所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，下面就讓小編帶你去看看防火墻基礎(chǔ)知識大全科普，希望對你有所幫助吧

防火墻有哪些分類?不同防火墻有什么特點(diǎn)?

正規(guī)的數(shù)據(jù)中心中，防火墻是必不可少的，要了解防火墻我們先要知道什么是防火墻，以及它的工作原理。

什么是防火墻?

防火墻是監(jiān)視網(wǎng)絡(luò)流量的安全設(shè)備。它通過根據(jù)一組既定規(guī)則過濾傳入和傳出的流量來保護(hù)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻是在系統(tǒng)和惡意攻擊之間添加安全層的最簡單方法。

防火墻如何工作?

防火墻放置在系統(tǒng)的硬件或軟件級別，以保護(hù)其免受惡意流量的攻擊。根據(jù)設(shè)置，它可以保護(hù)單臺計(jì)算機(jī)或整個計(jì)算機(jī)網(wǎng)絡(luò)。設(shè)備根據(jù)預(yù)定義規(guī)則檢查傳入和傳出流量。

通過從發(fā)送方請求數(shù)據(jù)并將其傳輸?shù)浇邮辗絹磉M(jìn)行Internet上的通信。由于無法整體發(fā)送數(shù)據(jù)，因此將其分解為組成初始傳輸實(shí)體的可管理數(shù)據(jù)包。防火墻的作用是檢查往返主機(jī)的數(shù)據(jù)包。

不同類型的防火墻具有不同的功能，我們專注于服務(wù)器租用/托管14年，接下來網(wǎng)盾小編來談?wù)劮阑饓τ心男┓诸愐约八麄冇心男┨攸c(diǎn)。

軟件防火墻

軟件防火墻是寄生于操作平臺上的，軟件防火墻是通過軟件去實(shí)現(xiàn)隔離內(nèi)部網(wǎng)與外部網(wǎng)之間的一種保護(hù)屏障。由于它連接到特定設(shè)備，因此必須利用其資源來工作。所以，它不可避免地要耗盡系統(tǒng)的某些RAM和CPU。并且如果有多個設(shè)備，則需要在每個設(shè)備上安裝軟件。

由于它需要與主機(jī)兼容，因此需要對每個主機(jī)進(jìn)行單獨(dú)的配置。主要缺點(diǎn)是需要花費(fèi)大量時間和知識在每個設(shè)備管理和管理防火墻。另一方面，軟件防火墻的優(yōu)勢在于，它們可以在過濾傳入和傳出流量的同時區(qū)分程序。因此，他們可以拒絕訪問一個程序，同時允許訪問另一個程序。

硬件防火墻

顧名思義，硬件防火墻是安全設(shè)備，代表放置在內(nèi)部和外部網(wǎng)絡(luò)(Internet)之間的單獨(dú)硬件。此類型也稱為設(shè)備防火墻。

與軟件防火墻不同，硬件防火墻具有其資源，并且不會占用主機(jī)設(shè)備的任何CPU或RAM。它是一種物理設(shè)備，充當(dāng)用于進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量的網(wǎng)關(guān)。

擁有在同一網(wǎng)絡(luò)中運(yùn)行多臺計(jì)算機(jī)的中型和大型組織都使用它們。在這種情況下，使用硬件防火墻比在每個設(shè)備上安裝單獨(dú)的軟件更為實(shí)際。配置和管理硬件防火墻需要知識和技能，因此請確保有一支熟練的團(tuán)隊(duì)來承擔(dān)這一責(zé)任。

包過濾防火墻

根據(jù)防火墻的操作方法來劃分防火墻的類型時，最基本的類型是數(shù)據(jù)包篩選防火墻。它用作連接到路由器或交換機(jī)的內(nèi)聯(lián)安全檢查點(diǎn)。顧名思義，它通過根據(jù)傳入數(shù)據(jù)包攜帶的信息過濾來監(jiān)控網(wǎng)絡(luò)流量。

