防火墙有什么作用.docx
《防火墙有什么作用.docx》由会员分享,可在线阅读,更多相关《防火墙有什么作用.docx(18页珍藏版)》请在冰豆网上搜索。
防火墙有什么作用
2019年防火墙有什么作用
篇一:
防火墙的作用是什么六
防火墙的作用是什么六
防火墙的作用是什么,IDS的作用是什么
业界的同行曾经说过“安全,是一种意识,而不是某种的技术就能实现真正的安全。
”随着工作的时间渐长,对这句话的体会就越深。
再防守严密的网络,利用人为的疏忽,管理员的懒惰和社会工程学也可能被轻易攻破。
因此,在这里我介绍的防火墙和IDS技术,只是我们在网络安全环节中进行的一个防御步骤。
在网络内进行防火墙与IDS的设置,并不能保证我们的网络就绝对安全了,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。
接下来,让我们正确地认识一下防火墙和IDS的作用吧。
防火墙
一、防火墙能够作到些什么?
1.包过滤
具备包过滤的就是防火墙?
对,没错!
根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。
早期的防火墙一般就是利用设置的条件,jian测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。
虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。
通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的tou明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。
如果用示意图来表示就是Server—FireWall—Guest。
用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足?
1.防火墙可以阻断攻击,但不能消灭攻击源。
“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。
互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。
设置得当的防火墙能够阻挡他们,但是无法清除攻击源。
即使防火墙进行了良好的设置,使得攻击无法穿tou防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。
例如接主干网10M网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。
那
么,即使成功设置了防火墙后,这512K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。
防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。
如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。
而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。
例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。
由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。
或许一道严密防守的防火墙内部的网络是一片混乱也有可能。
通过社会工程学发送带木马的邮件、带木马的URL等方式,
然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。
另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。
6.防火墙本身也会出现问题和受到攻击
防火墙也是一个os,也有着其硬件系统和软件,因此依然有着漏洞和bug。
所以其本身也可能受到攻击和出现软/硬件方面的故障。
7.防火墙不处理病毒
不管是funlove病毒也好,还是CIH也好。
在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时jian控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。
是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。
“真正的安全是一种意识,而非技术!
”请牢记这句话。
不管怎么样,防火墙仍然有其积极的一面。
在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。
那么,怎么选择需要的防火墙呢?
防火墙的分类
首先大概说一下防火墙的分类。
就防火墙(本文的防火墙都指商业用途的
网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种:
第一种:
软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:
硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些
经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。
国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的os专用。
第三种:
芯片级防火墙
它们基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。
这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。
在这里,特别纠正几个不正确的观念:
1.在性能上,芯片级防火墙>硬件防火墙>软件防火墙。
在价格上看来,的确倒是如此的关系。
但是性能上却未必。
防火墙的“好”,是看其支持的并发数、最大流量等等性能,而不是用软件硬件来区分的。
事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是完全一样的。
目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙,原因1是考虑到用户网络管理员的素质等原因,还有就是基于我国大多数民众对“看得见的硬件值钱,看不到的软件不值钱”这样一种错误观点的迎合。
不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让自己那加上了外壳的普通pc+一个被修改后的内核+一套防火墙软件能够卖出一个好价钱来而已。
而为什么不作芯片级防火墙呢?
坦白说,国内没有公司有技术实力。
而且在中国市场上来看,某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。
看看国内XX的硬件防火墙那拙劣的硬盘和网卡,使用过的人都能猜到是哪家,我就不点名了。
真正看防火墙,应该看其稳定性和性能,而不是用软、硬来区分的。
至少,如果笔者自己选购,我会选择购买CheckPoint而非某些所谓的硬件防火墙的。
2.在效果上,芯片防火墙比其他两种防火墙好
这同样也是一种有失公允的观点。
事实上芯片防火墙由于硬件的独立,的确在OS本身出漏洞的机会上比较少,但是由于其固化,导致在面对新兴的一些攻击方式时,无法及时应对;而另外两种防火墙,则可以简单地通过升级os的内核来获取系统新特性,通过灵活地策略设置来满足不断变化的要求,不过其OS出现漏洞的概率相对高一些。
3.唯技术指标论
请以“防火墙买来是使用的”为第一前提进行购买。
防火墙本身的质量如何是一回事,是否习惯使用又是另一回事。
如果对一款产品的界面不熟悉,策略设置方式不理解,那么即使用世界最顶级的防火墙也没有多大作用。
就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到,肯定也敌不过乔峰赤手的少林长拳是一般道理。
防火墙技术发展至今,市场已经很成熟了,各类产品的存在,自然有其生存于市场的理由。
如何把产品用好,远比盲目地比较各类产品好。
IDS
什么是IDS呢?
