Post By:2012/8/17 14:51:27
[tag]方法,防火,種類[/tag][b][size=2]防火墻的分類 [/size][/b]
[size=1]防火墻有很多種分類方法:根據(jù)采用的核心技術����,按照應用對象的不同�����,或者按照實現(xiàn)方法的不同����。 [/size]
[size=1] 每種分類方法都各有特點,例如����,基于具體實現(xiàn)方法分類,[url=http://www.ztzj.cn/][color=#810081]電腦主題[/size][/url] [url=http://www.ztzj.cn/][color=#810081]www.ztzj.cn[/color][/url]之家可以分為三種類型: [/color]
[size=1] [b]一��、軟件防火墻[/size][/b]
[size=1] 防火墻運行于特定的計算機上��,一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關�。軟件防火墻與其他的軟件產品一樣��,需要先在計算機上安裝并做好配置后方可使用。使用這類防火墻��,需要網(wǎng)絡管理人員對使用的操作系統(tǒng)平臺比較熟悉�����。 [/size]
[size=1] [b]二�����、硬件防火墻[/size][/b]
[size=1] 由計算機硬件����、通用操作系統(tǒng)和防火墻軟件組成。在定制的計算機硬件上���,采用通用計算機系統(tǒng)��、Flash盤���、網(wǎng)卡組成的硬件平臺上運行Linux,F(xiàn)reeBSD和Solaris等經(jīng)過最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件�����。其特點是開發(fā)成本低、性能實用�,而且穩(wěn)定性和擴展性較好。但是由于此類防火墻依賴操作系統(tǒng)內核��,因此受到操作系統(tǒng)本身安全性的影響���,處理速度較慢�����。 [/size]
[size=1] [b]三��、專用防火墻[/size][/b]
[size=1] 采用特別優(yōu)化設計的硬件體系結構����,使用專用的操作系統(tǒng)����。此類防火墻在穩(wěn)定性和傳輸性方面有著得天獨厚的優(yōu)勢,速度快�����、處理能力強、性能高����。由于采用專用操作系統(tǒng),因而容易配置和管理���,本身漏洞也比較少,但是擴展能力有限��,價格也較高��。由于專用防火墻系列化程度好����,用戶可以根據(jù)應用環(huán)境選擇合適的產品 [/size]
[b][size=2]防火墻功能[/size][/b][b] [/b]
[b][/b]
防火墻可以監(jiān)控進出網(wǎng)絡的通信量,從而僅讓安全的或者經(jīng)過審核的網(wǎng)絡數(shù)據(jù)進入內部網(wǎng)絡��,同時抵制對企業(yè)構成威脅的數(shù)據(jù)��。防火墻的作用是防止不希望的���、未授權的通信進出被保護的網(wǎng)絡�����,迫使網(wǎng)絡管理員強化網(wǎng)絡安全政策����。
防火墻能增強機構內部網(wǎng)絡的安全性。防火墻系統(tǒng)決定了哪些內部服務可以被外界訪問����,外界的哪些人可以訪問內部服務及哪些外部服務可以被內部人員訪問。防火墻只允許授權的數(shù)據(jù)通過��,同時防火墻本身也必須能夠免于滲透��。一般來說�����,防火墻具有以下幾種功能:
允許網(wǎng)絡管理員定義網(wǎng)絡邊界來防止非法用戶進入內部網(wǎng)絡����,過濾掉不安全服務和非法用戶。防火墻在公司私有網(wǎng)絡和分網(wǎng)間建立網(wǎng)絡邊界�,強制所有進出流量都通過這些網(wǎng)絡邊界,從而在較少的地方來實現(xiàn)安全目的���。網(wǎng)絡邊界的另一個名字叫做檢查點�。
