Ⅰ 防火墙的意义和作用
防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
它还可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
你可以去网络上了解更多有关“防火墙”的知识。
Ⅱ 计算机防火墙的主要作用是什么
防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
1、网络级防火墙
一般来说,它是根据源地址和目的地址、应用程序、协议和每个IP包的端口来决定是否通过。路由器是“传统的”网络级防火墙。大多数路由器可以通过检查这些信息来确定是否转发接收到的数据包,但无法确定IP数据包从何而来,从何而去。
防火墙检查每个规则,直到发现数据包中的信息与规则匹配为止。如果没有可以满足的规则,防火墙将使用默认规则。通常,默认规则是要求防火墙丢弃数据包。其次,通过定义基于TCP或UDP包的端口号,防火墙可以确定是否允许建立特定的连接,如telnet和FTP连接。
2、应用级网关
应用级网关可以检查传入和传出的数据包,通过网关复制和传输数据,防止可信服务器和客户端与不可信主机直接建立联系。应用层网关可以理解应用层的协议,进行更复杂的访问控制,并进行精细的注册和审计。
它针对特定的网络应用服务协议,即数据过滤协议,能够对数据包进行分析并形成相关的报表。应用网关对一些易于登录和控制所有输出和输入通信的环境进行严格控制,以防止有价值的程序和数据被盗。在实际应用中,应用网关通常由一个专用的工作站系统来完成。
然而,每一个协议都需要相应的代理软件,由于其工作量大,效率不如网络防火墙。应用层网关具有较好的访问控制能力,是目前最安全的防火墙技术,但实现起来比较困难,一些应用层网关缺乏“透明性”。
实际上,当用户通过可信网络上的防火墙访问Internet时,他们经常发现存在延迟,必须多次登录才能访问Internet或intranet。
3、电路级网关
电路级网关用于监控可信客户端或服务器与不可信主机之间的TCP握手信息,以确定会话是否合法。在OSI模型中,电路级网关过滤会话层上的包,这比包过滤防火墙高两层。电路级网关还提供了一个重要的安全功能:代理服务器。
代理服务器是Internet防火墙网关中设置的一种特殊的应用程序级代码。此代理服务允许管理员允许或拒绝特定应用程序或应用程序的特定功能。包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据包通过。
一旦满足判断条件,防火墙内网的结构和运行状态就会“暴露”给国外用户,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链路”被两个代理服务“链路”终止,从而实现成功实现了防火墙内外计算机系统的隔离。
同时,代理服务还可以实现强大的数据流监控、过滤、记录和报告功能。代理服务技术主要由专用计算机硬件(如工作站)承担。
4、规则检查防火墙
防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。与包过滤防火墙一样,规则检查防火墙可以通过OSI网络层上的IP地址和端口号过滤传入和传出的包。与电路级网关一样,它可以检查syn和ACK标记以及序列号是否按逻辑顺序排列。
当然,和应用层网关一样,它可以检查OSI应用层上的包内容,看看这些内容是否符合企业网络的安全规则。尽管规则检查防火墙集成了前三种防火墙的特性,但它不同于应用层网关,因为它不会破坏客户机/服务器模式来分析应用层中的数据。
它允许受信任的客户端和不受信任的主机建立直接连接。规则检查防火墙不依赖于与应用层相关的代理,而是依赖于某种算法来识别传入和传出的应用层数据。这些算法通过了解合法数据包的模式来比较传入和传出的数据包,从而在理论上比应用程序级代理更有效地过滤数据包。
(2)计算机网络中防火墙的作用是什么意思扩展阅读;
防火墙技术的应用应考虑两个方面:
首先,虽然许多防火墙产品声称它们具有此功能,但防火墙并不是反病毒的。其次,防火墙技术的另一个弱点是防火墙之间的数据更新是一个问题。
如果延迟太大,它将不支持实时服务请求。此外,防火墙采用过滤技术,通常会使网络性能降低50%以上。如果为了提高网络性能而购买高速路由器,将大大增加经济预算。
防火墙对流经它的网络通信进行扫描,以便过滤掉一些攻击,并避免它们在目标计算机上执行。防火墙还可以关闭未使用的端口。
同时还可以禁止特定端口的外流通信,阻止木马。最后,它可以禁止特殊站点的访问,从而防止来自未知入侵者的所有通信。
参考资料来源;网络——防火墙技术
Ⅲ 网络防火墙的作用是什么
防火墙(Firewall)是指一个由软件或硬件设备组合而成,处于企业或网络群体电脑与外界通道之间,用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
一般防火墙具备以下特点:
广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览、HTIP服务、FIP服务等;通过对专用数据的加密支持,保证通过Internet进行的虚拟专用网商务活动不受破坏;客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;反欺骗。欺骗是从外部获取网络访问权的常用手段,它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则:一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反,它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息,起初这堵墙几乎不起作用,如同虚设;然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留。但是就怕漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
正因为安全领域中有许多变动的因素,所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:
安全=风险分析+执行策略+系统实施+漏洞监测+实时响应从而满足综合性与整体性相结合的要求。
现有的防火墙技术主要有两大类:数据包过滤技术和代理服务技术。第一类是数据包过滤技术(PacketFilter)。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术(ProXyService)。这是一种基于代理服务器的防火墙技术,通常由两部分构成--客户与代理服务器连接,代理服务器再与外部服务器连接,而内部网络与外部网络之间没有直接的连接关系。
防火墙是有其局限性的:
防火墙不能防止绕过防火墙的攻击。比如,一个企业内联网设置了防火墙,但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接,绕过了企业内联网的保护,为该网留下了一个供人攻击的后门,成了一个潜在的安全隐患。
防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘,因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏,防火墙是无能为力的。
防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
目前市场上很多流行的安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击,一旦外部侵入者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦侵入者骗过了认证系统,那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行深入检测和分析,那么网络传输速度势必受到影响。
静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响,任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。
针对静态安全技术的不足,许多世界网络安全和管理专家都提出了各自的解决方案,如NAI为传统的防火墙技术做出了重要的补充和强化,其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。