早期的IDS仅仅是一个jian听系统,在这里,你可以把jian听理解成qie听的意思。
基于目前局网的工作方式,IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。
再后来,由于IDS的记录太多了,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录,这一点上跟目前windows所用的策略审核上很象;目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加;而更新一代的IDS,就颇有“路见不平,拔刀相助”的味道了,配合上防火墙进行联动,将IDS分析出有敌意的地址阻止其访问。
就如理论与实际的区别一样,IDS虽然具有上面所说的众多特性,但在实际的使用中,目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前行为,并且IDS的阻断范围也很小,只能阻断建立在TCP基础之上的一些行为,如Telnet、FTP、HTTP等,而对于一些建立在UDP基础之上就无能为力了。
因为防火墙的策略都
是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全,所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度。
接下来,我简单介绍一下IDS与防火墙联动工作原理
入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
一般来说,很多情况下,不少用户的防火墙与IDS并不是同一家的产品,因此在联动的协议上面大都遵从opsec或者topsec协议进行通信,不过也有某些厂家自己开发相应的通信规范的。
目前总得来说,联动有一定效果,
篇二:
防火墙的主要功能
电路级网关型防火墙
它监视两主机建立连接时的握手信息,从而判断该会话请求是否合法,它工作于会话层状态包检测
网络层拦截输入包,并利用足够的企图连接的状态信息做出决策包过滤防火墙
入侵者总是把他们伪装成来自于内部网。
要用包过滤路由器来实现我们设计的安全规则,唯一的方法是通过参数网络上的包过滤路由器。
只有处在这种位置上的包过滤路由器才能通过查看包的源地址,从而辨认出这个包到底是来自于内部网还是来自于外部网。
优点仅用一个放置在重要位置上的包过滤路由器就可保护整个网
络
缺点包过滤规则配置和测试,找一个比较完整的包过滤产品比较
困难应用代理服务
运行在防火墙主机上的一些特定的应用程序或者服务程序。
位于内部用户和外部服务之间。
代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。
优点许用户“直接”访问因特网,适合于做日志
缺点落后于非代理服务,每个代理服务要求不同的服务器,要求
对客户或程序进行修改,对某些服务来说是不合适,不能保护你不受协议本身缺点的限制同PTP和L2TP都使用PPP协议对数据进行封装然后添加附加包头
用于数据在互联网络上的传输
异:
PPTP要求互联网络为IP网络,L2TP只要求隧道媒介提供面
向数据包的点对点的连接。
PPTP只能在两端点间建立单一隧道。
L2TP支持在两端点间使用多
隧道。
L2TP可以提供包头压缩。
当压缩包头时,系统开销占用4个字节,而PPTP协议下要占用6个字节。
L2TP可以提供隧道验证,而PPTP则不支持隧道验证。
GRE协议有如下优点缺点:
通过GRE,用户可以利用公共IP网络连接非IP网络VPN通过GRE,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
扩大了网络的工作范围,包括那些路由网关有限的协议。
只封装不加密,路由器性能影响较小,设备档次要求相对较低。
缺点只封装不加密,不能防止网络监听和攻击,所以在实际环境中经常与IPSec一起使用。
基于隧道的VPN实现方式,所以IPSecVPN在管理、组网上的缺陷,GREVPN也同样具有。
对原有IP报文进行了重新封装,所以同样无法实施IPQoS策略。
