防火牆會識別礦池嗎
1. 關於防火牆的問題
建議使用OutpostPro 2009 因為OutpostPro 系列防火牆,在全球防火牆排名是第三位的。其他的具體好處我就不多說了。 這個你可以自己搜索下。看看就會明白的。呵呵。 如果您需要OutpostPro2009 防火牆的永久注冊碼的話,可以聯系我。我可以發給你。。 。。。。。。。。。。。。。。。。。。。問題只提供參考。。。。。。。。。。。。。。。。。。。。。
2. 大家能給我具體解釋一下防火牆嗎謝謝!
·定義防火牆 防火牆的技術分析
據公安部的資料,1998年中國共破獲電腦黑客案件近百起,利用計算機網路進行的各類違法行為在中國以每年30%的速度遞增。有媒介報道,中國95%的與Internet相連的網路管理中心都遭到過黑客的攻擊或侵入,其中銀行、金融和證券機構是黑客攻擊的重點。
隨著網路犯罪的遞增,網路防火牆開始受人關注。在此,筆著向大家介紹一下「防火牆」的基本知識。
防火牆是什麼?
所謂「防火牆」,是指一種將內部網和公眾訪問網(Internet)分開的方法,實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
防火牆的安全技術分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,筆者對防火牆的安全性有如下幾點認識。
1、正確選用、合理配置防火牆非常不容易
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:(1)風險分析;(2)需求分析;(3)確立安全政策;(4)選擇准確的防護手段,並使之與安全政策保持一致。然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2、需要正確評估防火牆的失效狀態
評價防火牆性能如何及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,有四種狀態:(1)未受傷害能夠繼續正常工作;(2)關閉並重新啟動,同時恢復到正常工作狀態;(3)關閉並禁止所有的數據通行;(4)關閉並允許所有的數據通行。前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3、防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆進行更新。
4、目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大:
(1)防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。目前只有美國ISS公司提供防火牆性能測試的工具軟體。
(2)防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
(3)選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要。
5、非法攻擊防火牆的基本「招數」
(1)通常情況下,有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴,雖說成功與否尚取決於機遇等因素,但對攻擊者而言很值得一試。
(2)破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
(3)需要特別注意的是,防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
以上分析表明,防火牆的安全防護性能依賴的因素很多,防火牆並非萬能。
目前大多數防火牆都是基於路由器的數據包分組過濾類型,防護能力差,存在各種網路外部或網路內部攻擊防火牆的技術手段。
·防火牆的基本類型
實現防火牆的技術包括四大類:
1、網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1;
(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口) 到主機150.0.0.2上;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2、應用級網關
應用級網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,並做精細的注冊。但每一種協議需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。
常用的應用級防火牆已有了相應的代理伺服器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-Window等,但是,對於新開發的應用,尚沒有相應的代理服務,它們將通過網路級防火牆和一般的代理服務。
應用級網關有較好的訪問控制,是目前最安全的防火牆技術,但實現困難,而且有的應用級網關缺乏「透明度」。在實際使用中,用戶在受信任的網路上通過防火牆訪問Internet時, 經常會發現存在延遲並且必須進行多次登錄(Login)才能訪問Internet或Intranet。
3、電路級網關
電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高兩層。
實際上電路級網關並非作為一個獨立的產品存在,它與其他的應用級網關結合在一起, 如Trust Information Systems公司的Gauntlet Internet Firewall; DEC公司的Alta Vista Firewall等產品。 另外,電路級網關還提供一個重要的安全功能:代理伺服器(Proxy Server) ,代理伺服器是個防火牆,在其上運行一個叫做「地址轉移」的進程,來將所有你公司內部的IP地址映射到一個「安全」的IP地址,這個地址是由防火牆使用的。但是,作為電路級網關也存在著一些缺陷,因為該網關是在會話層工作的,它就無法檢查應用層級的數據包。
4、規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也像電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也像應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。
規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關,它並不打破客戶機/服務機模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一On Technology軟體公司生產的On Guard和Check Point軟體公司生產的Fire Wall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間。也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊核查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點。
3. 請教防火牆問題!
