目录
1)出色的控制能力,过滤掉不安全服务出色的控制能力,过滤掉不安全服务)
2)过滤非法用户和访问特殊站点过滤非法用户和访问特殊站点)
3)它能够对网络存取和访问进行监控审计它能够对网络存取和访问进行监控审计)
大家在上网的过程中应该都见过这样一个安全提示:windows防火墙已阻止此程序。
1.防火墙是什么?
在古代建筑中,防火墙(Fire Wall)是用来防止火灾蔓延的防护构筑物。而在计算机网络中,防火墙是设置在可信任的内部网络 和**不可信任的外界(如因特网)**之间的一道保 护屏障,用来保护内部网免受外部网上非法用户的入侵,这是目前实现网络安全最有效的 措施之一。
安装防火墙以后,所有内部网络和外部网络之间传输的数据必须通过防火墙,防火墙 允许授权"同意"的用户和数据进入到内部网络中,同时将"不同意"的用户和数据拒之 门外,最大限度地阻止网络中的黑客来访问内部网络。
在电影《防火墙》中,盗匪利用绑架电脑专家杰克的家人,威胁杰克利用自己的电脑 强项,来突破杰克自己编写的防火墙程序,以达到从银行的账户上窃取客户资料、获得金钱的非法目的。如果杰克不帮助盗匪通过防火墙,盗匪就无法访问银行内部的网络。
2.防火墙设备
防火墙的发展历经三代:简单包过滤、应用代理、状态检测防火墙,目前最新的主流技术是具有数据流过滤功能的防火墙。
早期的防火墙一般是直接安装在计算机上的一套软件,是一个应用软件,代表的产品 有checkpoint公司的防火墙,还有一些用于个人计算机的防火墙,如瑞星、360ARP,金山网盾等。
后来采用PC硬件结构,基于Unix、LINUX等操作系统内核开发安全防护的一些基本特性所构成的硬件防火墙,是软件和硬件的结合体,如天融信公司的早期防火墙产品。
现在则是采用独立设计的asic芯片,基于专门的硬件平台,没有操作系统,在CPU, 电源、风扇、总线、扩展插卡等方面优化结构,保证防火墙产品得到最优的处理性能,比 较有名的是华为、思科、H3C、juniper等公司的防火墙产品
3.防火墙功能
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,入侵者必须首先穿越防 火墙的安全防线,才能接触目标计算机。
1)出色的控制能力,过滤掉不安全服务
防火墙作为一个阻塞点、控制点,能封锁所有的信息流,通过服务控制(确定哪些服 务可以被访问)、方向控制(对于特定的服务,可以确定允许哪个方向能够通过防火 墙)、用户控制(根据用户来控制对服务的访问)、行为控制(控制一个特定的服务的行 为),对希望提供的安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼 杀在萌芽之中,从而极大地提高内部网络的安全性。
2)过滤非法用户和访问特殊站点
通过以防火墙为中心的网络安全方案配置,能将所有安全软件(口令、加密、身份认 证、审计等)配置在防火墙上,以强化网络安全策略。如是否允许所有用户和站点对内部 网络进行访问,是否按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。
3)它能够对网络存取和访问进行监控审计
所有的外部访问都经过防火墙时,防火墙就能记录下这些访问,为网络使用情况提供统 计数据。当发生可疑信息时防火墙能发出报警,并提供网络是否受到监测和攻击的详细信息。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
4.防火墙的局限
防火墙并不是万能的
(1)防火墙有可能是可以绕过的
防火墙一旦被攻击者击穿或者绕过,防火墙就失去作用了。实际上由于防火墙依赖于口 令,所以防火墙不能防范黑客对口令的攻击。几年前,两个在校学生编了一个简单程序, 通过对波音公司的口令字的排列组合试出了开启内部网的要求,从内部网中搞到了一张授 权的波音公司的口令表,将口令一一出卖。所以美国马里兰州的一家计算机安全咨询机构 负责人诺尔.马切特说:"防火墙不过是一道较矮的篱笆墙"。黑客像耗子一样,能从这 道篱笆墙上的窟窿中自由出入。
(2)防火墙不能防止内部出卖性攻击或者内部误操作
显然,当内部人员将敏感数据或者文件复制到U盘等移动设备上提供给外部攻击者时,防 火墙是无能为力的。当内部一个带有木马的机器主动和攻击者连接,这时像铁壁一样的防 火墙瞬间就会被破坏掉。此外,内部网中各个主机之间的攻击行为,防火墙也只有如旁观 者一样冷视而爱莫能助。
(3)防火墙不能防止对开放端口或服务的攻击
如WEB服务要开放80端口,MAIL服务要开放25端口,这时防火墙不能防止对80端口、25端 口的攻击。
(4)防火墙可以阻断攻击,但是不能消灭攻击源
防火墙是一种被动防卫机制,不是主动安全机制。因特网上的各种攻击源源不断,设置得 当的防火墙可以阻挡他们,但是无法消除这些攻击源,这些攻击仍然会源源不断的向防火 墙发出攻击尝试。
(5)防火墙本身也会出现问题,也会遭到攻击
防火墙不能干涉还没有到达防火墙的数据包,如果这个数据包是攻击防火墙的,只有已经 发生了攻击,防火墙才可以对抗。并且防火墙也是一个系统,也有自己的缺陷,也会受到 攻击,这是许多防御措施就会失灵的。
是的,防火墙是网络安全的重要一环,但不代表设置了防火墙,就一定能保证网络绝 对安全,但是设置得当的防火墙,至少会使得网络更为坚固一些,并能提供更多的攻击信息供分析用。
"真正的安全是一种意识,而非技术!" 请牢记这句话。