很方便地監(jiān)視網(wǎng)絡的安全性,并及時報警��。防火墻還能夠強制記錄日志�,并且提供警報功能。通過在防火墻上實現(xiàn)日志服務��,安全管理員可以監(jiān)視所有來自外部網(wǎng)絡的流量���。優(yōu)秀的防火墻應該設置合理的安全策略。
可以作為部署NAT(Network Address Translation��,網(wǎng)絡地址變換)的位置��。利用NAT技術可以將有限的外網(wǎng)IP地址與內部IP地址對應起來�����,有效緩解地址空間短缺的問題�。
是審計和記錄網(wǎng)絡使用費用的合適地點,也可以查出潛在的帶寬瓶頸位置�����。
限定用戶訪問特殊站點�。
防止入侵者接近自己的防御設施��。
可以設置某獨立網(wǎng)段�����,并在此部署WWW服務器和廠丁尸服務器���,作為向外部發(fā)布內部信息的地點,這就是經(jīng)常提到的���;饏^(qū)(DMZ)�����。
[b][size=2]防火墻局限性[/size][/b][b] [/b]
即使擁有最先進的防火墻���,如果沒有良好的管理,網(wǎng)絡也會面臨很大的威脅��。由于互聯(lián)網(wǎng)的開放性���,即使具有許多防范功能的防火墻也可能無法抵擋網(wǎng)絡攻擊�����。簡單而言�,[url=http://www.51ztzj.com/][color=#810081]電腦桌面[/url] [url=http://www.51ztzj.com/][color=#810081]www.51ztzj.com[/color][/url]之家認為防火墻具有以下幾個局限性: [/color]
沒有經(jīng)過防火墻的數(shù)據(jù),防火墻無法檢查���。
防火墻不能解決來自內部網(wǎng)絡的攻擊和安全問題����。防火墻可以設計為既防外也防內�,但絕大多數(shù)公司會因為不方便而不要求防火墻防內。
防火墻不能防止策略配置不當或錯誤配置引起的安全威脅����。防火墻是一個被動的安全策略執(zhí)行設備��,就像門衛(wèi)一樣�,只能按照對其配置的規(guī)則進行有效的工作,而不能自作主張��。
防火墻不能防止可接觸的人為或自然的破壞�����。防火墻是一個安全設備,但防火墻本身必須存放在安全的地方���。
防火墻不能防止利用標準網(wǎng)絡協(xié)議中的缺陷進行的攻擊�����。一旦防火墻準許某些標準網(wǎng)絡協(xié)議���,就不能防止利用該協(xié)議中的缺陷進行的攻擊。
防火墻不能防止利用服務器系統(tǒng)漏洞所進行的攻擊�����。黑客通過防火墻準許的訪問端口對該服務器的漏洞進行攻擊���,防火墻無法發(fā)現(xiàn)并阻止這種攻擊�����。
防火墻不能防止被病毒感染的文件的傳輸�����。防火墻本身并不具備查殺病毒的功能�����,即使集成了第三方的防病毒軟件�,也沒有一種軟件可以查殺所有的病毒。
防火墻不能防止數(shù)據(jù)驅動式的攻擊�����。當表面看來無害的文件被拷貝到內部網(wǎng)的主機上并執(zhí)行時����,可能會發(fā)生數(shù)據(jù)驅動式的攻擊����。
防火墻不能防止內部的泄密行為。防火墻內部的合法用戶主動泄密�,防火墻是無能為力的。
防火墻不能防止本身的安全漏洞的威脅����。防火墻有時無法保護自己���,目前還沒有廠商絕對保證防火墻不會存在安全漏洞���。
可以阻斷攻擊����,但不能消滅攻擊源��。
不能抵抗最新的未設置策略的攻擊漏洞��。
在某些流量大����、并發(fā)請求多的情況下,很容易導致?lián)砣�����,成為整個網(wǎng)絡的瓶頸��。
大多數(shù)防火墻無法阻止針對服務器合法開放端口的攻擊���。
[b][size=2]分布式防火墻體系結構[/size][/b][b] [/b]