如上所述，每個數(shù)據(jù)包包括一個報頭和它發(fā)送的數(shù)據(jù)。此類防火墻根據(jù)標(biāo)頭信息來決定是允許還是拒絕訪問數(shù)據(jù)包。為此，它將檢查協(xié)議，源IP地址，目標(biāo)IP，源端口和目標(biāo)端口。根據(jù)數(shù)字與訪問控制列表的匹配方式(定義所需/不需要的流量的規(guī)則)，數(shù)據(jù)包將繼續(xù)傳遞或丟棄。

防火墻技術(shù)透析

一、Internet 常見的安全威脅分類

隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)的越來越頻繁。通過各種攻擊軟件，只要具有一般計(jì)算機(jī)知識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險。目前，Internet網(wǎng)絡(luò)上常見的安全威脅分為一下幾類。

1、非法使用：資源被未授權(quán)的用戶(也可以稱為非法用戶)或以未授權(quán)方式(非法權(quán)限)使用。例如：攻擊者通過猜測帳戶和密碼的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以非法使用資源。

2、拒絕服務(wù)：服務(wù)器拒絕合法永福正常訪問信息或資源的請求。例如，攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務(wù)器發(fā)起連接或請求回應(yīng)，致使服務(wù)器負(fù)荷過重而不能處理合法任務(wù)

3、信息盜竊：攻擊者不直接入侵目標(biāo)系統(tǒng)，而是通過竊聽網(wǎng)絡(luò)來獲取重要數(shù)據(jù)或信息。

4、數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。

因此：

網(wǎng)絡(luò)安全是Internet必須面對的一個實(shí)際問題

網(wǎng)絡(luò)安全是一個綜合性的技術(shù)

網(wǎng)絡(luò)安全具有兩層含義：

保證內(nèi)部局域網(wǎng)的安全(不被非法侵入)

保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全

網(wǎng)絡(luò)安全技術(shù)需要不斷地完善和更新

二、網(wǎng)絡(luò)安全關(guān)注點(diǎn)

作為負(fù)責(zé)網(wǎng)絡(luò)安全的管理人員主要關(guān)注(并不局限于)以下8個方面：

保護(hù)網(wǎng)絡(luò)物理線路不會輕易遭受攻擊

有效識別合法的和非法的用戶(AAA)

實(shí)現(xiàn)有效的訪問控制(ACL)

保證內(nèi)部網(wǎng)絡(luò)的隱蔽性(NAT)

有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)(v_n)

對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾?防火墻集中管理)

病毒防范(蠕蟲病毒智能防范)

提高安全防范意識

三、防火墻的必備技術(shù)

針對網(wǎng)絡(luò)存在的各種安全隱患，防火墻必須具有如下安全特性：

1、網(wǎng)絡(luò)隔離及訪問控制：能夠有效防止對外公開的服務(wù)器被黑客用于控制內(nèi)網(wǎng)的一個跳板。

2、攻擊防范：能夠保護(hù)網(wǎng)絡(luò)免受黑客對服務(wù)器、內(nèi)部網(wǎng)絡(luò)的攻擊。

3、地址轉(zhuǎn)換：在解決網(wǎng)絡(luò)地址不足的前提下實(shí)現(xiàn)對外的網(wǎng)絡(luò)訪問，同時能夠?qū)崿F(xiàn)對外隱藏內(nèi)部網(wǎng)絡(luò)地址和專用服務(wù)器。

4、應(yīng)用層狀態(tài)監(jiān)測：可以實(shí)現(xiàn)單向訪問。

5、身份認(rèn)證：可以確保資源不會被未授權(quán)的用戶(也可以稱為非法用戶)或以授權(quán)方式(非法權(quán)限)使用。例如，攻擊者通過猜測帳號和密碼的組合，進(jìn)入計(jì)算機(jī)系統(tǒng)非法使用資源的行為。

6、內(nèi)容過濾：能夠過濾掉內(nèi)部網(wǎng)絡(luò)對非法網(wǎng)站/色情網(wǎng)站的訪問，以及阻止通過郵件發(fā)送機(jī)密文件所造成的泄密行為。

