關於防火牆的安全應用以及主要功能
計算機防火牆防護技術的安全應用以及主要功能想必大家都不清楚,所以今天小編要跟大家介紹下防火牆的安全應用以及主要功能,下面就是小編為大家整理到的資料,請大家認真看看!
防火牆的安全應用
1 防火牆功能簡介
防火牆技術是一種將軟硬體結合起來,作用在各網路介面之間的網路屏障,它只允許已知的安全資訊通過屏障,遮蔽不安全的資訊和程式,利用自身的閘道器技術來確保合法使用者的許可權,防止非法使用者入侵。防火牆的內部儲存了許多資料,防火牆能夠根據這些資料來確定哪些資訊或程式安全,可以通過,哪些資訊或程式非法,不能通過,防火牆只允許被一些預設允許的程式訪問,避免黑客系統對防火牆的破壞。防火牆主要有一下幾大功能:
***1***系統管理員可以在防火牆內部自定義一個空間,制定一套限定網路的訪問機制,將那些被防火牆漏掉的威脅程式通過自己的設定分離出去,這樣既增強了防火牆的安全效能,又能夠使電腦保安執行。
***2***防火牆技術規範了網路的訪問,管理員可以通過防火牆對員工的操作進行一些限制,對防火牆中的資訊進行進一步篩選,防止員工進入一些危險網站或安裝一些危險程式等,更加智慧化的管理員工的工作。
***3***防火牆技術可以實現共享記憶體的作用,它可以利用NAT技術,將本機上的IP地址與網路中的IP地址對應起來,以緩解地址空間的短缺,解決地址空間不足的問題。
***4***防火牆作為連線計算機內部與外部的屏障,可以通過防火牆的過濾作用,記錄進入防火牆的程式或資訊,利用防火牆的這一特性,我們可以科學、有效的記錄計算機在訪問網路時所產生的費用等。
2 防火牆的型別
2.1 代理型防火牆
代理型防火牆相當於一種代理伺服器,是一種安全係數較高的高階防護技術,代理型防火牆介於使用者與使用者之間,相當於資訊的中轉站,可以對一些有危害的資訊進行有針對性的阻止。對於使用者來說,代理型伺服器就是真正的伺服器,而對於伺服器來說,代理型伺服器就是客戶機,使用者與使用者之間要進行網路資訊的交流、溝通時,首先必須要經過代理型伺服器進行中轉,然後經過代理型伺服器過濾之後再傳輸到真正的使用者的計算機中,實現使用者與使用者之間的交流,當傳送的資訊存在惡意或者是不良的攻擊性時,防火牆就要對其進行攔截、篩選,以保障計算機網路的安全和使用者資訊的安全,代理型防火牆具有很強的安全效能,能夠對計算機中的資訊進行有針對性的篩選,將不良、有害的資訊直接過濾出去,保障網路的安全執行。
2.2 包過濾型防火牆
包過濾型防火牆技術相對古老,其關鍵點在於網路的分包傳輸,應用這種防火牆會以包作為單位來進行網路資訊的傳輸,每個包所代表的含義不同,並且不同內容的資訊會被分配到不同的包裡,可以根據資訊的大小、性質、來源、某種特殊的資訊、目標地址、目標埠或者不同的源地址等對資訊進行劃分。包過濾型防火牆就是對對這些資料包中的資訊進行分析,判斷其是否合法、安全,被允許訪問的資料包就會通過防火牆的檢測,不被允許的就表示資料包存在安全隱患。包過濾型防火牆有很多的優點,如對環境的適應能力較強,簡單方便、實用性強、成本較低且能夠在簡單的環境中保證網路資訊的安全,但這種技術存在一個很重要的缺點:它只能從埠、目標或者資料包的來源來檢測資訊的安全性,不能夠識別一些惡意的程式或資訊,一些有經驗的網路黑客將會很容易破解防火牆技術,傳播病毒,導致使用者的計算機遭到破壞。
2.3 網址轉化型防火牆――NAT
網址轉化就是指網路地址進行轉換,轉換成臨時的、外部的、註冊的地址標準,然後允許外部的私有IP對內部網路進行訪問,並且該使用者只能用一個IP地址進行訪問,外部的私有IP會先進行轉換,與原有的進行識別、判斷並確認,之後才能放行,系統將真正的IP轉換成虛擬IP,這樣起到隱藏真正IP的作用。通過網路中預先設定的安全準則判斷是否安全,符合則接受訪問,不符合則拒絕訪問。網路轉換的過程也很簡單、易操作。
2.4 監測型防火牆
原先的防火牆一般只是防範或阻止一些惡意侵犯計算機網路的地址,不能夠對資料資訊進行實時的檢測,而監測型防火牆可以實現這一功能,能夠對資料資訊進行自動實時的檢測,有效的提高了計算機的安全性,但這種防火牆不易管理,且成本較高,所以這種防火牆應用較少,但綜合安全和成本兩方面來看,監測型防火牆還是可行的,能夠有效的保障計算機的安全。
3 防火牆技術在計算機中的應用
3.1 配置防火牆訪問策略
訪問策略是防火牆的安全核心,因此,要有詳細的資訊說明或系統的統計才能執行設定,並且要了解訪問單位對內部或外界的應用、該單位的源地址、目標地址、TCP/UDP的埠,然後根據執行的頻繁程度對策略在表中的位置進行實施和配置。這種規則是按照順序進行執行的,我們按照一般的規則直接放在首位能夠有效的提高防火牆的應用,並且增強防火牆的工作效率。
