一、防火墻的作用有哪些
我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統,那么具體的防火墻的作用有哪些呢?
1、過濾(lv)進出網(wang)絡的數據?
2、管理進出訪問網絡的行(xing)為?
3、封堵某些禁止業(ye)務?
4、記錄(lu)通過防火墻信息內(nei)容和活動?
5、對網絡(luo)攻擊檢測和告警
二、實施防火墻主要采用什么技術
實施防火墻(qiang)主要采用以(yi)下(xia)技術:
1、代理技術
代(dai)(dai)理(li)(li)系(xi)統是一(yi)(yi)種將信(xin)息從(cong)防火(huo)墻的(de)(de)一(yi)(yi)側傳送到另(ling)一(yi)(yi)側的(de)(de)軟件模塊。新一(yi)(yi)代(dai)(dai)防火(huo)墻采(cai)用(yong)了(le)兩種代(dai)(dai)理(li)(li)機制,一(yi)(yi)種用(yong)于代(dai)(dai)理(li)(li)從(cong)內部(bu)網絡到外(wai)(wai)部(bu)網絡的(de)(de)連接(jie),另(ling)一(yi)(yi)種用(yong)于代(dai)(dai)理(li)(li)從(cong)外(wai)(wai)部(bu)網絡到內部(bu)網絡的(de)(de)連接(jie)。前者(zhe)(zhe)采(cai)用(yong)網絡地址(zhi)轉換(NAT)技(ji)術來(lai)解決,后者(zhe)(zhe)采(cai)用(yong)非保密的(de)(de)用(yong)戶定制代(dai)(dai)理(li)(li)或保密的(de)(de)代(dai)(dai)理(li)(li)系(xi)統技(ji)術來(lai)解決。
2、多級過濾技術
就是在防火墻中設置多層(ceng)過濾規則。在網絡層(ceng),利用分組過濾技術攔截所(suo)有(you)(you)假冒(mao)的(de)(de)IP源地址和源路由分組;根據(ju)過濾規則,傳輸層(ceng)攔截所(suo)有(you)(you)禁止出(chu)/入的(de)(de)協(xie)議(yi)和數據(ju)包;在應(ying)用層(ceng),利用FTP、SMTP等網關對各(ge)種(zhong)Internet的(de)(de)服務進(jin)行監(jian)測(ce)和控制(zhi)。
為保(bao)證(zheng)系統(tong)的安全性和防(fang)護(hu)水(shui)平,新一代防(fang)火墻采用(yong)了三級(ji)(ji)(ji)過(guo)濾(lv)措(cuo)施,并輔以鑒別手段。在分組過(guo)濾(lv)一級(ji)(ji)(ji),能過(guo)濾(lv)掉所有的源(yuan)(yuan)路由分組和假冒的IP源(yuan)(yuan)地址。在應(ying)用(yong)級(ji)(ji)(ji)網關一級(ji)(ji)(ji),能利用(yong)FTP、SMTP等各(ge)種(zhong)網關,控(kong)制和監測Internet提供的所用(yong)通(tong)用(yong)服務;在電路網關一級(ji)(ji)(ji),實現內部(bu)(bu)主機與外部(bu)(bu)站點的透明(ming)連接(jie),并對服務的通(tong)行(xing)實行(xing)嚴格控(kong)制。
3、多端口技術
具有兩(liang)個或三個獨立(li)的網卡,內外(wai)兩(liang)個網卡可不作(zuo)IP轉化而(er)串(chuan)接于(yu)內部(bu)網與外(wai)部(bu)網之間,另(ling)一個網卡可專(zhuan)用(yong)于(yu)對服(fu)務(wu)器的安全保護(hu)。
4、NAT轉換技術
利用(yong)NAT技(ji)術(shu)能(neng)透明地對所有內(nei)部(bu)(bu)地址作轉換(huan),使外(wai)部(bu)(bu)網(wang)絡(luo)(luo)(luo)無法了解內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)內(nei)部(bu)(bu)結構(gou),同時允許內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)使用(yong)自己定制的(de)IP地址和專(zhuan)用(yong)網(wang)絡(luo)(luo)(luo),防(fang)火墻能(neng)詳盡記錄每一個(ge)主機的(de)通信(xin),確(que)保每個(ge)分組送往正確(que)的(de)地址。