1.防火墙的概念
防火墙是指在内部网与外部网之间实施安全防范的系统,是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。防火墙一般安置在不同点域的出入口处,对进出网络的IP信息包进行过滤并按定义的安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
2.防火墙的基本准则
未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种相当安全的环境,因为只有经过仔细挑选的服务才被允许使用。但是带来的弊端是,安全性高于用户使用的方便性,用户所能使用的范围大大受到限制。
未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。但是其弊病是,在日益增多的网络服务面前,网管人员将疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
3.防火墙的基本类型
包过滤型:包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外,PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议、端口号等进行筛选。
代理服务型:代理服务型防火墙通常由服务器端程序和客户端程序两部分构成。客户端程序与中间节点连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志及审计服务。(www.xing528.com)
复合型:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机,负责提供代理服务。
其他:路由器和各种主机按其配置和功能可组成各种类型的防火墙。
4.防火墙的局限性
防火墙具有以下局限性:
防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从互联网服务提供商那里购置直接的网络(SLIP或IP)连接,就可绕过防火墙系统所提供的安全保护,从而造成一种潜在的后门攻击通道。
同时,防火墙不能防止由内奸或用户误操作造成的威胁,以及由于口令泄露而受到的攻击。
此外,防火墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、文件类型的种类太多且更新很快,所以防火墙无法逐个扫描每个文件以查找病毒。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