系統自帶的感覺象沒有。再怎麼防還是會進來。卡巴現在好象也不是很強了。有個心理准備吧,好象研究病毒的人特別多。再安裝一個吧,然後把沒有用的埠關掉,如445 135 4444 9995 9996 等。
4. 在配置ios防火牆特性集中,哪些流量不會被檢測
防火牆已經成為企業網路建設中的一個關鍵組成部分。但有很多用戶,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對NetEye防火牆與業界應用最多、最具代表性的CISCO路由器在安全方面的對比,來闡述為什麼用戶網路中有了路由器還需要防火牆。 一、 兩種設備產生和存在的背景不同 1.兩種設備產生的根源不同 路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。 防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。 2.根本目的不同 路由器的根本目的是:保持網路和數據的"通"。 防火牆根本的的目的是:保證任何非允許的數據包"不通"。 二、核心技術的不同 Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。 下圖是一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455埠,其他拒絕。 針對現在的配置,存在的安全脆弱性如下: IP地址欺騙(使連接非正常復位) TCP欺騙(會話重放和劫持) 存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火牆,由於NetEye防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證資料庫,可以完全與第三方的認證伺服器進行互操作,並能夠實現角色的劃分。 雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。 三、安全策略制定的復雜程度不同 路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。 NetEye 防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同 路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。 NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。 由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。 五、審計功能的強弱差異巨大 路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。 NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye 防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye 防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye 防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。 六、防範攻擊的能力不同 對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出: 具有防火牆特性的路由器成本 > 防火牆 + 路由器 具有防火牆特性的路由器功能 < 防火牆 + 路由器 具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器 綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求! 即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
5. 當電腦被攻破防火牆,會顯示什麼
如果是黑客攻擊你,放心,除非他想讓你知道,否則你不會感覺到。
6. 防火牆不開會有什麼樣的後果
看看下面防火牆的優點和功能你就知道不開有什麼後果了防火牆的優點:
(1)防火牆能強化安全策略。
(2)防火牆能有效地記錄Internet上的活動。
(3)防火牆限制暴露用戶點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網路傳播。
(4)防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。 防火牆最基本的功能就是控制在計算機網路中,不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【共享文件夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽文件夾的需求)。
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN
7. 電腦防火牆可以檢測一切插在電腦上的USB介面
如果安裝了監控軟體是可以被檢測到的
8. 防火牆上也會有漏洞嗎
當然會有漏洞的,不管是什麼防火牆,就算是殺毒軟體,多厲害的。都是會有漏洞的。我本身就是搞編程的。不管你軟體在怎麼牛,都是會有的。呵呵
9. 防火牆到底能不能防DDOS
DDoS防火牆其自主研發的獨特抗攻擊演算法,高效的主動防禦系統可有效防禦DoS/DDoS、SuperDDoS、DrDoS、代理CC、變異CC、僵屍集群CC、UDPFlood、變異UDP、隨機UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻擊,傳奇假人攻擊、論壇假人攻擊、非TCP/IP協議層攻擊、等多種未知攻擊。各種常見的攻擊行為均可有效識別,並通過集成的機制實時對這些攻擊流量進行處理及阻斷,具備遠處網路監控和數據包分析功能,能夠迅速獲取、分析最新的攻擊特徵,防禦最新的攻擊手段。
10. 關於防火牆的問題。
1.概述
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系.
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高.
網路安全產品有以下幾大特點:第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了;第二,網路的安全機制與技術要不斷地變化;第三,隨著網路在社會個方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程.為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業.
信息安全是國家發展所面臨的一個重要問題.對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用.
2.防火牆
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
目前的防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統 如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型,網路地址轉換—NAT,代理型和監測型.
2.1.包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
2.2.網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
2.3.代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性.
2.4.監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上.