簡易防火墻的設(shè)置及使用-粵教版（2019）高中信息技術(shù)選修2

1、4.3簡易防火墻的設(shè)置及使用4.3.1 防火墻的原理與作用4.3.2 防火墻的設(shè)置及使用目錄引入隨著Internet的日益普及，開放式的網(wǎng)絡(luò)帶來了許多不安全的隱患。在開放式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計(jì)算機(jī)(包括在一個(gè)LAN之間)，這種這些計(jì)算機(jī)對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中，防火墻被設(shè)計(jì)用來防止火災(zāi)從大廈的一部分傳播到大廈的另一部分。我們所涉及的“防火墻”具有類似的目的:“防止Internet的危險(xiǎn)傳播到你的內(nèi)部網(wǎng)絡(luò)”什么是防火墻？所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種獲取安全

2、性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。什么是防火墻？防火墻(Fire Wall)：網(wǎng)絡(luò)安全的第一道防線，是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間(如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間)的設(shè)備，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻 = 硬件 +軟件 +控制策略寬松控制策略:除非明確禁止，否則允許。限制控制策略:除非明確允許，否則禁止。防火墻的原理防火墻是一項(xiàng)協(xié)助確保信息安全的設(shè)備，它主要由服務(wù)訪問規(guī)則、驗(yàn)證工具

3、、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。防火墻的原理防火墻最基本原理就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。典型信任的區(qū)域包括互聯(lián)網(wǎng)和一個(gè)內(nèi)部網(wǎng)絡(luò)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。防火墻在安全體系中的位置防火墻的功能網(wǎng)絡(luò)安全的屏障一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通

4、過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。防火墻的功能強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密

5、口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。防火墻的功能監(jiān)控審計(jì)如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防火墻的功能防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏

6、感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會被外界所了解。除了安全作

7、用，防火墻還支持具有Internet服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。防火墻的功能日志記錄與事件通知進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻，防火墻通過日志對其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。防火墻的基本功能模塊防火墻和路由器的差異防火墻的類型大致可以分為三類包過濾防火墻代理服務(wù)器防火墻狀態(tài)監(jiān)視器防火墻包過濾防火墻包過濾防火墻的工作原理：采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址，目的地址，所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組

8、預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。包過濾防火墻的優(yōu)點(diǎn)： 價(jià)格比較低 對用戶透明 對網(wǎng)絡(luò)性能的影響很小、速度快、易于維護(hù)。包過濾防火墻的缺點(diǎn)： 包過濾配置起來比較復(fù)雜 對IP欺騙式攻擊比較敏感 沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊計(jì)錄。 攻擊一個(gè)單純的包過濾式的防火墻對黑客來說比較容易。包過濾防火墻代理服務(wù)器防火墻代理服務(wù)器防火墻的工作原理： 代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機(jī)。 當(dāng)代理服務(wù)器接收到用戶的請求后，會檢查用戶請求的站點(diǎn)是否符合公司

9、的要求，如果公司允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會像一個(gè)客戶一樣，去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。代理服務(wù)器防火墻的優(yōu)點(diǎn)： 可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來，增強(qiáng)網(wǎng)絡(luò)的安全性； 可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。代理服務(wù)器防火墻的缺點(diǎn)： 使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)；（所有內(nèi)部網(wǎng)絡(luò)的主機(jī)均需通過代理服務(wù)器主機(jī)才能獲得Internet上的資源，因此會造成使用上的不便，而且代理服務(wù)器很有可能會成為系統(tǒng)的“瓶頸”）。 代理服務(wù)器防火墻狀態(tài)監(jiān)視器防火墻狀態(tài)監(jiān)視器防火墻的工作原理： 采用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正

10、常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的隔離層實(shí)施檢測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。狀態(tài)監(jiān)視器防火墻的優(yōu)點(diǎn)： 安全特性較好 檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充；它會檢測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關(guān)都不支持此類端口；防范攻擊較堅(jiān)固。狀態(tài)監(jiān)視器防火墻的缺點(diǎn)： 配置非常復(fù)雜、會降低網(wǎng)絡(luò)的速度。非軍事化區(qū)（Demilitarized Zone,縮寫為DMZ）防火墻可以保證內(nèi)部網(wǎng)絡(luò)的客戶端，訪問外部網(wǎng)絡(luò)的服務(wù)器，但外部網(wǎng)絡(luò)的客戶端被禁止訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)器。為了解決這個(gè)問題，可以通過防火墻設(shè)立一個(gè)非安

