1樓:匿名使用者
防火牆優點:
1.能夠強化安全策略.
2.能夠有效記錄inter***上的活動.
3.是一個安全的檢查站.
缺點:1.不能防範惡意內部使用者.
2.不能防範不通過防火牆的連線.
3.不能防範全部的威脅.
4.不能防範病毒.
防火牆技術包括:1.包過濾技術2.應用**技術3.狀態檢測技術
常見防火牆模型有哪些?比較它們的優缺點.常見防火牆系統模型
2樓:未
常見防火牆系統模型
常見防火牆系統一般按照四種模型構建:
篩選路由器模型,單宿主堡壘主機(遮蔽主機防火牆)模型,雙宿主堡壘主機模型(遮蔽防火牆系統模型)和遮蔽子網模型.
篩選路由器模型
篩選路由器模型是網路的第一道防線,功能是實施包過濾.建立相應的過濾策略時對工作人員的tcp/ip的知識有相當的要求,如果篩選路由器被黑客攻破那麼內部網路將變的十分的危險.該防火牆不能夠隱藏你的內部網路的資訊,不具備監視和日誌記錄功能.
單宿主堡壘主機模型
雙宿主堡壘主機模型
雙宿主堡壘主機模型(遮蔽防火牆系統)可以構造更加安全的防火牆系統.雙宿主堡壘主機有兩種網路介面但是主機在兩個埠之間直接**資訊的功能被關掉了.在物理結構上強行將所有去往內部網路的資訊經過堡壘主機.
遮蔽子網模型
遮蔽子網模型用了兩個包過濾路由器和一個堡壘主機.它是最安全的防火牆系統之一,因為在定義了"中立區"(dmz,demilitarized zone)網路後,它支援網路層和應用層安全功能.網路管理員將堡壘主機,資訊伺服器,modem組,以及其它公用伺服器放在dmz網路中.
如果黑客想突破該防火牆那麼必須攻破以上三個單獨的裝置.
防火牆有哪些功能特點?
3樓:匿名使用者
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術範疇。在這一層上,企業對安全系統提出的問題是:所有的ip是否都能訪問到企業的內部網路系統?
如果答案是 「是」,則說明企業內部網還沒有在網路層採取相應的防範措施。
----作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一。雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著資料安全與使用者認證、防止病毒與黑客侵入等方向發展。
----根據防火牆所採用的技術不同,我們可以將它分為三種基本型別:包過濾型、**型和監測型。
----1.包過濾型
----包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以「包」為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個資料包中都會包含一些特定資訊,如資料的源地址、目標地址、 tcp/udp源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些「包」 是否來自可信任的安全站點,一旦發現來自危險站點的資料包,防火牆便會將這些資料拒之門外。
系統管理員也可以根據實際情況靈活制訂判斷規則。
----包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
----但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的**、目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵入,如惡意的java小程式以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造ip地址,騙過包過濾型防火牆。
----2.**型
----**型防火牆也可以被稱為**伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。**伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,**伺服器相當於一臺真正的伺服器;而從伺服器來看,**伺服器又是一臺真正的客戶機。
當客戶機需要使用伺服器上的資料時,首先將資料請求發給**伺服器,**伺服器再根據這一請求向伺服器索取資料,然後再由**伺服器將資料傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
----**型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響,而且**伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定,大大增加了系統管理的複雜性。
----3.監測型
----監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。
據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
4樓:匿名使用者
防火牆能幫你擋住木馬
防火牆的優點,缺點,功能
5樓:匿名使用者
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的nfs協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。
防火牆同時可以保護網路免受基於路由的攻擊,如ip選項中的源路由攻擊和icmp重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計資料。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細資訊。另外,收集一個網路的使用和誤用情況也是非常重要的。
首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部資訊的外洩:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了區域性重點或敏感網路安全問題對全域性網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如finger,dns等服務。
finger顯示了主機的所有使用者的註冊名、真名,最後登入時間和使用shell型別等。但是finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。
防火牆可以同樣阻塞有關內部網路中的dns資訊,這樣一臺主機的域名和ip地址就不會被外界所瞭解。
除了安全作用,防火牆還支援具有inter***服務特性的企業內部網路技術體系vpn。通過vpn,將企事業單位在地域上分佈在全世界各地的lan或專用子網,有機地聯成一個整體。不僅省去了專用通訊線路,而且為資訊共享提供了技術保障。
防火牆技術有哪些?
