电脑防火墙基础知识
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.下面就让小编带你去看看电脑防火墙基础知识,希望能帮助到大家!
电脑小知识:计算机防火墙到底是什么?能不能阻止黑客的入侵?
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
作用
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
从类型上来说我们主要是分为两种
网络层防火墙
网络层防火墙[3]可视为一种 IP 封包过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
__ML 防火墙是一种新型态的应用层防火墙。
根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
基本特性
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(三)防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
优点
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
其他功能
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系(虚拟专用网)。
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
计算机隐私攻击。混合媒体
发展史
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。
第二、三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptive pro__y)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
一体化安全网关UTM
UTM统一威胁管理,在防火墙基础上发展起来的,具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能,因此主要用于对性能要求不高的中低端领域。在中低端领域,UTM已经出现了代替防火墙的趋势,因为在不开启附加功能的情况下,UTM本身就是一个防火墙,而附加功能又为用户的应用提供了更多选择。在高端应用领域,比如电信、金融等行业,仍然以专用的高性能防火墙、IPS为主流。
。
防火墙知识点
防火墙
(一)构造要求:
1.防火墙应直接设置在基础上或钢筋混凝土框架上,框架、梁等承重结构的耐火极限不应低于防火墙的耐火极限。防火墙应从楼地面基层隔断至梁、楼板或屋面板的地面基层。当高层厂房(仓库)屋顶承重结构和屋面板的耐火极限不低于1.00h,其他建筑屋顶承重结构和屋面板的耐火极限低于0.50h时,防火墙应高出屋面0.5m以上。
2.防火墙横截面中心距天窗端面的水平距离<4m,且天窗端面为可燃性墙体时,应采取防止火势蔓延的措施。
3.建筑物外墙如为难燃性墙体或可燃防火墙体时,防火墙应突出墙的外表面0.4m以上,且防火墙两侧的外墙均应为宽度≮2.0m的不燃性墙体,其耐火极限不低于外墙的耐火极限。
建筑外墙为不燃体时,防火墙可不凸出墙的外表面,紧靠防火门两侧的门、窗、洞口之间最近边缘的水平距离应≮2.0m;采取设置乙级防火窗等防止火灾蔓延的措施时,该距离不限。
4.防火墙上不应开设门、窗、洞口,如必须开设时,应采用不可开启或火灾时能自行关闭的甲级防火门、窗。可燃气体和甲、乙、丙类液体管道不应穿过防火墙。其他管道如必须穿过时,应用防火封堵材料将缝隙紧密填塞。
5.建筑物内的防火墙不应设在转角处。如设在转角附近,内转角两侧上的门窗洞口之间最近的水平距离应≮4m。采用乙级窗时该距离不变
6. 设计防火墙时,应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不致使防火墙倒塌。
(二)检查内容
1. 防火墙设置位置。
具体检查要求为:(1)设置在建筑物的基础或钢筋混凝土框架、梁等承重结构上的防火墙,应从楼地面基层隔断至梁、楼板或屋面结构层的底面。(2)设置在转角附近的防火墙,内转角两侧墙上的门、窗洞口之间最近边缘的水平距离不得<4m,当采取设置乙级防火窗等防止火灾水平蔓延的措施时,距离可不限。(3)防火墙的构造应能够保证在防火墙任意一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不会导致防火墙倒塌。(4)紧靠防火墙两侧的门、窗、洞口之间最近边缘的水平距离不得<2m;采取设置乙级防火窗等防止火灾水平蔓延的措施时,距离可不限。
2.防火墙墙体材料。防火墙的耐火极限一般要求为3.00h,对甲、乙类厂房和甲、乙、丙类仓库,用于防火分区分隔的防火墙耐火极限应保持≥4h。防火墙上必须开设门、窗和洞口时,必须设置不可开启或火灾时能自动关闭的甲级防火门、窗。通常情况下,防火墙上不开设门、窗和洞口。
3.穿越防火墙的管道。防火墙内不得设置排气道、可燃气体和甲、乙、丙类液体的管道。对穿过防火墙的其他管道,应检查其是否采用防火封堵材料将墙与管道之间的空隙紧密填实;对穿过防火墙处的管道保温材料,应检查其是否采用不燃材料;当管道为难燃及可燃材料时,还应检查防火墙两侧的管道上采取的防火措施。
4.防火封堵的严密性。主要检查防火墙、隔墙墙体与梁、楼板的结合是否紧密,是否无孔洞、缝隙;墙上的施工孔洞是否采用不燃材料填塞密实:墙体上嵌有箱体时是否在其背部采用不燃材料封堵,以及是否满足墙体相应地耐火极限要求。
不燃材料填塞密实:墙体上嵌有箱体时是否在其背部采用不燃材料封堵,以及是否满足墙体相应地耐火极限要求。答案:D举例,2h的防火隔墙上用1.5小时的不燃材料。
IT运维-防火墙基础知识
们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:划分网络的边界、加固内网的安全。
一、划分网络的边界
防火墙设备的其中一个功能,就是划分网络的边界,严格地将网络分为“外网”和“内网”。
“外网”则是防火墙认为的——不安全的网络,不受信任的网络;“内网”则是防火墙认为的——安全的网络,受信任的网络。
二、加固网络的安全
防火墙的其中一个功能,就是网络流量流向的问题(内到外可以访问,外到内默认不能访问),这就从一定程度上加强了网络的安全性,那就是:“内网属于私有环境,外人非请莫入!”
