一、防火墻的作用有哪些
我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統,那么具體的防火墻的作用有哪些呢?
1、過濾(lv)進出網絡的數(shu)據?
2、管理進(jin)出訪問網絡的行為?
3、封堵某些(xie)禁止業務?
4、記錄通過(guo)防火墻信息內容和活(huo)動?
5、對網(wang)絡攻擊檢測和告警
二、實施防火墻主要采用什么技術
實施防火墻主要采用以下(xia)技術:
1、代理技術
代(dai)(dai)理(li)系統(tong)是一(yi)(yi)種(zhong)將(jiang)信息從(cong)防火(huo)(huo)墻的(de)一(yi)(yi)側(ce)(ce)傳送到(dao)另(ling)一(yi)(yi)側(ce)(ce)的(de)軟件模塊。新一(yi)(yi)代(dai)(dai)防火(huo)(huo)墻采用了(le)兩種(zhong)代(dai)(dai)理(li)機制,一(yi)(yi)種(zhong)用于代(dai)(dai)理(li)從(cong)內部網絡(luo)到(dao)外部網絡(luo)的(de)連接,另(ling)一(yi)(yi)種(zhong)用于代(dai)(dai)理(li)從(cong)外部網絡(luo)到(dao)內部網絡(luo)的(de)連接。前者采用網絡(luo)地址轉換(NAT)技(ji)術來解決,后(hou)者采用非保(bao)(bao)密的(de)用戶(hu)定制代(dai)(dai)理(li)或保(bao)(bao)密的(de)代(dai)(dai)理(li)系統(tong)技(ji)術來解決。
2、多級過濾技術
就是在防火墻中設置多(duo)層(ceng)(ceng)過濾(lv)規則。在網絡(luo)層(ceng)(ceng),利用分(fen)組(zu)(zu)過濾(lv)技(ji)術攔截(jie)所(suo)有假冒的IP源(yuan)地址和(he)源(yuan)路由(you)分(fen)組(zu)(zu);根(gen)據過濾(lv)規則,傳輸層(ceng)(ceng)攔截(jie)所(suo)有禁止(zhi)出(chu)/入的協議和(he)數據包;在應用層(ceng)(ceng),利用FTP、SMTP等網關對(dui)各(ge)種Internet的服務進行監測(ce)和(he)控制。
為保證(zheng)系統的(de)安(an)全性(xing)和防護水平,新一(yi)代(dai)防火墻采用(yong)(yong)了三級(ji)(ji)(ji)過濾措施,并輔以鑒別(bie)手段。在(zai)(zai)分組(zu)過濾一(yi)級(ji)(ji)(ji),能過濾掉所(suo)有(you)的(de)源路由(you)分組(zu)和假(jia)冒的(de)IP源地(di)址。在(zai)(zai)應用(yong)(yong)級(ji)(ji)(ji)網(wang)關一(yi)級(ji)(ji)(ji),能利用(yong)(yong)FTP、SMTP等各(ge)種(zhong)網(wang)關,控制和監測(ce)Internet提供的(de)所(suo)用(yong)(yong)通用(yong)(yong)服務;在(zai)(zai)電路網(wang)關一(yi)級(ji)(ji)(ji),實現內部主機與外部站(zhan)點的(de)透明連接,并對服務的(de)通行(xing)(xing)實行(xing)(xing)嚴格(ge)控制。
3、多端口技術
具有兩個或三(san)個獨立的網(wang)(wang)卡,內(nei)外兩個網(wang)(wang)卡可(ke)不作IP轉化(hua)而串(chuan)接于內(nei)部網(wang)(wang)與外部網(wang)(wang)之間,另(ling)一個網(wang)(wang)卡可(ke)專用于對服務器的安全保護。
4、NAT轉換技術
利(li)用NAT技術能(neng)透明地(di)(di)對所有內(nei)部地(di)(di)址作轉換,使(shi)外(wai)部網絡(luo)無法了(le)解(jie)內(nei)部網絡(luo)的(de)(de)(de)(de)內(nei)部結(jie)構(gou),同時(shi)允(yun)許(xu)內(nei)部網絡(luo)使(shi)用自己定(ding)制的(de)(de)(de)(de)IP地(di)(di)址和專用網絡(luo),防火墻(qiang)能(neng)詳盡記(ji)錄(lu)每(mei)一(yi)個主機(ji)的(de)(de)(de)(de)通信,確(que)保每(mei)個分組送往(wang)正(zheng)確(que)的(de)(de)(de)(de)地(di)(di)址。同時(shi)使(shi)用NAT的(de)(de)(de)(de)網絡(luo),與(yu)外(wai)部網絡(luo)的(de)(de)(de)(de)連接(jie)只能(neng)由內(nei)部網絡(luo)發起,極大地(di)(di)提高了(le)內(nei)部網絡(luo)的(de)(de)(de)(de)安全性。NAT的(de)(de)(de)(de)另一(yi)個顯(xian)而易見的(de)(de)(de)(de)用途是解(jie)決(jue)IP地(di)(di)址匱乏問題。
5、透明訪問技術
防火墻利用(yong)了(le)透明的(de)代(dai)理系統(tong)(tong)技術,從而降低了(le)系統(tong)(tong)登(deng)錄固有的(de)安全風(feng)險和出錯概率。
6、防病毒技術
防(fang)(fang)火墻(qiang)具(ju)有著防(fang)(fang)病(bing)毒(du)(du)的(de)(de)功(gong)能,在防(fang)(fang)病(bing)毒(du)(du)技術的(de)(de)應用(yong)中,其主要包括病(bing)毒(du)(du)的(de)(de)預(yu)防(fang)(fang)、清除和檢測等方面。防(fang)(fang)火墻(qiang)的(de)(de)防(fang)(fang)病(bing)毒(du)(du)預(yu)防(fang)(fang)功(gong)能來說,在網(wang)(wang)(wang)(wang)(wang)絡(luo)的(de)(de)建設過(guo)程中,通過(guo)安裝相應的(de)(de)防(fang)(fang)火墻(qiang)來對計(ji)算(suan)機(ji)和互聯網(wang)(wang)(wang)(wang)(wang)間的(de)(de)信(xin)息(xi)數據(ju)進行(xing)嚴(yan)格的(de)(de)控(kong)制,從(cong)而形成一種安全的(de)(de)屏障來對計(ji)算(suan)機(ji)外網(wang)(wang)(wang)(wang)(wang)以(yi)及(ji)內(nei)網(wang)(wang)(wang)(wang)(wang)數據(ju)實施(shi)保(bao)護。