Post By:2012/8/17 14:51:27
[tag]方法,防火,種類[/tag][b][size=2]防火墻的分類 [/size][/b]
[size=1]防火墻有很多種分類方法:根據(jù)采用的核心技術(shù)�����,按照應(yīng)用對象的不同��,或者按照實(shí)現(xiàn)方法的不同�����。 [/size]
[size=1] 每種分類方法都各有特點(diǎn)��,例如���,基于具體實(shí)現(xiàn)方法分類���,[url=http://www.ztzj.cn/][color=#810081]電腦主題[/size][/url] [url=http://www.ztzj.cn/][color=#810081]www.ztzj.cn[/color][/url]之家可以分為三種類型: [/color]
[size=1] [b]一、軟件防火墻[/size][/b]
[size=1] 防火墻運(yùn)行于特定的計算機(jī)上�����,一般來說這臺計算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)�����。軟件防火墻與其他的軟件產(chǎn)品一樣���,需要先在計算機(jī)上安裝并做好配置后方可使用�����。使用這類防火墻��,需要網(wǎng)絡(luò)管理人員對使用的操作系統(tǒng)平臺比較熟悉���。 [/size]
[size=1] [b]二、硬件防火墻[/size][/b]
[size=1] 由計算機(jī)硬件��、通用操作系統(tǒng)和防火墻軟件組成���。在定制的計算機(jī)硬件上��,采用通用計算機(jī)系統(tǒng)�����、Flash盤���、網(wǎng)卡組成的硬件平臺上運(yùn)行Linux���,F(xiàn)reeBSD和Solaris等經(jīng)過最小化安全處理后的操作系統(tǒng)及集成的防火墻軟件。其特點(diǎn)是開發(fā)成本低�����、性能實(shí)用���,而且穩(wěn)定性和擴(kuò)展性較好。但是由于此類防火墻依賴操作系統(tǒng)內(nèi)核��,因此受到操作系統(tǒng)本身安全性的影響���,處理速度較慢�����。 [/size]
[size=1] [b]三��、專用防火墻[/size][/b]
[size=1] 采用特別優(yōu)化設(shè)計的硬件體系結(jié)構(gòu)�����,使用專用的操作系統(tǒng)��。此類防火墻在穩(wěn)定性和傳輸性方面有著得天獨(dú)厚的優(yōu)勢���,速度快�����、處理能力強(qiáng)���、性能高。由于采用專用操作系統(tǒng)��,因而容易配置和管理��,本身漏洞也比較少�����,但是擴(kuò)展能力有限,價格也較高��。由于專用防火墻系列化程度好���,用戶可以根據(jù)應(yīng)用環(huán)境選擇合適的產(chǎn)品 [/size]
[b][size=2]防火墻功能[/size][/b][b] [/b]
[b][/b]
防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量��,從而僅讓安全的或者經(jīng)過審核的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)�����,同時抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)�����。防火墻的作用是防止不希望的���、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)��,迫使網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全政策���。
防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性��。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問��,外界的哪些人可以訪問內(nèi)部服務(wù)及哪些外部服務(wù)可以被內(nèi)部人員訪問��。防火墻只允許授權(quán)的數(shù)據(jù)通過���,同時防火墻本身也必須能夠免于滲透���。一般來說,防火墻具有以下幾種功能:
允許網(wǎng)絡(luò)管理員定義網(wǎng)絡(luò)邊界來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)���,過濾掉不安全服務(wù)和非法用戶�����。防火墻在公司私有網(wǎng)絡(luò)和分網(wǎng)間建立網(wǎng)絡(luò)邊界���,強(qiáng)制所有進(jìn)出流量都通過這些網(wǎng)絡(luò)邊界,從而在較少的地方來實(shí)現(xiàn)安全目的�����。網(wǎng)絡(luò)邊界的另一個名字叫做檢查點(diǎn)。