防火墙的主要功能
访问控制,内容控制,全面的日志集中管理,自身的安全和可用性,流量控制,NAT,VPN防火墙的局限性
不能防范不经防火墙的攻击;不能防止感染病毒的软件或文件的传输;不能防止数据驱动式攻击;不能防止内部用户的破坏;不能防备不断更新的攻击
入侵检测就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
检测和分析系统事件以及用户的行为;测试系统设置的安全状态;系统的安全状态为基础,跟踪对系统安全的修改操作;通过模式识别等技术从通信行为中检测出已知的攻击行为;对网络通信行为进行统计检测分析;管理操作系统认证和日志机制并对产生的数据进行分析处理;在检测到攻击的时候,通过适当的方式进行适当报警处理;通过对分析引擎的配置对网络安全进行评估和监督;允许非安全领域的管理人员对重要的安全事件进行有效的处理。
异常检测技术和误用检测技术的比较
同:
要搜集总结有关网络入侵行为的各种知识,或者系统及其用户
的各种行为的知识。
异常检测:
掌握被保护系统已知行为和预期行为的所有信息,不断地学习并更新已有的行为轮廓。
误用检测:
拥有入侵行为的先验知识,识别入侵行为的过程细节,特征模式,检测出已有的入侵模式,不断地对新出现的入侵行为进行总结和归纳。
2配置方面,异常做的工作少,配置难度大,需要对系统和用户的行为轮廓进行不断的学习更新,需要大量的数据分析处理工作,要求管理员能够总结出被保护系统的所有正常行为状态,对系统的已知和期望行为进行全面的分析,但是误用检测允许管理员对入侵特征数据库进行修改,甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录,工作量会显著增加。
3异常输出的检测结果,通常是在对实际行为与行为轮廓进行异常分析等相关处理后得出的,检测报告具有更多的数据量,误用将当前行为模式与已有行为模式进行匹配后产生检测结论,其输出内容是列举出入侵行为的类型和名称,以及提供相应的处理建议。
ESP的传输模式与隧道模式比较
报文结构不同;ESP头部中的SPI和序号都不被加密;ESP隧道外部IP不加密也不验证;ESP隧道比传输更加安全;隧道占用更多的带宽
ESP比AH多了数据包和数据流加密
传输模式中ESP不会对整个IP包进行验证,IP包头部不被验证,因此ESP无AH中的NAT模式冲突
篇三:
防火墙的作用
防火墙的作用
防火墙就是对通过互联网连接进入您的专用网络或计算机系统的信息进行过滤的程序或硬件设备。
如果过滤器对传入的信息数据包进行标记,则不允许该数据包通过。
如果阅读过Web服务器工作原理,那么您对互联网上的数据传输方式应该已经有了充分认识,并且能够很容易看出防火墙是如何帮助人们保护大公司内的计算机的。
假设您所就职的公司拥有500名员工。
公司因而有数百台计算机通过网卡互相连接。
此外,公司还有一个或多个通过T1或T3等类似线路实现的互联网连接。
如果不安装防火墙,则互联网上的任何人都可以直接访问这数百台计算机。
懂行的人可能探查这些计算机,尝试与这些计算机建立FTP连接,尝试与它们建立telnet连接,等等。
如果有员工犯错从而留下安全漏洞,那么黑客可以进入相应的计算机并利用漏洞。
如果安装防火墙,情况将大不相同。
公司将在每个互联网连接处布置防火墙(例如,在每条进入公司的T1线路上)防火墙可以实施安全规则。
例如,公司内的一条安全规则可能是:
在本公司内的500台计算机中,只允许一台计算机接收公共FTP通信。
只允许与该计算机建立FTP连接,而阻止与其他任何计算机建立这样的连接。
公司可以为FTP服务器、Web服务器、Telnet服务器等设置类似的规则。
此外,公司还可以控制员工连接网站的方式、控制是否允许文件通过网络离开公司等。
利用防火墙,公司可以对人们使用网络的方式进行诸多控制。
防火墙使用以下三种方法中的一种或多种来控制流入和流出网络的通信:
?
数据包过滤——根据一组过滤器分析数据包(小的数据块)。
通过过滤器的数据包将发送到请求数据包的系统,没有通过的数据包将被丢弃。
?
代理服务——防火墙检索来自互联网的信息,然后将信息发送到请求信息的系统,反之亦然。
?
