當然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中壹個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎壹旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火墻”,是指壹種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是壹種隔離技術。防火墻是在兩個網絡通訊時執行的壹種訪問控制尺度,它能允許妳“同意”的人和數據進入妳的網絡,同時將妳“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問妳的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻的功能
防火墻是網絡安全的屏障:
壹個防火墻(作為阻塞點、控制點)能極大地提高壹個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文並通知防火墻管理員。
防火墻可以強化網絡安全策略:
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,壹次壹密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻壹身上。
對網絡存取和訪問進行監控審計:
如果所有的訪問都經過防火墻,那麽,防火墻就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,並提供網絡是否受到監測和攻擊的詳細信息。另外,收集壹個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,壹個內部網絡中不引人註意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道壹個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起註意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣壹臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。
參考資料:
防火墻的用途簡單的說,就是防止非法程序對計算機的入侵。非法程序包括病毒,木馬程序,黑客入侵,等等,只要是未經許可的入侵,均可視為非法。
防火墻的用途(Firewall Purpose)
撰文者: Indeepnight 位於 上午 8:55
防火墻是近年才開始受大眾註目,以前都只把焦點放在防毒軟體的能力上
不過,防火墻的用意雖然是好的,可是對於大眾來說,它的功能經常都會讓人摸不著頭緒,甚至會防礙原有操作電腦的順暢性
現在的作業系統,也都預設有防火墻的功能(M$、Linux皆有),不過大多數都是行銷策略的手法,讓大家感覺到物超所值,但實際的應用面就...乏人問津,至於硬體與軟體之間的差異,可以參考筆者先前寫的防火墻的使用,有粗略的說明
今天筆者就來說明壹些較為常見的應用與設定:
Internet的發展給企業帶來了革命性的改革和開放,企業正努力通過利用
它來提高市場反應速度和辦事效率,以便更具競爭力。企業通過Internet,可
以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰
和新危險:即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以
及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加註安全的
“戰壕”,而這些“戰壕”又要在哪裏修建呢?
基於Internet體系應用有兩大部分:Intranet和Extranet。Intranet是借
助Internet的技術和設備在Internet上面構造出企業3W網,可放入企業全部信
息;而Extranet是在電子商務、互相合作的需求下,用Intranet間的通道,可
獲得其它體系中部分信息。因此按照壹個企業的安全體系可知防火墻戰壕須在
以下位置上位置:
①保證對主機和應用安全訪問;
②保證多種客戶機和服務器的安全性;
③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與
遠程訪問的雇員、客戶、供應商提供安全通道。
同時防火墻的安全性還要來自其良好的技術性能。壹般防火墻具備以下特
點:
①廣泛的服務支持,通過將動態的、應用層的過濾能力和認證相結合,可
實現WWW瀏覽器、HTTP服務器、FTP等;
②對私有數據的加密支持,保證通過Internet進行虛擬私人網絡和商務活
動不受損壞;
③客戶端認證只允許指定的用戶訪問內部網絡或選擇服務,是企業本地網
與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
④反欺騙,欺騙是從外部獲取網絡訪問權的常用手段,它使數據包好似來
自網絡內部。Firewall-1能監視這樣的數據包並能扔掉它們;C/S 模式
和跨平臺支持,能使運行在壹平臺的管理模塊控制運行在另壹平臺的監
視模塊。
網絡安全:初上網者必看---我們為什麽需要防火墻
來源:賽迪網 時間:2006-10-04 09:10:44
很多網絡初級用戶認為,只要裝了殺毒軟件,系統就絕對安全了,這種想法是萬萬要不得的!在現今的網絡安全環境下,木馬、病毒肆虐,黑客攻擊頻繁,而各種流氓軟軟件、間諜軟件也行風作浪。怎樣才能讓我們的系統立於如此險惡的網絡環境呢?光靠殺毒軟件足以保證我們的系統安全嗎?下面我就從影響系統安全的幾個方面來剖析防火墻的重要性。
現在的網絡安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件攻擊。殺毒軟件發展了十幾年,依然是停留在被動殺毒的層面(別看那些自我標榜主動防禦,無非是壹些騙人的幌子,看看這個文章就知道了/388/2014388.shtml),而國外的調查表明,當今全球殺毒軟件對80%的病毒無法起到識別作用,也就是說,殺毒軟件之所以能殺毒,純粹是根據病毒樣本的代碼特征來識別他是否是病毒,就如警察抓住壹個小偷,這個小偷留著大胡子,於是警察就天天在街上盯著大胡子的人。這樣的殺毒效果可想而知。同樣的道理,殺毒軟件對於木馬、間諜軟件的防範也是基於這種方式。
現在病毒、木馬的更新很快,從全球範圍內來看,能造成較大損失的病毒木馬,大部分都是新出現的,或者是各類變種,由於這些病毒木馬的特征並沒有被殺毒軟件掌握,因此殺毒軟件對它們是既不能報警,也無法剿殺。難道我們就任病毒木馬宰割了嗎?當然不!高手豈能向幾個病毒木馬低頭!雖然殺毒軟件只能幹瞪眼,可是我們還有嚴守大門的防火墻呢!
防火墻為什麽就能擋住病毒木馬甚至是最新的病毒木馬變種呢?這就要從防火墻的防禦機制說起了。防火墻是根據連接網絡的數據包來進行監控的,也就是說,防火墻就相當於壹個嚴格的門衛,掌管系統的各扇門(端口),它負責對進出的人進行身份核實,每個人都需要得到最高長官的許可才可以出入,而這個最高長官,就是妳自己了。每當有不明的程序想要進入系統,或者連出網絡,防火墻都會在第壹時間攔截,並檢查身份,如果是經過妳許可放行的(比如在應用規則設置中妳允許了某壹個程序連接網絡),則防火墻會放行該程序所發出的所有數據包,如果檢測到這個程序並沒有被許可放行,則自動報警,並發出提示是否允許這個程序放行,這時候就需要妳這個“最高統帥”做出判斷了。壹般來說,自己沒有運行或者不太了解的程序,我們壹律阻攔,並通過搜索引擎或者防火墻的提示確認該軟件的性質。
寫到這裏,大家估計對殺毒軟件和防火墻的區別有壹定了解了,舉個直觀的例子:妳的系統就好比壹座城堡,妳是這個城堡的最高統帥,殺毒軟件和防火墻是負責安全的警衛,各有分工。殺毒軟件負責對進入城堡的人進行鑒別,如果發現可疑的人物就抓起來(當然,抓錯的幾率很大,不然就沒有這麽多誤殺誤報事件了);而防火墻則是門衛,對每壹個進出城堡的人都進行檢查,壹旦發現沒有出入證的人就向最高統帥確認。因此,任何木馬或者間諜軟件,或許可能在殺毒軟件的眼皮底下偷偷記錄妳的帳號密碼,可是由於防火墻把城門看得死死的,再多的信息也傳不出去,從而保護了妳的系統安全。
另外,對於黑客攻擊,殺毒軟件是沒有任何辦法的,因為黑客的操作不具有任何特征碼,殺毒軟件自然無法識別,而防火墻則可以把妳系統的每個端口都隱藏起來,讓黑客找不到入口,自然也就保證了系統的安全。
目前全球範圍內防火墻種類繁多,不過從個人經驗來說,推薦天網防火墻給大家。天網防火墻可以有效的防止黑客、木馬或者其他惡意程序盜取您的隱私包括:網上銀行、網絡遊戲、QQ等的帳號和密碼。