设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
大家能给我具体解释一下防火墙吗?谢谢! ...
返回列表
发新帖
大家能给我具体解释一下防火墙吗?谢谢!
[复制链接]
11
|
0
|
2006-11-22 10:28:41
|
显示全部楼层
|
阅读模式
防火墙的概念当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。防火墙的功能1.防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2.防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。3.对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。防火墙的分类根据网络体系结构来进行分类,可以有以下几种类型的防火墙:1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。下面是某一网络级防火墙的访问控制规则:(1)允许网络210.34.0.0使用FTP(21口)访问主机192.168.1.1;(2)允许IP地址为210.34.0.207的用户Telnet(23口)到主机192.168.1.2上;(3)允许任何地址的E-mail(25口)进入主机192.168.1.5;(4)允许任何WWW数据(80口)通过;(5)不允许其他数据包进入。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。很难准确地设置包过滤器,缺乏用户级的授权;包过滤判别的条件位于数据包的头部,由于IPV4的不安全性,很可能被假冒或窃取;是基于网络层的安全技术,不能检测通过高层协议而实施的攻击。Linux上的ipchains就是这种类型的软件。2.应用级网关应用级网关就是我们常常说的“代理服务器”,它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等,但是,对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录(Login) 才能访问Internet或Intranet。它和包过滤型防火墙有一个共同特点,就是它们仅依靠特定的逻辑来判断是否允许数据包通过,一旦符合条件,则防火墙内外的计算机系统建立直接联系,防火墙外部网络能直接了解内部网络结构和运行状态,这大大增加了实施非法访问攻击的机会。SQUID就是这样的软件。3.电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起。另外,电路级网关还提供一个重要的安全功能:代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做"地址转移"的进程,来将所有你公司内部的IP地址映射到一个"安全"的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。它起着一定的代理服务作用,监视两主机建立连接时的握手信息,判断该会话请求是否合法。一旦会话连接有效后,该网关仅复制、传递数据。它在IP层代理各种高层会话,具有隐藏内部网络信息的能力,且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析,因此安全性低。Socks属于这种类型的防火墙。4.规则检查防火墙该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。它将动态记录、维护各个连接的协议状态,并在网络层对通信的各个层次进行分析、检测,以决定是否允许通过防火墙。因此它兼备了较高的效率和安全性,可以支持多种网络协议和应用,且可以方便地扩展实现对各种非标准服务的支持。再看看网页,有图示的参考资料:http://www.wifi-city.com/faq/jszc/200510/136.html
已赞过
已踩过<
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
wait til you here form you中文版叫啥名
2
我的是浦发银行,我朋友的是河南济源的邮政储蓄银行,用我的浦发网银给他转账,结果找不到济源市
3
x^3+4x^3-x-3写成A(x-3)^3+B(x-3)^2+C(x-3)+D 好的话我给20分
4
有没有《魔戒》TXT下载 作者小妖 请发到我的邮箱
[email protected]
5
气体火枪可以用来熔银么? 焊接我知道可以,但是50多克一小锅能熔开么? 电的wodouz 非懂勿答。
6
大侠我是新手麻烦仔细说一下好吗.谢谢大侠
7
怎.样能快速增高,有谁能告诉我吗?
8
中兴V880下载的游戏要短信开通怎么才能不花钱
9
模拟人生好玩还是大富翁好玩?
10
真封神演义 队友死了怎么办?
11
ipad2的flash 插件如何安装? mac book的摄像头如何关闭,好像关不了,求教。偶是新手,详尽点。
12
十堰有没有中国银行?
13
自由泳换气时为什么总是喝到水
14
名侦探柯南的,以下图片出自于哪集?
15
竞技场小白的问题
16
什么是 公差 IT15~IT17
17
也发一个office给我可以不,
[email protected]
.
18
我是文登的 想开小型服装店 适合80 90后的 到哪里打货?杭州还是广州?
19
塘沽现在装修的那个金元宝东方广场 电影院
20
宏基4743G i3-380m河南最新报价?
21
莆田八中高一(11班)理科是怎么分班的
22
打佩恩的时候雏田死了吗
23
你好,请您帮帮我,前两天我装了个冰点还原,今天用数据恢复我U盘的照片
24
古典吉他怎样弹倍高音和倍低音
25
刚才吃鲜虾鱼板面吃出真虾肉了
26
求绍兴越秀外国语附近的租房。 至少一室一卫,类似单身公寓。。价位500以内。
27
衣服上滴上了蓝莓汁 怎么除掉?
28
急求三角洲特种部队7迅雷下载地址,好的立即给分
29
索求!我非常喜欢一个视频,但是不知道哪里下,希望哪位大侠能帮忙下了这个视频,下面有链接,最好高清的
30
java在那能免费培训!?
31
‖欲钱找麻烦事件打一生肖‖欲钱找麻烦事件打一生肖‖
32
黄山有哪些小学?
33
qq农牧场3倍收购的七夕宝物哪个最赚 马上月底了,我没有时间都种完,饲养 哪个比较赚 我抢先种 养
34
酷狗哪个版本可以下载mv,怎么下载到手机
35
适合太湖学院学生晚间跑步的场所,操场晚间开放的吗(太湖学生的进)
36
《暗夜协奏曲》13和14具体什么时候上市?
