防火墻基礎(chǔ)知識
當(dāng)前,每天都有數(shù)不清的公司和個(gè)人加入到1me中,而neme本身也成為世界上空
在其中而流連忘返、它給人們帶來了無盡的便接、拉近了每個(gè)人的距離、把地球縮成個(gè)村落 前魔大以至于無法確切統(tǒng)計(jì)的網(wǎng)絡(luò)系統(tǒng)。它是一都真正的百科全書,信息的海洋令天們流沉浸
大大提高了工作效率。但是每個(gè)網(wǎng)絡(luò)用戶又都面臨著嚴(yán)峻的安全性問題,如存在阿上的信息 老被非法調(diào)用復(fù)制和竄改等。怎么才能既充分利用 Internet,同時(shí)又不受外來的各種侵把
現(xiàn)?這就要采用防火墻技術(shù)
7.1.1、防火墻的定義及其宗旨 回,重的maal已點(diǎn)
防火墻用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部同的資源,保護(hù)內(nèi)部阿絡(luò)的設(shè) mene防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強(qiáng)機(jī)構(gòu)內(nèi)部阿路的安全性。 Internet
各不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被育取。防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外 界訪間,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)可以被內(nèi)部大員訪問。要使
個(gè)防火墻有效,所有來自和去往 Internet f的信息都必須經(jīng)過防火墻并接受檢查(如圖7
旦被攻擊者突破或遷回,就不能提供任何的保護(hù)了。動火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于透。但是,防火墻系統(tǒng)
所有主系統(tǒng)必須通力協(xié)作來實(shí)現(xiàn)均勾一致的高級安全性。子網(wǎng)越大,把所有主系統(tǒng)保持在相 如果網(wǎng)絡(luò)在沒有防火墻的環(huán)境中,網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)的安全性。在一定意義上,
生。防火墻有助于提高主系統(tǒng)的總體安全性。防火墻的基本設(shè)計(jì)宗旨是:不是對每臺主機(jī)系 同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普追,入侵就時(shí)有發(fā)
保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。它是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界之間的一道屏障 統(tǒng)進(jìn)行保護(hù),而是讓所有對系統(tǒng)的訪問通過某一點(diǎn),并且保護(hù)這二點(diǎn),并盡可能地對外界屏蔽
它可以實(shí)施比較廣泛的安全政策來控制信息流,防止不可預(yù)料的潛在的人侵破壞。從實(shí)現(xiàn)上來看,防火墻實(shí)際上是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程,運(yùn)行于路由器或
家。防火墻已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的最有效的工具之一,并被廣泛地應(yīng)用到Inem 服務(wù)器上,控制經(jīng)過它們的網(wǎng)絡(luò)應(yīng)用服務(wù)及傳輸?shù)臄?shù)據(jù)。安全管理、速度是防火墻的三大要
同始經(jīng)與控
防火增
只 必地辦公
圖7-1基本的防火墻系統(tǒng)模型
tranet的建設(shè)上。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備,常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界
的點(diǎn)上。 Internet防火墻是路由器、堡全主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,是安全策
略的一個(gè)部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源。安全策略應(yīng)告訴
用戶應(yīng)有的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤
和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安
全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。
同那些可能被子網(wǎng)外的主系統(tǒng)用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級較高的網(wǎng)關(guān) 防火墻系統(tǒng)可以是路由器,也可以是個(gè)人主機(jī)、主系統(tǒng)和一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)
少的主系統(tǒng)或子網(wǎng)提供保護(hù)?;蚓W(wǎng)點(diǎn)與 Internet i的連接處,但是防火墻系統(tǒng)也可以位于等級較低的網(wǎng)關(guān),以便為某些數(shù)量較
制經(jīng)過防火墻的網(wǎng)絡(luò)應(yīng)用程序的通信流量。一般來說,防火墻置于公共網(wǎng)絡(luò)(如 Internet)入 防火墻基本上是一個(gè)獨(dú)立的進(jìn)程或一組緊密結(jié)合的進(jìn)程。運(yùn)行于 Router or Server來控
信均符合該單位的安全方針??谔?。它可以看作是交通警察。它的作用是確保一個(gè)單位內(nèi)的網(wǎng)絡(luò)與 Internet之間所有的通
7.1.2防火墻的主要設(shè)計(jì)特征同
防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段。它主要是用來拒絕未經(jīng)授權(quán)
的用戶訪問,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資
下幾方面問題 源。如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全性能。因此,在設(shè)計(jì)防火墻時(shí)應(yīng)該考慮以
首先,明確目的,即你想要如何操作這個(gè)系統(tǒng),只允許什么工作通過。比如某企業(yè)只需要
務(wù);還是允許多種業(yè)務(wù)通過防火墻,但要設(shè)置相應(yīng)的監(jiān)測、計(jì)量、注冊和稽查等。電子郵件服務(wù),則該企業(yè)將防火墻設(shè)置為只允許電子郎件服務(wù)通過,而禁止FTP、WwW等服
其次,是想要達(dá)到什么級別的監(jiān)測和控制。根據(jù)網(wǎng)絡(luò)用戶的實(shí)際需要,建立相應(yīng)的風(fēng)險(xiǎn)級
功能 別,隨之便可形成一個(gè)需要監(jiān)測、允許、禁止的清單。再網(wǎng)站制作根據(jù)清單的要求來設(shè)置防火墻的各項(xiàng)
本文地址:http://m.blackside-inc.com//article/3802.html