7、安全管理：主要指日志審計(jì)和防火墻的集中管理。

四、網(wǎng)絡(luò)隔離與訪問控制

防火墻的主要作用是實(shí)現(xiàn)網(wǎng)絡(luò)隔離和訪問控制。

防火墻從安全管理的角度出發(fā)，一般將設(shè)備本身劃分為不同的安全區(qū)域，通過將端口和網(wǎng)絡(luò)設(shè)備接到不同的區(qū)域里，從而達(dá)到網(wǎng)絡(luò)隔離的目的：

1、不受信區(qū)域：一般指的是Internet，主要攻擊都來自于這個區(qū)域。

2、受信區(qū)域：一般指的是內(nèi)網(wǎng)區(qū)域，這個區(qū)域是可控的。

3、DMZ區(qū)域：放置公共服務(wù)器的區(qū)域，一般情況下，這個區(qū)域接受外部的訪問，但不會主動去訪問外部資源。

防火墻通常使用ACL訪問控制列表、ASPF應(yīng)用層狀態(tài)檢測包過濾的方法來實(shí)現(xiàn)訪問控制的目的。

圖1-1通過一個實(shí)際網(wǎng)絡(luò)典型案例表示了局域網(wǎng)通過防火墻與互聯(lián)網(wǎng)的連接，電子郵件服務(wù)器接在DMZ區(qū)域接受內(nèi)外部的訪問。圖中用語言描述了防火墻所實(shí)現(xiàn)的網(wǎng)絡(luò)隔離和訪問控制的功能。

五、攻擊防范

防火墻主要關(guān)注邊界安全，因此一般防火墻提供比較豐富的安全攻擊防范的特性：

1、DOS拒絕服務(wù)攻擊防范功能

包括對諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務(wù)攻擊方式進(jìn)行檢測，丟棄攻擊報文，保護(hù)網(wǎng)絡(luò)內(nèi)部的主機(jī)不受侵害。

2、防止常見網(wǎng)絡(luò)層攻擊行為

防火墻一般應(yīng)該支持對IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見的網(wǎng)絡(luò)攻擊行為，主動發(fā)現(xiàn)丟棄報文。

WinNuke也稱為“藍(lán)色炸彈”,它是導(dǎo)致你所與之交流用戶的 Windows 操作系統(tǒng)突然的崩潰或終止?！八{(lán)色炸彈”實(shí)際上是一個帶外傳輸網(wǎng)絡(luò)數(shù)據(jù)包,其中包括操作系統(tǒng)無法處理的信息;這樣便會導(dǎo)致操作系統(tǒng)提前崩潰或終止。

land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺機(jī)器的攻擊。結(jié)果通常使存在漏洞的機(jī)器崩潰。

Tear drop類的攻擊利用UDP包重組時重疊偏移(假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現(xiàn)象。)的漏洞對系統(tǒng)主機(jī)發(fā)動拒絕服務(wù)攻擊,最終導(dǎo)致主機(jī)菪掉。

3、針對畸形報文的防范

通過一些畸形報文，如果超大的ICMP報文，非法的分片報文，TCP標(biāo)志混亂的報文等，可能會造成比較驗(yàn)證的危害，防火墻應(yīng)該可以識別出這些報文。

4、針對ICMP重定向、不可達(dá)等具有安全隱患的報文應(yīng)該具有過濾、關(guān)閉的能力。

六、地址轉(zhuǎn)換(NAT)

1、地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。

2、一個局域網(wǎng)內(nèi)部有很多臺主機(jī)，可是不能保證每臺主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。

3、地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。

4、地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。

防火墻同路由器一樣，必須具備NAT地址轉(zhuǎn)換功能，因此在NAT的細(xì)節(jié)上必須具備：

支持NAT/PAT，支持地址池;

支持策略NAT，根據(jù)不同的策略進(jìn)行不同的NAT;

支持NAT server 模式，可以向外映射內(nèi)部服務(wù)器;

提供端口級別的NAT server 模式，可以將服務(wù)器的端口映射為外部的一個端口，不開放服務(wù)器的所有端口，增加服務(wù)器的安全性。

支持多種ALG： 包括H323/MGCP/SIP/H248/RTSP/HWCC，還支持ICMP、FTP、DNS、PPTP、NBT、ILS等協(xié)議。

七、應(yīng)用層狀態(tài)檢測包過濾(ASPF)

aspf(application specific packet filter)是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。

aspf能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。

為保護(hù)網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進(jìn)行監(jiān)控。

防火墻，怎么選?