同時使用(yong)NAT的(de)網(wang)絡(luo)(luo)(luo),與外(wai)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)連(lian)接只能(neng)由內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)發起,極大地提(ti)高了內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)安全性(xing)。NAT的(de)另(ling)一個(ge)顯而易見(jian)的(de)用(yong)途是(shi)解決IP地址匱(kui)乏(fa)問(wen)題。
5、透明訪問技術
防火墻利用了透明的代理(li)系統技(ji)術,從而降(jiang)低了系統登錄(lu)固有的安(an)全風險(xian)和出錯(cuo)概(gai)率。
6、防病毒技術
防(fang)火(huo)墻具有(you)著(zhu)防(fang)病(bing)毒的(de)(de)(de)(de)(de)(de)功(gong)能,在(zai)(zai)防(fang)病(bing)毒技術(shu)的(de)(de)(de)(de)(de)(de)應用(yong)(yong)中,其主要(yao)(yao)包括病(bing)毒的(de)(de)(de)(de)(de)(de)預防(fang)、清(qing)除和檢測等方(fang)面。防(fang)火(huo)墻的(de)(de)(de)(de)(de)(de)防(fang)病(bing)毒預防(fang)功(gong)能來(lai)(lai)說,在(zai)(zai)網(wang)(wang)(wang)絡(luo)的(de)(de)(de)(de)(de)(de)建設過(guo)程中,通過(guo)安(an)裝相應的(de)(de)(de)(de)(de)(de)防(fang)火(huo)墻來(lai)(lai)對計(ji)(ji)算(suan)機和互聯網(wang)(wang)(wang)間(jian)的(de)(de)(de)(de)(de)(de)信(xin)息(xi)(xi)數據(ju)進行(xing)(xing)(xing)嚴格的(de)(de)(de)(de)(de)(de)控制(zhi),從而形成一(yi)種安(an)全的(de)(de)(de)(de)(de)(de)屏障(zhang)(zhang)來(lai)(lai)對計(ji)(ji)算(suan)機外網(wang)(wang)(wang)以及內網(wang)(wang)(wang)數據(ju)實施(shi)保護。計(ji)(ji)算(suan)機網(wang)(wang)(wang)絡(luo)要(yao)(yao)想進行(xing)(xing)(xing)連接,一(yi)般(ban)都是通過(guo)互聯網(wang)(wang)(wang)和路由器連接實現的(de)(de)(de)(de)(de)(de),則對網(wang)(wang)(wang)絡(luo)保護就需要(yao)(yao)從主干網(wang)(wang)(wang)的(de)(de)(de)(de)(de)(de)部分開(kai)始,在(zai)(zai)主干網(wang)(wang)(wang)的(de)(de)(de)(de)(de)(de)中心資(zi)源實施(shi)控制(zhi),防(fang)止服(fu)務器出(chu)現非法的(de)(de)(de)(de)(de)(de)訪問(wen),為了(le)杜(du)絕外來(lai)(lai)非法的(de)(de)(de)(de)(de)(de)入侵對信(xin)息(xi)(xi)進行(xing)(xing)(xing)盜用(yong)(yong),在(zai)(zai)計(ji)(ji)算(suan)機連接的(de)(de)(de)(de)(de)(de)端口所接入的(de)(de)(de)(de)(de)(de)數據(ju),還(huan)要(yao)(yao)進行(xing)(xing)(xing)以太網(wang)(wang)(wang)和IP地址(zhi)的(de)(de)(de)(de)(de)(de)嚴格檢查(cha),被盜用(yong)(yong)IP地址(zhi)會被丟(diu)棄,同時還(huan)會對重(zhong)要(yao)(yao)信(xin)息(xi)(xi)資(zi)源進行(xing)(xing)(xing)全面記錄(lu),保障(zhang)(zhang)其計(ji)(ji)算(suan)機的(de)(de)(de)(de)(de)(de)信(xin)息(xi)(xi)網(wang)(wang)(wang)絡(luo)具有(you)良好安(an)全性。
