防火墙与三层交换机的功能与作用.docx

1、防火墙与三层交换机的功能与作用防火墙定义所谓防火墙指的是一个由软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Interne t与Intranet之间建立起一个安全网关（Security Gateway），从而保护部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将部网和公众访问网(如Internet)分开的方

2、法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司部的人就无法访问Internet，Internet上的人也无法和公司部的人进行通信。 编辑本段作用防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 古代防火墙作用：古人在建筑物的两侧山墙和后檐墙上，不开门窗，不采用可燃材料，谓

3、之风火檐，也称封火檐。这是防火墙的一种形式。故宫也有这种防火墙。据清朝钦定四库全书中的国朝宫史（卷三）记载，雍正五年十一月二十三日（1728年1月4日）雍正皇帝在“上谕”中指出：“宫中火烛最要小心。如日精门、月华门向前一带，围房后俱有做饭值房。虽尔等素知小心，凡事不可不为之预防。可将围房后檐改为风火檐。即十二宫上大房有相近做饭小房之处，着其意改风火檐者亦行更改。”雍正皇帝为了接受皇宫过去发生火灾的教训，命令工部大臣将三大殿东西配殿以及东六宫、西六宫的两侧山墙和后檐墙统统改为风火檐，全然不用木质材料。这十三处防火墙的总长度约4000米，对于防止故宫火势蔓延发挥了应有的作用。 编辑本段类型网络层防

4、火墙网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已置防火墙功能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。 应

5、用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的容，可以防电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。 （一）部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网

6、络位置特性，同时也是一个前提。因为只有当防火墙是、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。 根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位部的局域网

7、，而另一端则连接着互联网。所有的、外部网络之间的通信都要经过防火墙。 （二）只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的

8、（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图： （三）防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。 目前国的防火墙几乎被国外的

9、品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国产品高。而国防火墙厂商对国用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。 代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。 代理由外在网络使窜改一个部系统更加困难, 并且一个部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适

10、当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它部机器。 当对部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。 防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在RFC 1918 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装部地址或网络。 防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。 编辑本段优点（1）防火墙能强化安

11、全策略。 （2）防火墙能有效地记录Internet上的活动。 （3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 编辑本段功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域)

12、 和一个部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 例如：TCP/IPPort 135139是 Microsoft Windows的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。 防火墙对流经它的网络通信进行

13、扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 网络安全的屏障一个防火墙（作为阻塞点、控制点）能极提高一个部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向

14、路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用

15、和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止部信息的外泄通过利用防火墙对部网络的划分，可实现部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是部网络非常关心的问题，一个部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等

16、。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 编辑本段VPN除了安全作用，防火墙还支持具有Internet服务特性的企业部网络技术体系VPN（虚拟专用网）。 防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。 防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个