防火墻在保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)免受內(nèi)部和外部威脅，發(fā)揮著至關(guān)重要的作用。防火墻是將網(wǎng)絡(luò)與互聯(lián)網(wǎng)分開的虛擬墻?？蛇^濾流量，限制對內(nèi)部網(wǎng)絡(luò)的訪問，以及阻止拒絕服務(wù)(DoS)等威脅。如果沒有部署有效的防火墻，網(wǎng)絡(luò)可能容易遭遇數(shù)據(jù)泄露事故以及其他惡意威脅，最終可能導(dǎo)致企業(yè)面臨巨額損失，甚至失去客戶。

因此，在選購防火墻時，必須做足功課。在選擇防火墻時，應(yīng)該考慮以下問題，從而選出最符合需求的網(wǎng)絡(luò)安全解決方案。

它是否提供DoS/DDoS保護(hù)?

選擇具有DDoS檢測和緩解功能的防火墻很重要，防火墻可幫助在最基本層面識別及阻止DDoS攻擊。如果結(jié)合防火墻與其他服務(wù)(例如入侵檢測系統(tǒng))，就會得到一個更先進(jìn)的解決方案。

防火墻是否會發(fā)送攻擊警報?

雖然您依靠防火墻來阻止攻擊，但同樣重要的是，它們可幫助您了解攻擊何時發(fā)生或者正在進(jìn)行的攻擊。所以，您應(yīng)該考慮可在發(fā)生重大攻擊時向管理員發(fā)送警報的防火墻。

警報可作為提醒，讓管理員去檢查防火墻和路由器日志，這可幫助確定攻擊的方法。在利用這些知識以及防火墻的幫助下，您可在攻擊造成停機(jī)以及損失之前快速緩解攻擊。

您需要為關(guān)鍵服務(wù)設(shè)置備用端口嗎?

攻擊者可利用端口來傳播惡意軟件，考慮到大部分服務(wù)都有標(biāo)準(zhǔn)端口，這是一個很大的問題。如果您有特別想要保護(hù)的關(guān)鍵服務(wù)，您可以為這些服務(wù)使用備用端口，也被稱為偽裝端口。

您需要遠(yuǎn)程訪問嗎?

最近遠(yuǎn)程工作非常流行，特別是在IT部門。然而，允許員工遠(yuǎn)程訪問公司的網(wǎng)絡(luò)帶來安全風(fēng)險。這也是為什么需要使用虛擬專用網(wǎng)絡(luò)(v_n)等解決方案的原因。防火墻可結(jié)合v_n處理很多日常工作，例如授權(quán)和支持。

雖然您可以購買輔助系統(tǒng)或者v_n解決方案，但整合v_n的硬件防火墻解決方案可能更具成本效益。

供應(yīng)商的客戶支持是否強(qiáng)大?

對于防火墻，供應(yīng)商提供的支持也非常重要。不正確的防火墻配置和設(shè)置可能會導(dǎo)致嚴(yán)重的問題，如果您對防火墻有疑問或者對某些功能不確定，您需要能夠快速與供應(yīng)商聯(lián)系。強(qiáng)大的供應(yīng)商應(yīng)該提供必要的支持和資源，以確保網(wǎng)絡(luò)安全。

艾塔(艾塔品牌服務(wù)網(wǎng)站)作為浙江聯(lián)泰信息系統(tǒng)有限公司旗下服務(wù)品牌，依托強(qiáng)大的技術(shù)專家團(tuán)隊(duì)，和個性化專屬定制服務(wù)，結(jié)合企業(yè)具體需求，制定切實(shí)可行的IT服務(wù)解決方案，我們將本著責(zé)任、專業(yè)、貼心的服務(wù)宗旨，為企業(yè)用戶提供全方位的IT服務(wù)。

防火墻基礎(chǔ)知識大全科普相關(guān)文章：

★ 防火墻的基礎(chǔ)知識科普有哪些