計(ji)算(suan)機(ji)網(wang)(wang)(wang)(wang)(wang)絡(luo)要想進行(xing)連(lian)接,一般都是通過(guo)互聯網(wang)(wang)(wang)(wang)(wang)和路由器(qi)連(lian)接實現(xian)的(de)(de),則對網(wang)(wang)(wang)(wang)(wang)絡(luo)保(bao)護就需要從(cong)主干(gan)網(wang)(wang)(wang)(wang)(wang)的(de)(de)部分開始,在主干(gan)網(wang)(wang)(wang)(wang)(wang)的(de)(de)中心資源實施(shi)控(kong)制,防(fang)(fang)止服務(wu)器(qi)出現(xian)非(fei)法的(de)(de)訪(fang)問(wen),為了杜絕外來非(fei)法的(de)(de)入侵對信(xin)息(xi)進行(xing)盜用(yong),在計(ji)算(suan)機(ji)連(lian)接的(de)(de)端口所接入的(de)(de)數據(ju),還(huan)要進行(xing)以(yi)太網(wang)(wang)(wang)(wang)(wang)和IP地址的(de)(de)嚴(yan)格檢查,被(bei)盜用(yong)IP地址會被(bei)丟(diu)棄,同時還(huan)會對重要信(xin)息(xi)資源進行(xing)全面記錄,保(bao)障其計(ji)算(suan)機(ji)的(de)(de)信(xin)息(xi)網(wang)(wang)(wang)(wang)(wang)絡(luo)具(ju)有良好安全性。
7、加密技術
計算機信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)傳輸(shu)的(de)(de)過程中,借助(zhu)防火墻(qiang)還能夠有(you)(you)效的(de)(de)實現信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)的(de)(de)加(jia)(jia)密(mi),通(tong)過這種(zhong)加(jia)(jia)密(mi)技術(shu),相關人員就能夠對(dui)(dui)(dui)傳輸(shu)的(de)(de)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)進行(xing)(xing)有(you)(you)效的(de)(de)加(jia)(jia)密(mi),其(qi)中信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)密(mi)碼是信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)交(jiao)流(liu)的(de)(de)雙方進行(xing)(xing)掌握,對(dui)(dui)(dui)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)進行(xing)(xing)接(jie)受的(de)(de)人員需要(yao)對(dui)(dui)(dui)加(jia)(jia)密(mi)的(de)(de)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)實施解密(mi)處理后,才能獲取所傳輸(shu)的(de)(de)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)數據,在(zai)防火墻(qiang)加(jia)(jia)密(mi)技術(shu)應用(yong)中,要(yao)時刻注意信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)加(jia)(jia)密(mi)處理安全(quan)(quan)性的(de)(de)保障。在(zai)防火墻(qiang)技術(shu)應用(yong)中,想(xiang)要(yao)實現信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)的(de)(de)安全(quan)(quan)傳輸(shu),還需要(yao)做好(hao)(hao)用(yong)戶身(shen)份的(de)(de)驗(yan)證(zheng)(zheng),在(zai)進行(xing)(xing)加(jia)(jia)密(mi)處理后,信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)的(de)(de)傳輸(shu)需要(yao)對(dui)(dui)(dui)用(yong)戶授權,然后對(dui)(dui)(dui)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)接(jie)收(shou)方以及發送方要(yao)進行(xing)(xing)身(shen)份的(de)(de)驗(yan)證(zheng)(zheng),從而建立(li)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)安全(quan)(quan)傳遞的(de)(de)通(tong)道,保證(zheng)(zheng)計算機的(de)(de)網絡信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)在(zai)傳遞中具(ju)有(you)(you)良好(hao)(hao)的(de)(de)安全(quan)(quan)性,非法(fa)分子不擁有(you)(you)正確的(de)(de)身(shen)份驗(yan)證(zheng)(zheng)條件(jian),因此(ci),其(qi)就不能對(dui)(dui)(dui)計算機的(de)(de)網絡信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)實施入侵。