11、全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。這個(gè)緩沖區(qū)位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如web服務(wù)器等等，這就是非軍事化區(qū)。防火墻的優(yōu)點(diǎn)保護(hù)脆弱的服務(wù)。通過定義一個(gè)中心“扼制點(diǎn)”及過濾不安全的網(wǎng)絡(luò)服務(wù)，防火墻可防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，減少內(nèi)網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。控制對系統(tǒng)的訪問?？商峁ο到y(tǒng)的訪問控制，如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)，允許內(nèi)部員工使用某些資源而不能使用其他資源等。集中的安全管理。對內(nèi)網(wǎng)實(shí)行集中的安全管理。通過制定安全策略，其安全防護(hù)措施可運(yùn)行于整個(gè)內(nèi)網(wǎng)系統(tǒng)中而無須在每個(gè)主機(jī)中分別設(shè)立。同時(shí)還可將內(nèi)網(wǎng)中需改動的程序都存

12、于防火墻中而不是分散到每個(gè)主機(jī)中，便于集中保護(hù)。增強(qiáng)保密性?？勺柚构粽攉@取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息。有效地記錄Internet上的活動。因?yàn)樗羞M(jìn)出信息都必須通過防火墻，所以非常便于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。防火墻的不足之處不能防范來自內(nèi)部的攻擊。對內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件等行為無能為力。不能防范不通過它的連接。對有意繞過它進(jìn)/出內(nèi)網(wǎng)的用戶或數(shù)據(jù)無法阻止，從而給系統(tǒng)帶來威脅，如用戶可以將數(shù)據(jù)復(fù)制到磁盤中帶出內(nèi)網(wǎng)。不能防范未知的威脅。能較好地防備已知的威脅，但不能自動防御所有新的威脅。不能完全防范病毒的破壞。為了提高安全性，限制和關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶

13、來了使用的不便。防火墻的設(shè)置及使用防火墻有很多種產(chǎn)品，按產(chǎn)品的形態(tài)和實(shí)現(xiàn)方法，可分為硬件防火墻和軟件防火墻。不管是硬件防火墻還是軟件防火墻，都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。硬件防火墻是通過硬件和軟件的組合來達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目的，而軟件防火墻是通過純軟件的方式實(shí)現(xiàn)隔離內(nèi)外部網(wǎng)絡(luò)的目的。硬件防火墻對比軟件防火墻的優(yōu)熱可以概括為：1、性能優(yōu)勢。防火墻的性能對防火墻來說是至關(guān)重要的。它決定了每秒鐘通過防火墻的數(shù)據(jù)流量，單位是bps，從幾十M到幾百M(fèi)不等，還有千兆防火墻甚至達(dá)到幾G的防火墻。而軟件防火墻則不可能達(dá)到如此高的速率。2、CPU占用率的優(yōu)勢。硬件防火墻的CPU占用率當(dāng)然是0了，而軟

14、件防火墻就不同了，如果處于節(jié)約成本的考慮將防火墻軟件安裝在提供服務(wù)的主機(jī)上，當(dāng)數(shù)據(jù)流量較大時(shí)，CPU占用率將是主機(jī)的殺手，將拖跨主機(jī)。3、售后支持。硬件防火墻廠家會對防火墻產(chǎn)品有跟蹤的服務(wù)支持，而軟件防火墻的用戶能得到這種機(jī)會的相對較少，而且廠家也不會在軟件防火墻上下太大的功夫和研發(fā)經(jīng)費(fèi)。防火墻的設(shè)置及使用硬件防火墻應(yīng)用于有一定規(guī)模的網(wǎng)絡(luò)，一般用于對安全要求較高的網(wǎng)絡(luò)中。家庭或小型私人網(wǎng)絡(luò)一般不需要安裝硬件防火墻。原因：硬件防火墻需要有一定專業(yè)能力的人員進(jìn)行調(diào)試和設(shè)置。 硬件防火墻成本偏高。軟件防火墻運(yùn)行于計(jì)算機(jī)上，它需要計(jì)算機(jī)操作系統(tǒng)的支持，一般來說安裝了防火墻的計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)，俗稱“個(gè)人防火墻”。選擇一個(gè)合適的個(gè)人防火墻是構(gòu)建個(gè)人安全用網(wǎng)環(huán)境的關(guān)鍵。軟件防火墻目前有很多成熟的產(chǎn)品： 例如瑞星個(gè)人防火墻、諾頓網(wǎng)絡(luò)防火墻等 Windows7.0版本以上自帶的防火境已經(jīng)成為系統(tǒng)中不可或缺的一部分。無論安裝哪種第三方防火墻。都不應(yīng)該關(guān)閉Windows操作系統(tǒng)自帶的防火墻。殺毒軟件、安全衛(wèi)士、防火墻類型舉例主要功能區(qū)別結(jié)論殺毒軟件金山毒霸查殺病毒和防御病毒入侵殺毒軟件主要用來查殺和預(yù)防計(jì)算機(jī)病毒。防火墻軟件主要用來預(yù)防黑客攻擊。安全衛(wèi)