防火墻與網(wǎng)絡(luò)安全

1、FIREWALL防火墻與網(wǎng)絡(luò)安全 1. 防火墻概述 2. 防火墻的功能 3. 防火墻的類型 4. 防火墻的工作原理 5. 防火墻的部署 6. 防火墻注意事項(xiàng)防火墻目錄防火墻(英文：firewall)是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。定義防火墻的概述所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Securit

2、y Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。網(wǎng)絡(luò)防火墻的定義 第一代 第二代 第三代 第四代 第五代 一體化安全網(wǎng)關(guān)UTM主要在路由器上實(shí)現(xiàn)電路層防火墻代理防火墻基于動(dòng)態(tài)包過濾技術(shù)自適應(yīng)代理技術(shù)防火墻發(fā)展史防火墻功能示意 兩個(gè)不同網(wǎng)絡(luò)安全域間通信流的唯一通道，對(duì)流過的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二1控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流2網(wǎng)絡(luò)安全的屏障3強(qiáng)化網(wǎng)絡(luò)安全

3、策略4防止內(nèi)部信息的外泄防火墻的功能5監(jiān)控網(wǎng)絡(luò)存取和訪問 防火墻的功能其他功能除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。防火墻的類型 應(yīng)用層防火墻應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作，使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包。 網(wǎng)絡(luò)防火墻 網(wǎng)絡(luò)防火墻是隔離內(nèi)部網(wǎng)與Intern

4、et之間的一道防御系統(tǒng)，這里有一個(gè)門，允許人們?cè)趦?nèi)部網(wǎng)和開放的Internet之間通信。訪問者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)，網(wǎng)絡(luò)防火墻如圖所示。網(wǎng)絡(luò)防火墻Internet 內(nèi)部網(wǎng)防火墻路由器防火墻的工作原理在沒有防火墻時(shí)，局域網(wǎng)內(nèi)部的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，此時(shí)內(nèi)部網(wǎng)的安全性要由每個(gè)節(jié)點(diǎn)的堅(jiān)固程度來決定，且安全性等同于其中最薄弱的節(jié)點(diǎn)。使用防火墻后，防火墻會(huì)將內(nèi)部網(wǎng)的安全性統(tǒng)一到它自身，網(wǎng)絡(luò)安全性在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)的所有節(jié)點(diǎn)上。防火墻把內(nèi)部網(wǎng)與Internet隔離，僅讓安全、核準(zhǔn)了的信息進(jìn)入，而阻止對(duì)內(nèi)部網(wǎng)構(gòu)成威脅的數(shù)據(jù)，它防止

5、黑客更改、拷貝、毀壞重要信息；同時(shí)又不會(huì)妨礙人們對(duì)Internet的訪問。根據(jù)安全策略，從Intranet到Internet 的流量以及響應(yīng)的返回流量允許通過防火墻。 根據(jù)安全策略，從Internet到Intranet的流量受到阻塞 根據(jù)安全策略，從Internet來的特殊類型的流量可能被允許到達(dá)Intranet防火墻的工作原理服務(wù)器內(nèi)部網(wǎng)InternetInternet 內(nèi)部網(wǎng)分支機(jī)構(gòu)或合作伙伴的網(wǎng)絡(luò)VPN連接防火墻放置的位置防火墻布置簡(jiǎn)單包過濾路由雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式包過濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由器優(yōu)點(diǎn)：配置簡(jiǎn)單缺點(diǎn)：日志沒有或很少，難以判斷是否被入侵規(guī)則表會(huì)隨

6、著應(yīng)用變得很復(fù)雜單一的部件保護(hù)，脆弱雙宿/多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：對(duì)外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問控制對(duì)應(yīng)用層數(shù)據(jù)嚴(yán)格檢查優(yōu)點(diǎn)：配置簡(jiǎn)單檢查內(nèi)容更細(xì)致屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點(diǎn)：應(yīng)用代理本身的安全性屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾路由堡壘主機(jī)Web服務(wù)器優(yōu)點(diǎn)：雙重保護(hù)，安全性更高。實(shí)施策略：針對(duì)不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施。屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部路由器內(nèi)部路由器周邊網(wǎng)絡(luò)（DMZ）優(yōu)點(diǎn)安全性較高可用性較好缺點(diǎn)配置復(fù)雜成本高防火墻注意事項(xiàng)1防火墻實(shí)現(xiàn)了你的安全政策，要想有一個(gè)好的防火墻，你需要好的安全策略-寫成書面的并且被大家所接受。2一個(gè)防火墻在許多時(shí)候并不是一個(gè)單一的設(shè)備3 防火墻并不是現(xiàn)成的隨時(shí)獲得的產(chǎn)品4 防火墻并不會(huì)解決你所有的問題防火墻注意事項(xiàng)5使用默認(rèn)