37
波尔品牌的电子手表换新电池后,秒针为什么仅在原地摆动?
38
怎么快速辞职
39
请问一下,有木有人知道杨凌职业技术学院的专升本(不是自考也不是成考的)能不能跨专业???谢谢
40
20分求个QQ糖4.2的秒包挂 要无毒的!!
41
刘忻和苏妙玲领队的那个视频谁能找到啊?我以前没看现在想看下,谢谢了~~
42
Britney Spears有MV的全部歌曲
43
震荡射击雕文到底是什么意思?
44
造梦西游八戒怎么打孟婆?我有金刚甲,三生锤,天煞熬链,白霜镜,(天煞古剑)。求解!!!!
45
什么是百度的经营领域?
46
为什么连我们男生大便也得蹲着?这样太麻烦了。
47
吴熠群 我爱你 不离不弃 不变心 你爱我吗??
48
损坏且无法读取文件怎么删除
49
一种新型的燃料电池,高二化学
50
哪位新疆朋友可以帮我翻译一首歌呢?用英语表示那种...
51
围绕:绿.为主题想个环保的小故事。
52
蓝魔w10 安桌系统如何维护?
53
C9 悬赏100分,求1个C9有效激活码,8月20号以上的激活码,有的大哥速度了!帮一下,试试洛奇好玩还是C9!
54
我是山东考生,今年被天津中德职业技术学院录取了,从7月28到现在都快一个月了,还没收到通知书
55
新手WOW练圣骑40级纠结练级问题!求大侠指点迷津!
56
黑色洛城 PC版什么时候出支持DX11吗
57
跪求“暮光之城”第一、二、三、四部的小说。。。。 跪求跪求啊。
58
芦菲参演战争戏《战火西北狼》什么时候开拍?
59
根据所提供的购物单编一段话英语
60
iphone 3gs 打开程序立马自己退出了,玩游戏的时候跳出无法连接到game center,然后就开始卡是为什么
61
带有“任靖源”的藏头诗
62
水粉水果结构怎么画?还有阴影部分,笔触笔法
63
怎样讨厌一个人?
64
胡莱联盟
65
关于动词后接宾格的问题
66
学校什么时候开学在学校网站上可以查吗
67
8月25号 T121和T124哪个到天津 十分重要
68
我的电脑重装后有小喇叭可是没有声音怎么办啊??耳机插了也没有声音
69
求好看的长篇言情穿越小说。要txt的。有的话发我邮箱里。
[email protected]
..谢谢啦
70
我的脸较小、适合怎样的短发发型呢?定位烫或纹理烫可以吗?
71
把空白光碟当硬盘用 刻录时怎么刻啊 在电脑上能读就行
72
额,怎么还不发来,急死我了
73
最适合家用数码相机麻烦大家帮忙推荐几款。
74
人为提高功率因数的方法有那些?
75
我作为一个徐良的不良少年,我理应劝人为善。V迷们,停止你们的吐沫星子,多做善事吧,为许嵩争点光!
76
iphone4没有蜂窝网络数据这一项,没有办法设置APN,我是联通的号,请问怎么解决
77
求初一暑假期间写事作文 本人一个暑假从未出过北京崇文区 不要外地的
78
HP笔记本接底座散热器黑屏 不知道到底是哪里的问题
79
怎样才能有效美白啊?用身边常见的材料
80
下面是记叙文《客人》的开头和结尾,请你补写出文章的中间部分,600百字左右
81
求EXCEL做的会计全套手工账表格及记账凭证等。请发至本人邮箱
[email protected]
82
天龙八部2中用4级棉布做装备出的高星几率大吗
83
速求豆花文《最后的骄傲》 txt
84
纳米材料被誉为21世纪最有前途的新型材料。1纳米=10-9米。当材料的晶粒(或微粒)的大小处于纳米级时,
85
求新概念课文朗读的mp3打包下载地址或者种子(重点第一册)!!谢!! 邮箱:
[email protected]
86
邮箱接收延迟一天为什么?
87
农历1988年3月26是什么星座
88
怎样排除身体里的湿气?
89
无懈可击之高手如林第三十集中危笑唱的是什么歌?
90
怎么在女朋友空间留言表示她是我的,男的走开 急!!!谢谢了呀
91
飞轮海的吴尊要退出了么??
92
大学怎样在3年内赚3到18000我要整形请各位好人帮我出谋划策。
93
请您把心中的花园的高潮部分发我邮箱里
[email protected]
谢谢~
94
我明年高考,我现在一想到高考就浑身哆嗦,想到要把10几年读书成果汇聚于一张卷纸,总担心自己发挥不好
95
鼠标左键不能用 右键正常 换了鼠标还是不行 驱动装了也是不行 是什么问题
96
急需:请问福建石狮电力联营公司属于国家电网吗?待遇如何?和龙岩电业局比如何?
97
周围的东西聚集在一起形成一个物体是什么电影
98
洗衣机工作的具体步骤和原理
99
谁有NBA全家福,热火的,最好是有詹姆斯的,其他年份也行!
100
关于索爱sk17i和Moto me600哪个更好,性价比较高。适合女生用