状态检测——这是一种较为新颖的方法,它并不检查每个数据包的内容,而是将数据包的特定关键部分与受信任信息数据库进行比较。
从防火墙内部传递到外部的信息将受到监视,以获得特定的定义特征,然后将传入的信息与这些特征进行比较。
如果通过比较得出合理的匹配,则允许信息通过。
否则将丢弃信息。
定制合适的防火墙
可以对防火墙进行定制。
这意味着您可以根据多个条件来添加或删除过滤器。
其中一些条件如下:
?
IP地址——互联网上的每台计算机被分配了一个唯一的地址,称为IP地址。
IP地址是32位数字,通常表示为4个“八位二进制数”,并以“句点分隔的十进制数”直观表示。
典型的IP地址如下所示:
216.27.61.137。
例如,如果公司外部的某个IP地址从服务器读取了过多文件,则防火墙可以阻止与该IP地址之间的所有通信。
?
域名——由于组成IP地址的数字串不容易记住,而且IP地址有时需要更改,因此互联网上的所有服务器还拥有易于理解的名称,称为域名。
例如,对大多数人来说,记住比记住216.27.61.137更容易。
公司可以阻止对特定域名进行的所有访问,或者仅允许访问特定域名。
?
协议——协议是想要使用某一服务的某一方与该服务之间进行通信的一种预定义方式。
“某一方”可能是一个人,但在更多的情况下,它是一个计算机程序,例如Web浏览器。
协议通常是文本,并简单说明客户机和服务器进行会话的方式。
http是Web协议。
公司可以只设置一台或两台计算机来处理特定协议,而在其他所有计算机上禁用该协议。
下面是一些可以为其设置防火墙过滤器的常见协议:
?
IP(互联网协议,InternetProtocol)——互联网上的主要信息传递系统
?
TCP(传输控制协议,TransmissionControlProtocol)——用于拆分和复原互联网上传递
的信息
?
HTTP(超文本传输协议,HyperTextTransferProtocol)——用于网页
?
FTP(文件传输协议,FileTransferProtocol)——用于下载和上传文件
?
UDP(用户数据报协议,UserDatagramProtocol)——用于无需响应的信息,如音频流和视频流
?
ICMP(Internet控制消息协议,InternetControlMessageProtocol)——供路由器用来与其他路由器交换信息
?
SMTP(简单邮件传输协议,SimpleMailTransportProtocol)——用于发送基于文本的信息(电子邮件)
?
SNMP(简单网络管理协议,SimpleNetworkManagementProtocol)——用于从远程计算机收集系统信息
?
Telnet——用于在远程计算机上执行命
?
端口——任何服务器计算机都使用带编号的端口向互联网提供服务,每个端口对应于该服务器上提供的一项服务(详细信息,请参见Web服务器工作原理)。
例如,如果服务器计算机正在运行Web(HTTP)服务器和FTP服务器,则通常可以通过端口80访问Web服务器,并可以通过端口21访问FTP服务器。
除一台计算机外,公司可能阻止对公司内其他所有计算机上的端口21进行访问。
?
特定词汇和短语——这可以是任意内容。
防火墙将嗅探(彻底搜寻)每个信息数据包,确定是否存在与过滤器中列出的文本完全匹配的内容。
例如,您可以指示防火墙阻止任何含有“X-rated”一词的数据包。
这里的关键在于必须是精确匹配。
“X-rated”过滤器不会捕捉“Xrated”(不含连字符)。
但您可以根据需要包括任意多的词汇、短语以及它们的变体。
一些操作系统内置了防火墙。
如果没有,您可以在家中具有互联网连接的计算机上安装软件防火墙。
该计算机称为网关,因为它提供了家庭网络与互联网之间的唯一接入点。
至于硬件防火墙,防火墙装置本身通常就是网关。
LinksysCable/DSL路由器就是这方面的例子。
它内置了以太网卡和集线器。
家庭网络中的计算机与路由器连接,而路由器又与电缆调制解调器或DSL调制解调器连接。
您可以通过基于Web的界面配置路由器,该界面可以通过计算机上的浏览器访问。
然后,您可以设置任何过滤器或其他信息。
硬件防火墙非常安全,而且价格也不贵。
包含路由器、防火墙和以太网集线器的、用于宽带连接的家庭版硬件防火墙价格在100美元以内。
防火墙提供哪些保护?
肆无忌惮的人们想出了各种富有创意的方法来访问或滥用未加保护的计算机:
?
远程登录
升级会员 