7、加密技術
計(ji)算機(ji)(ji)信(xin)息(xi)(xi)傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)過程中,借助防火墻(qiang)(qiang)還能夠有(you)效的(de)(de)(de)(de)實現信(xin)息(xi)(xi)的(de)(de)(de)(de)加(jia)密(mi)(mi)(mi),通過這種加(jia)密(mi)(mi)(mi)技(ji)術(shu),相(xiang)關人員(yuan)就(jiu)能夠對(dui)傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)信(xin)息(xi)(xi)進(jin)(jin)行(xing)(xing)有(you)效的(de)(de)(de)(de)加(jia)密(mi)(mi)(mi),其中信(xin)息(xi)(xi)密(mi)(mi)(mi)碼是信(xin)息(xi)(xi)交流的(de)(de)(de)(de)雙方進(jin)(jin)行(xing)(xing)掌握,對(dui)信(xin)息(xi)(xi)進(jin)(jin)行(xing)(xing)接受的(de)(de)(de)(de)人員(yuan)需(xu)要(yao)對(dui)加(jia)密(mi)(mi)(mi)的(de)(de)(de)(de)信(xin)息(xi)(xi)實施(shi)解密(mi)(mi)(mi)處理(li)后(hou),才能獲取所傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)信(xin)息(xi)(xi)數據,在(zai)防火墻(qiang)(qiang)加(jia)密(mi)(mi)(mi)技(ji)術(shu)應用(yong)(yong)中,要(yao)時(shi)刻注意信(xin)息(xi)(xi)加(jia)密(mi)(mi)(mi)處理(li)安(an)全性(xing)的(de)(de)(de)(de)保障。在(zai)防火墻(qiang)(qiang)技(ji)術(shu)應用(yong)(yong)中,想要(yao)實現信(xin)息(xi)(xi)的(de)(de)(de)(de)安(an)全傳(chuan)(chuan)(chuan)輸,還需(xu)要(yao)做好用(yong)(yong)戶(hu)身(shen)份的(de)(de)(de)(de)驗(yan)(yan)證(zheng),在(zai)進(jin)(jin)行(xing)(xing)加(jia)密(mi)(mi)(mi)處理(li)后(hou),信(xin)息(xi)(xi)的(de)(de)(de)(de)傳(chuan)(chuan)(chuan)輸需(xu)要(yao)對(dui)用(yong)(yong)戶(hu)授權,然后(hou)對(dui)信(xin)息(xi)(xi)接收方以及發送方要(yao)進(jin)(jin)行(xing)(xing)身(shen)份的(de)(de)(de)(de)驗(yan)(yan)證(zheng),從而建(jian)立信(xin)息(xi)(xi)安(an)全傳(chuan)(chuan)(chuan)遞(di)的(de)(de)(de)(de)通道,保證(zheng)計(ji)算機(ji)(ji)的(de)(de)(de)(de)網絡信(xin)息(xi)(xi)在(zai)傳(chuan)(chuan)(chuan)遞(di)中具有(you)良(liang)好的(de)(de)(de)(de)安(an)全性(xing),非(fei)法分子不擁有(you)正確的(de)(de)(de)(de)身(shen)份驗(yan)(yan)證(zheng)條件,因此,其就(jiu)不能對(dui)計(ji)算機(ji)(ji)的(de)(de)(de)(de)網絡信(xin)息(xi)(xi)實施(shi)入(ru)侵(qin)。