6樓:哆啦a夢是夢想家
從實現原理上分,防火牆的技術包括四大類:網路級防火牆、應用級閘道器、電路級閘道器和規則檢查防火牆。
1、網路級防火牆
一般是基於源地址和目的地址、應用、協議以及每個ip包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的資訊與某規則相符。
如果沒有一條規則能符合,防火牆就會使用預設規則,一般情況下,預設規則就是要求防火牆丟棄該包。通過定義基於tcp或udp資料包的埠號,防火牆能夠判斷是否允許建立特定的連線,如tel***、ftp連線。
2、應用級閘道器
應用級閘道器能夠檢查進出的資料包,通過閘道器複製傳遞資料,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用級閘道器能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。
它針對特別的網路應用服務協議即資料過濾協議,並且能夠對資料包分析並形成相關的報告。應用閘道器對某些易於登入和控制所有輸出輸入的通訊的環境給予嚴格的控制,以防有價值的程式和資料被竊取。
3、電路級閘道器
電路級閘道器用來監控受信任的客戶或伺服器與不受信任的主機間的tcp握手資訊,這樣來決定該會話是否合法,電路級閘道器是在osi模型中會話層上來過濾資料包,這樣比包過濾防火牆要高二層。
電路級閘道器**伺服器功能,**伺服器是設定在inter***防火牆閘道器的專用應用級**。這種**服務准許網管員允許或拒絕特定的應用程式或一個應用的特定功能。包過濾技術和應用閘道器是通過特定的邏輯判斷來決定是否允許特定的資料包通過,成功地實現了防火牆內外計算機系統的隔離。
4、規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級閘道器和應用級閘道器的特點。能夠在osi網路層上通過ip地址和埠號,過濾進出的資料包,也能夠檢查syn和ack標記和序列數字是否邏輯有序。當然它也象應用級閘道器一樣,可以在osi應用層上檢查資料包的內容,檢視這些內容是否能符合企業網路的安全規則。
規則檢查防火牆雖然整合前三者的特點,但是不同於一個應用級閘道器的是,它並不打破客戶機/伺服器模式來分析應用層的資料,它允許受信任的客戶機和不受信任的主機建立直接連線。規則檢查防火牆不依靠與應用層有關的**,而是依靠某種演算法來識別進出的應用層資料。
擴充套件資料
應用防火牆技術考慮以下方面:
1、防火牆是不能防病毒的。
2、防火牆技術的另外一個弱點在於資料在防火牆之間的更新是一個難題,如果延遲太大將無法支援實時服務請求。
防火牆採用濾波技術,濾波通常使網路的效能降低50%以上,如果為了改善網路效能而購置高速路由器,又會大大提高經濟預算。
防火牆是企業網安全問題的常用方案,即把公共資料和服務置於防火牆外,使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術,防火牆具有簡單實用的特點,並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。
有必要裝網路防火牆麼?哪個網路防火牆好
有啊,不管你復是怎樣的制 高手,這兩種軟體 還是需要安裝的。雖然在面對新病毒時,防毒軟體會變得手足無措,倒不如自己上網找防毒辦法。但有一個防毒軟體就是多了一道屏障,不管這道屏障有多高或多矮,始終是利大於弊的。防毒軟體我用的是金山毒霸,我覺得不錯,建議安裝金山毒霸!防火牆也是必須要安裝的,如金山網鏢2...
軟體防火牆,硬體防火牆和軟體防火牆的區別?
當然有啊,要是個人使用者的防毒軟體是套裝,那是自帶防火牆的,比如瑞星安全套裝 諾頓安全套裝 卡巴斯基安全套裝,都是殺軟加防火牆的。單獨的個人防火牆多數人會用免費的,如風雲防火牆 天網防火牆等,下面我給你介紹一下十大免費防火牆,個人使用者會選擇這其中的一些 1.comodo firewall como...
什麼是網路級防火牆和應用級防火牆
網路級防火牆一般根據源 目的地址做出決策,輸入單個的ip包。一臺簡單的路由器是 傳統的 網路級防火牆,因為它不能做出複雜的決策,不能判斷出一個包的實際含意或包的實際出處。現代網路級防火牆已變得越來越複雜,可以保持流經它的接入狀態 一些資料流的內容等等有關資訊。許多網路級防火牆之間的一個重要差別是防火...