3.2 網路安全服務配置
網路安全服務的隔離區是將系統劃分出一個獨立的區域網絡,保障系統的管理和伺服器上的資料資訊的安全,從而使系統能夠正常的執行。通過防火牆對網路地址進行相應的轉換,將網路地址設定成公用的,全部的主機地址設定成有效的網路IP地址,這樣能夠實現對外部的IP地址進行遮蔽,有效的保護內部的網路IP地址,保證計算機的安全執行。企業或單位在有邊界路由的情況下,可以利用原有的路由,再用包過濾型防火牆技術對網路進行保護,這在降低成本的同時有效的保護了網路的安全。或者是將公用的伺服器與邊界路由進行連線,不需設定防火牆,在伺服器和路由之間設定一個隔離區,僅需將一些安全訪問的資料資訊或IP地址放在隔離區內,即可形成簡單的保護和防範。
3.3 對日誌進行監控
對日誌進行監控是非常有效的管理手段,它能夠有效的保障網路的安全執行,系統的告警日誌會實時的記錄使用者所進行的每一步操作,而防火牆的資訊資料量非常大,並且非常複雜,所以,系統的告警日誌是非常重要的,通過檢視告警日誌記錄的關於防火牆的資料資訊,並對其進行篩選,將對網路安全構成威脅的資訊記錄下來並做好日誌,然後做好防範工作,以保證網路安全、有效的執行。
4 總結
隨著計算機技術的不斷髮展,人們越來越依賴於網路,網路安全問題是不可避免的,因此,計算機網路安全技術也要隨著計算機技術的發展而不斷的改革、創新,為了保障網路的安全執行,防火牆技術的重要性是不言而喻的,所以,我們在組建網路時必須要選擇合適的防火牆,抵禦有害資訊入侵計算機系統,但僅僅靠防火牆技術是不夠的,要從科學、全面的方面入手,才能真正解決計算機的網路安全問題。
防火牆的主要功能以及技術原理
一、防火牆的主要功能
通常防火牆的主要功能有:過濾掉不安全的服務和非法使用者;控制和限制對特殊站點的訪問;限制他人進入內部網路;防止入侵者接近你的防禦設施;提供了監視Internet安全和預警的方便端點;防火牆的設計應遵循安全防範策略的基本原則――“除非明確允許,否則就禁止”;如果組織機構的安全策略發生改變,可以加入新的服務;有先進的認證手段或有掛鉤程式,可以安裝先進的認證方法;可以使用FTP和Telnet等服務代理,程式設計的IP過濾語言,並可以根據資料包的性質進行包過濾。
許多使用者在選擇防火牆時還可能考慮一些特殊功能要求。這些功能主要有:
1. 網路地址轉移功能*** NAT***。2.雙重DNS***域名服務***。3.虛擬專用網路******。4.掃毒功能。5.特殊控制需求。
二、 防火牆的原理以及實現方法
防火牆負責管理危險區域和內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給危險區域上的其它主機,極易受到攻擊。由此可見,對於連線到因特網的內部網路,一定要選用適當的防火牆。就防火牆的原理來講可以把它簡單地抽象為一對開關,其中一個開關用於允許傳輸,另一個用於阻止傳輸。實際上防火牆代表了使用者的網路安全策略,其實現方式比較靈活。
1.在邊界路由器上實現。***1***通過標準的路由器來實現***由於該用途的路由器稱為Screening Router,即篩選路由器、遮蔽路由器***,常用的如Cisco路由器很容易設定成一個防火牆。***2***通過PC機的路由器來實現,但要使用軟體包。
2.在一臺雙埠主機***Dual - homed Host***上實現。內部網路和外部網路都可以訪問這臺主機,但外部主機與內部主機不能直接進行通訊,可以實施三種類型的防火牆:***1***應用層閘道器防火牆***Ap-plication Gateway Firewall*** ***2***代理服務型防火牆***Proxy Server Firewall*** ***3***線***電***路層/級閘道器型防火牆***Circuit Gateway Fire-wall***。
3.在子網上實現。在一個公共子網***該子網的作用相當於一臺雙埠主機***上實現,可建立含有單段網路、停火區結構的防火牆。儘管防火牆有許多防範功能,但由於互連網的開放性,它也有一些力不能及的地方,表現在:①防火牆不能防範不經由防火牆的攻擊。例如,如果允許從客觀存在保護網內部不受限制的向外撥號,一些使用者可以形成與Internet的直接的SLIP或PPP連線。從而繞過防火牆,造成一個潛在的後門攻擊渠道。②目前很難對防火牆進行徹底的測試驗證,面對大多數的惡意攻擊,防火牆會有所防範,但是不是在任何情況下都有效是未知的,這就涉及到了一個軟體及時更新的問題。
防火牆的作用