防護墻的五大功能
防火墻大家都知道是用來保護電腦的安全的,但是你知道防火墻具體有哪五大功能,分別是什么嗎?下面就讓學習啦小編給大家分享一下防火墻的五大功能。
防火墻五大功能
強化網絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上,而集中在防火墻一身上。
監(jiān)控網絡存取和訪問
如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統(tǒng)計數(shù)據。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?,并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統(tǒng)計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火墻對內部網絡的劃分,可實現(xiàn)內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網,這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。
實現(xiàn)數(shù)據庫安全的實時防護
數(shù)據庫防火墻通過SQL 協(xié)議分析,根據預定義的禁止和許可策略讓合法的SQL 操作通過,阻斷非法違規(guī)操作,形成數(shù)據庫的外圍防御圈,實現(xiàn)SQL 危險操作的主動預防、實時審計。
數(shù)據庫防火墻面對來自于外部的入侵行為,提供SQL 注入禁止和數(shù)據庫虛擬補丁包功能。
其他功能
除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系(虛擬專用網)。
防火墻的基本架構
通用CPU架構
通用CPU架構最常見的是基于Intel X86架構的防火墻,在百兆防火墻中Intel X86架構的硬件以其高靈活性和擴展性一直受到防火墻廠商的青睞;由于采用了PCI總線接口,Intel X86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際應用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內安全設備主要采用的就是基于X86的通用CPU架構。
ASIC架構
ASIC(Application Specific Integrated Circuit,專用集成電路)技術是國外高端網絡設備幾年前廣泛采用的技術。由于采用了硬件轉發(fā)模式、多總線技術、數(shù)據層面與控制層面分離等技術, ASIC架構防火墻解決了帶寬容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。ASIC技術的性能優(yōu)勢主要體現(xiàn)在網絡層轉發(fā)上,而對于需要強大計算能力的應用層數(shù)據的處理則不占優(yōu)勢,而且面對頻繁變異的應用安全問題,其靈活性和擴展性也難以滿足要求。由于該技術有較高的技術和資金門檻,主要是國內外知名廠商在采用,國外主要代表廠商是Netscreen,國內主要代表廠商為天融信、網御神州。
網絡處理器架構
由于網絡處理器所使用的微碼編寫有一定技術難度,難以實現(xiàn)產品的最優(yōu)性能,因此網絡處理器架構的防火墻產品難以占有大量的市場份額。基于國產CPU的防火墻隨著國內通用處理器的發(fā)展,逐漸發(fā)展了基于中國芯的防火墻,主要架構為國產龍芯2F+FPGA的協(xié)議處理器,主要應用政府、軍隊等對國家安全敏感的行業(yè)。代表廠商有中科院計算所、博華科技等公司。
猜你感興趣的:
5.防火墻知識