分布式防火墻負責對網(wǎng)絡邊界�����、各子網(wǎng)和網(wǎng)絡內部各結點之間的安全防護����。分布式防火墻是一個完整的系統(tǒng),而不是單一的產品����。根據(jù)其需要完成的功能,分布式防火墻體系結構包含如下部分:
網(wǎng)絡防火墻(Network Firewall)這一部分有的公司采用的是純軟件方式����,而有的還可以提供相應的硬件支持。網(wǎng)絡防火墻用于內部網(wǎng)與外部網(wǎng)之間��,以及內部網(wǎng)各子網(wǎng)之間的防護��。與傳統(tǒng)邊界防火墻相比�,網(wǎng)絡防火墻增加了一種針對內部子網(wǎng)之間的安全防護層,這樣整個網(wǎng)絡的安全防護體系就顯得更加全面�����,更加可靠�。
主機防火墻(Host Firewall)同樣也有純軟件和硬件兩種���,用于保護網(wǎng)絡中的服務器和桌面機�。這也是傳統(tǒng)邊界防火墻所不具有的��,算是對傳統(tǒng)邊界防火墻在安全體系方面的一個完善����。該類防火墻作用在同一內部子網(wǎng)之間的工作站與服務器之間���,確保內部網(wǎng)絡服務器的安全。這樣一來���,防火墻的作用不僅用于內部網(wǎng)與外部網(wǎng)之間的防護,還可應用于內部網(wǎng)各子網(wǎng)之間����、同一內部子網(wǎng)工作站與服務器之間的防護。
中心管理(Central Management)這是防火墻服務器管理軟件�,負責總體安全策略的策劃、管理���、分發(fā)及日志的匯總�����。這是新的防火墻管理功能�,也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進行智能管理���,提高了防火墻安全防護的靈活性��,具備了可管理性。
[b][size=2]分布式防火墻特點[/size][/b][b] [/b]
分布式防火墻的技術具有以下幾個主要特點:
采用主機駐留方式���,駐留在被保護的主機上��,該主機以外的網(wǎng)絡不管是處在網(wǎng)絡內部還是網(wǎng)絡外部都認為是不可信任的�����,因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略��。
采用嵌入操作系統(tǒng)內核���,這主要是針對目前的純軟件式分布式防火墻來說的。分布式主機防火墻也運行在主機上�,所以其運行機制是主機防火墻的關鍵技術之一。為了自身的安全和徹底堵住操作系統(tǒng)的漏洞,主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內核的形態(tài)運行�����,直接接管網(wǎng)卡��,在檢查所有數(shù)據(jù)包之后再提交操作系統(tǒng)��。為實現(xiàn)這樣的運行機制���,除防火墻廠商自身的開發(fā)技術外,與操作系統(tǒng)廠商的技術合作也是必要的條件��,因為需要一些操作系統(tǒng)不公開內部技術接口�����。不能實現(xiàn)這種分布式運行模式的主機防火墻由于受到操作系統(tǒng)安全性的制約�����,存在著明顯的安全隱患����。
類似于個人防火墻,但分布式防火墻與個人防火墻之間有著本質的差別。首先個人防火墻的安全策略由系統(tǒng)使用者自己設置�����,全面功能和管理都在本機上實現(xiàn)�����,其目標是防止主機以外的任何外部用戶攻擊;而分布式防火墻的安全策略由整個系統(tǒng)管理員統(tǒng)一安排和設置�����,除了對主機起到保護作用外�,還對該主機的對外訪問加以控制,并且這種安全機制是主機使用者不可見和不可改動的����。其次,個人防火墻直接面向個人用戶����,而分布式防火墻體系中的主機防火墻是面向企業(yè)級用戶的��,與分布式防火墻其他產品共同構成一個企業(yè)級應用方案��,形成一個安全策略中心進行統(tǒng)一管理,所以在一定程度上也面對整個網(wǎng)絡�����。
