是反病毒的。其次,防火牆技術的另一個弱點是防火牆之間的數據更新是一個問題。
如果延遲太大,它將不支持實時服務請求。此外,防火牆採用過濾技術,通常會使網路性能降低50%以上。如果為了提高網路性能而購買高速路由器,將大大增加經濟預算。
防火牆對流經它的網路通信進行掃描,以便過濾掉一些攻擊,並避免它們在目標計算機上執行。防火牆還可以關閉未使用的埠。
同時還可以禁止特定埠的外流通信,阻止木馬。最後,它可以禁止特殊站點的訪問,從而防止來自未知入侵者的所有通信。
參考資料來源;網路——防火牆技術
Ⅲ 網路防火牆的作用是什麼
防火牆(Firewall)是指一個由軟體或硬體設備組合而成,處於企業或網路群體電腦與外界通道之間,用來加強網際網路與內部網之間安全防範的一個或一組系統。它控制網路內外的信息交流,提供接入控制和審查跟蹤,是一種訪問控制機制。
一般防火牆具備以下特點:
廣泛的服務支持。通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽、HTIP服務、FIP服務等;通過對專用數據的加密支持,保證通過Internet進行的虛擬專用網商務活動不受破壞;客戶端認證只允許指定的用戶訪問內部網路或選擇服務,是企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;反欺騙。欺騙是從外部獲取網路訪問權的常用手段,它使數據包好象來自網路內部。防火牆能監視這樣的數據包並能扔掉它們。
防火牆的設置有兩條原則:一是「凡是未被准許的就是禁止的」。另一條策略與此正好相反,它堅持「凡是未被禁止的就是允許的」。防火牆先是轉發所有的信息,起初這堵牆幾乎不起作用,如同虛設;然後再逐項剔除有害的內容,被禁止的內容越多,防火牆的作用就越大。在此策略下,網路的靈活性得到完整地保留。但是就怕漏過的信息太多,使安全風險加大,並且網路管理者往往疲於奔命,工作量增大。
正因為安全領域中有許多變動的因素,所以安全策略的制定不應建立在靜態的基礎上。在制定防火牆安全規則時,應符合「可適應性的安全管理」模型的原則,即:
安全=風險分析+執行策略+系統實施+漏洞監測+實時響應從而滿足綜合性與整體性相結合的要求。
現有的防火牆技術主要有兩大類:數據包過濾技術和代理服務技術。第一類是數據包過濾技術(PacketFilter)。它是在網路層對數據包實施有選擇的放行。第二類是代理服務技術(ProXyService)。這是一種基於代理伺服器的防火牆技術,通常由兩部分構成--客戶與代理伺服器連接,代理伺服器再與外部伺服器連接,而內部網路與外部網路之間沒有直接的連接關系。
防火牆是有其局限性的:
防火牆不能防止繞過防火牆的攻擊。比如,一個企業內聯網設置了防火牆,但是該網路的一個用戶基於某種理由另外直接與網路的服務提供商連接,繞過了企業內聯網的保護,為該網留下了一個供人攻擊的後門,成了一個潛在的安全隱患。
防火牆經不起人為因素的攻擊。由於防火牆對網路安全實施單點挖掘,因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞,防火牆是無能為力的。
防火牆不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網路不受病毒的攻擊。任何防火牆不可能對通過的數據流中每一個文件進行掃描檢查病毒。
目前市場上很多流行的安全設備都屬於靜態安全技術范疇,如防火牆和系統外殼等外圍保護設備。外圍保護設備針對的是來自系統外部的攻擊,一旦外部侵入者進入了系統,他們便不受任何阻擋。認證手段也與此類似,一旦侵入者騙過了認證系統,那麼侵入者便成為系統的內部人員。傳統防火牆的缺點在於無法做到安全與速度同步提高,一旦考慮到安全因素而對網路數據流量進行深入檢測和分析,那麼網路傳輸速度勢必受到影響。
靜態安全技術的缺點是需要人工來實施和維護,不能主動跟蹤侵入者。傳統的防火牆產品就是典型的這類產品。其高昂的維護費用和對網路性能的影響,任何人都無法迴避。系統管理員需要專門的安全分析軟體和技術來確定防火牆是否受到攻擊。
針對靜態安全技術的不足,許多世界網路安全和管理專家都提出了各自的解決方案,如NAI為傳統的防火牆技術做出了重要的補充和強化,其最新的防火牆系統GauntletFirewa113.0forwindowsNT包含了NAI技術專家多年來的研究成果「自適應代理技術」等。