|
���。ㄒ唬┓阑饓榻B
防火墻是一種功能,它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或Internet互相隔離,以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)或主機(jī)�。簡(jiǎn)單的防火墻可以由Router,3 Layer Switch的ACL(access control list)來(lái)充當(dāng)���,也可以用一臺(tái)主機(jī)�����,甚至是一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)�����。復(fù)雜的可以購(gòu)買專門的硬件防火墻或軟件防火墻來(lái)實(shí)現(xiàn)������!
防火墻的功能有:
1�、過(guò)濾掉不安全服務(wù)和非法用戶
2、控制對(duì)特殊站點(diǎn)的訪問(wèn)
3��、提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)
防火墻并不是萬(wàn)能的,也有很多防火墻無(wú)能為力的地方:
1�����、防火墻防不住繞過(guò)防火墻的攻擊�。比如�����,防火墻不限制從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接�,那么,一些內(nèi)部用戶可能形成一個(gè)直接通往Internet的連接���,從而繞過(guò)防火墻�,造成一個(gè)潛在的backdoor.惡意的外部用戶直接連接到內(nèi)部用戶的機(jī)器上���,以這個(gè)內(nèi)部用戶的機(jī)器為跳板����,發(fā)起繞過(guò)防火墻的不受限制的攻擊�����!
2��、防火墻不是防毒墻�,不能攔截帶病毒的數(shù)據(jù)在網(wǎng)絡(luò)之間傳播��!
3����、防火墻對(duì)數(shù)據(jù)驅(qū)動(dòng)式攻擊也無(wú)能為力����!
因此,我們不能過(guò)分依賴防火墻����。網(wǎng)絡(luò)的安全是一個(gè)整體,并不是有某一樣特別出色的配置���。網(wǎng)絡(luò)安全遵循的是“木桶原則”��������!
一般防火墻具備以下特點(diǎn):
1�����、廣泛的服務(wù)支持:通過(guò)將動(dòng)態(tài)的����、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合��,可實(shí)現(xiàn)WWW瀏覽器����、HTTP服務(wù)器����、 FTP等;
2��、對(duì)私有數(shù)據(jù)的加密支持:保證通過(guò)Internet進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞�����;
3�、客戶端認(rèn)證只允許指定的用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)或選擇服務(wù):企業(yè)本地網(wǎng)與分支機(jī)構(gòu)����、商業(yè)伙伴和移動(dòng)用戶間安全通信的附加部分����;
4、反欺騙:欺騙是從外部獲取網(wǎng)絡(luò)訪問(wèn)權(quán)的常用手段��,它使數(shù)據(jù)包好似來(lái)自網(wǎng)絡(luò)內(nèi)部��。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們��;
5��、C/S模式和跨平臺(tái)支持:能使運(yùn)行在一平臺(tái)的管理模塊控制運(yùn)行在另一平臺(tái)的監(jiān)視模塊�。
讓我們來(lái)看看傳統(tǒng)的防火墻工作原理及優(yōu)缺點(diǎn):
1.(傳統(tǒng)的)包過(guò)濾防火墻的工作原理
包過(guò)濾是在IP層實(shí)現(xiàn)的���,因此�,它可以只用路由器完成����。包過(guò)濾根據(jù)包的源IP地址、目的IP地址�、源端口����、目的端口及包傳遞方向等報(bào)頭信息來(lái)判斷是否允許包通過(guò)�。過(guò)濾用戶定義的內(nèi)容,如IP地址��。其工作原理是系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包�����,與應(yīng)用層無(wú)關(guān)���,包過(guò)濾器的應(yīng)用非常廣泛��,因?yàn)镃PU用來(lái)處理包過(guò)濾的時(shí)間可以忽略不計(jì)。而且這種防護(hù)措施對(duì)用戶透明�����,合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)���,根本感覺(jué)不到它的存在��,使用起來(lái)很方便����。這樣系統(tǒng)就具有很好的傳輸性能,易擴(kuò)展��。但是這種防火墻不太安全���,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知——也就是說(shuō)����,它們不理解通信的內(nèi)容���,不能在用戶級(jí)別上進(jìn)行過(guò)濾�����,即不能識(shí)別不同的用戶和防止IP地址的盜用��。如果攻擊者把自己主機(jī)的IP地址設(shè)成一個(gè)合法主機(jī)的IP地址�,就可以很輕易地通過(guò)包過(guò)濾器�,這樣更容易被黑客攻破。 基于這種工作機(jī)制�,包過(guò)濾防火墻有以下缺陷:
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