很方便地監(jiān)視網(wǎng)絡(luò)的安全性��,并及時報警���。防火墻還能夠強(qiáng)制記錄日志�����,并且提供警報功能���。通過在防火墻上實(shí)現(xiàn)日志服務(wù),安全管理員可以監(jiān)視所有來自外部網(wǎng)絡(luò)的流量�����。優(yōu)秀的防火墻應(yīng)該設(shè)置合理的安全策略���。
可以作為部署NAT(Network Address Translation�����,網(wǎng)絡(luò)地址變換)的位置��。利用NAT技術(shù)可以將有限的外網(wǎng)IP地址與內(nèi)部IP地址對應(yīng)起來,有效緩解地址空間短缺的問題。
是審計和記錄網(wǎng)絡(luò)使用費(fèi)用的合適地點(diǎn)���,也可以查出潛在的帶寬瓶頸位置�����。
限定用戶訪問特殊站點(diǎn)���。
防止入侵者接近自己的防御設(shè)施。
可以設(shè)置某獨(dú)立網(wǎng)段���,并在此部署WWW服務(wù)器和廠丁尸服務(wù)器�����,作為向外部發(fā)布內(nèi)部信息的地點(diǎn)���,這就是經(jīng)常提到的停火區(qū)(DMZ)���。
[b][size=2]防火墻局限性[/size][/b][b] [/b]
即使擁有最先進(jìn)的防火墻��,如果沒有良好的管理�����,網(wǎng)絡(luò)也會面臨很大的威脅���。由于互聯(lián)網(wǎng)的開放性���,即使具有許多防范功能的防火墻也可能無法抵擋網(wǎng)絡(luò)攻擊。簡單而言���,[url=http://www.51ztzj.com/][color=#810081]電腦桌面[/url] [url=http://www.51ztzj.com/][color=#810081]www.51ztzj.com[/color][/url]之家認(rèn)為防火墻具有以下幾個局限性: [/color]
沒有經(jīng)過防火墻的數(shù)據(jù)���,防火墻無法檢查。
防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題���。防火墻可以設(shè)計為既防外也防內(nèi)���,但絕大多數(shù)公司會因?yàn)椴环奖愣灰蠓阑饓Ψ纼?nèi)。
防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅���。防火墻是一個被動的安全策略執(zhí)行設(shè)備��,就像門衛(wèi)一樣���,只能按照對其配置的規(guī)則進(jìn)行有效的工作�����,而不能自作主張。
防火墻不能防止可接觸的人為或自然的破壞�����。防火墻是一個安全設(shè)備���,但防火墻本身必須存放在安全的地方��。
防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊��。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議�����,就不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊�����。
防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊��。黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊�����,防火墻無法發(fā)現(xiàn)并阻止這種攻擊���。
防火墻不能防止被病毒感染的文件的傳輸��。防火墻本身并不具備查殺病毒的功能���,即使集成了第三方的防病毒軟件,也沒有一種軟件可以查殺所有的病毒��。
防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊���。當(dāng)表面看來無害的文件被拷貝到內(nèi)部網(wǎng)的主機(jī)上并執(zhí)行時���,可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。
防火墻不能防止內(nèi)部的泄密行為���。防火墻內(nèi)部的合法用戶主動泄密���,防火墻是無能為力的���。
防火墻不能防止本身的安全漏洞的威脅。防火墻有時無法保護(hù)自己��,目前還沒有廠商絕對保證防火墻不會存在安全漏洞���。
可以阻斷攻擊,但不能消滅攻擊源�����。
不能抵抗最新的未設(shè)置策略的攻擊漏洞���。
在某些流量大��、并發(fā)請求多的情況下��,很容易導(dǎo)致?lián)砣��,成為整個網(wǎng)絡(luò)的瓶頸�����。
大多數(shù)防火墻無法阻止針對服務(wù)器合法開放端口的攻擊���。
[b][size=2]分布式防火墻體系結(jié)構(gòu)[/size][/b][b] [/b]
分布式防火墻負(fù)責(zé)對網(wǎng)絡(luò)邊界���、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各結(jié)點(diǎn)之間的安全防護(hù)。分布式防火墻是一個完整的系統(tǒng)���,而不是單一的產(chǎn)品�����。根據(jù)其需要完成的功能�����,分布式防火墻體系結(jié)構(gòu)包含如下部分:
網(wǎng)絡(luò)防火墻(Network Firewall)這一部分有的公司采用的是純軟件方式��,而有的還可以提供相應(yīng)的硬件支持���。網(wǎng)絡(luò)防火墻用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)��。與傳統(tǒng)邊界防火墻相比���,網(wǎng)絡(luò)防火墻增加了一種針對內(nèi)部子網(wǎng)之間的安全防護(hù)層���,這樣整個網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面��,更加可靠���。
主機(jī)防火墻(Host Firewall)同樣也有純軟件和硬件兩種,用于保護(hù)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)�����。這也是傳統(tǒng)邊界防火墻所不具有的�����,算是對傳統(tǒng)邊界防火墻在安全體系方面的一個完善���。該類防火墻作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間,確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全�����。這樣一來��,防火墻的作用不僅用于內(nèi)部網(wǎng)與外部網(wǎng)之間的防護(hù)��,還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間的防護(hù)�����。
中心管理(Central Management)這是防火墻服務(wù)器管理軟件��,負(fù)責(zé)總體安全策略的策劃��、管理��、分發(fā)及日志的匯總��。這是新的防火墻管理功能�����,也是以前傳統(tǒng)邊界防火墻所不具有的�����。這樣防火墻就可進(jìn)行智能管理��,提高了防火墻安全防護(hù)的靈活性��,具備了可管理性。
[b][size=2]分布式防火墻特點(diǎn)[/size][/b][b] [/b]
分布式防火墻的技術(shù)具有以下幾個主要特點(diǎn):
采用主機(jī)駐留方式��,駐留在被保護(hù)的主機(jī)上��,該主機(jī)以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的���,因此可以針對該主機(jī)上運(yùn)行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強(qiáng)的安全策略��。
采用嵌入操作系統(tǒng)內(nèi)核��,這主要是針對目前的純軟件式分布式防火墻來說的��。分布式主機(jī)防火墻也運(yùn)行在主機(jī)上�����,所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為了自身的安全和徹底堵住操作系統(tǒng)的漏洞���,主機(jī)防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行��,直接接管網(wǎng)卡��,在檢查所有數(shù)據(jù)包之后再提交操作系統(tǒng)���。為實(shí)現(xiàn)這樣的運(yùn)行機(jī)制�����,除防火墻廠商自身的開發(fā)技術(shù)外�����,與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件�����,因?yàn)樾枰恍┎僮飨到y(tǒng)不公開內(nèi)部技術(shù)接口���。不能實(shí)現(xiàn)這種分布式運(yùn)行模式的主機(jī)防火墻由于受到操作系統(tǒng)安全性的制約,存在著明顯的安全隱患��。
類似于個人防火墻�����,但分布式防火墻與個人防火墻之間有著本質(zhì)的差別�����。首先個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置,全面功能和管理都在本機(jī)上實(shí)現(xiàn)���,其目標(biāo)是防止主機(jī)以外的任何外部用戶攻擊;而分布式防火墻的安全策略由整個系統(tǒng)管理員統(tǒng)一安排和設(shè)置���,除了對主機(jī)起到保護(hù)作用外,還對該主機(jī)的對外訪問加以控制�����,并且這種安全機(jī)制是主機(jī)使用者不可見和不可改動的���。其次��,個人防火墻直接面向個人用戶�����,而分布式防火墻體系中的主機(jī)防火墻是面向企業(yè)級用戶的���,與分布式防火墻其他產(chǎn)品共同構(gòu)成一個企業(yè)級應(yīng)用方案��,形成一個安全策略中心進(jìn)行統(tǒng)一管理��,所以在一定程度上也面對整個網(wǎng)絡(luò)。