另外,防火墙还能从另外一些方面来加固内部网络的安全:
1:隐藏内部的网络拓扑
这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址,而互联网是Internet的IP地址。
由于在IPv4环境下IP地址不足,内部使用大量的私有地址,转换到外部少量的Internet地址,这样的话,外部网络就不会了解到内部网络的路由,也就没法了解到内部网络的拓扑了。
同时,防火墙上还会使用NAT技术,将内部的服务器映射到外部,所以从外部访问服务器的时候只能了解到映射后的外部地址,根本不会了解到映射前的内部地址。
2:带有安全检测防御
这种功能并不是每一款防火墙都有。
安全检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
3:会话日志功能
防火墙都有“会话记录”功能,每一个数据包在经过防火墙之后,都可以在防火墙的会话表中查询到历史访问记录。
如果是外部主机访问内部呢?当然,在你的内部网络遭受不安全以后,可以在防火墙上查到从外到内,到底是哪个IP地址非法闯入了。
三、防火墙在企业环境的应用
1:互联网出口设备
这估计是大家最能想到的一种用途吧。
因为Internet就是一个最典型的“外网”,当企业网络接入Internet的时候,为了保证内部网络不受来自外部的威胁侵害,就会在互联网出口的位置部署防火墙。
2:分支机构接骨干网作边界设备
在电力行业、金融行业等大型跨地,跨省的企业时,为了企业中各个省级、地市级单位的内部数据通信通常都会自建一张骨干网络。
每个省级、地市级单位办公网络接入骨干网时,就可以在网络接入点部署防火墙,进一步提高每个单位的办公网络安全性。
3:数据中心内保护服务器
数据中心(DataCenter)是为企业存放重要数据资料的,同时数据中心内会放置各种各样功能不一的服务器。
想要保证数据的安全,首先就要保证这些服务器的安全。物理上的安全嘛,你就防火防水防贼呗,应用上的安全,找杀毒软件嘛;但是在网络上防止,防止非授权人员操作服务器,就需要到防火墙来发挥作用了。
一般在传统的数据中心内,会根据不同的功能来决定服务器的分区,然后在每个分区和核心设备的连接处部署防火墙。
四、防火墙并不普适
不是任何场合都适合部署防火墙。
谁都知道安全性和方便性有时候会有那么一些冲突。防火墙作为一种网络安全设备,部署在网络中会对穿过防火墙的数据包进行拦截,然后确定它符合策略要求以后才会放行。这会对网络传输效率造成一定影响。
所以防火墙一般用于数据中心,大型企业总部,国有企业省级、地区级办公机构,带有服务器区域的网络环境或机密性较高的单位。
五、防火墙的分类
防火墙按照功能和级别的不同,一般分类这么三类:包过滤型防火墙、状态检测型防火墙、代理型防火墙。
1:包过滤型防火墙
这种防火墙只能实现最基础的包过滤功能,按照既定的访问控制列表对数据包的三、四层信息进行控制,详细一点就是:
三层信息:源IP地址,目标IP地址
四层信息:源端口,目标端口
这种情况其实用一个路由器或者三层交换机,配置ACL就能实现。
只有符合了条件的数据包才能被放行,不符合条件的数据包无论如何都不会被放行。但是包过滤型防火墙的性质就是那么“教条”与“顽固不化”!
2:状态检测型防火墙
状态检测型防火墙就是为了解决“傻~”的包过滤型防火墙而存在的。它比包过滤型防火墙还多了一层“状态检测”功能。
状态化检测型防火墙可以识别出主动流量和被动流量,如果主动流量是被允许的,那么被动流量也是被允许的。
例如TCP的三次握手中,第一次流量是主动流量,从内到外,第二次流量就是从外到内的被动流量,这可以被状态监测型防火墙识别出并且放行。
状态监测型防火墙会有一张“连接表”,里面记录合法流量的信息。当被动流量弹回时,防火墙就会检查“连接表”,只要在“连接表”中查到匹配的记录,就会放行这个流量。
第一次握手,内部主机10.112.100.101使用随机端口10025访问外部的WebServer
200.100.1.2的TCP 80
三层信息
源IP地址:10.112.100.101 目标IP地址:200.100.1.2源端口:TCP 10025 目标端口:TCP 80
由于内部接口放行所有流量,所以这个第一次握手的流量被放行了
但此时,防火墙在连接表中生成了如下内容:
第二次握手时,是外部主机被动弹回的流量
源地址(外部):200.100.1.2 源端口(外部):TCP 80
目标地址(内部):10.112.100.101 目标端口(内部):TCP 10025
此时,防火墙会暂时拦截流量,然后检查连接表,看看内部主机的IP和端口,外部主机的IP和端口是否与连接表中记录的相同,如果相同,它就会放行这个流量。
如果是外部主动发起的流量,而防火墙又没有允许它访问内部,由于是外部主动发起的流量,所以防火墙的连接表里没有相应的信息,这就会遭到防火墙的拒绝。
从而达到既保证了内部到外部的正常通信,又使得内部主机不受到外部的侵犯,这就是状态检测型防火墙的魅力所在。
目前主流的硬件防火墙几乎都支持状态监测功能。
3:代理型防火墙
代理型防火墙一般是一个安装在多网卡服务器上的软件,拥有状态监测的功能,但是多了一项功能就是代理服务器功能。一般有正向代理和反向代理两种功能:
正向代理用于内部主机访问Internet服务器的时候,特别是Web服务的时候很管用。当内部主机第一次访问外部的Web服务器时,代理服务器会将访问后的内容放在自己的“高速缓存”中。
当内部主机再次访问该Web服务器的时候,如果有相同的内容,代理服务器就会将这个访问定位到自己的高速缓存,从而提升内部主机的访问速度。
反向代理和正向代理有点类似,只不过访问的方向是外部到内部。
当外部主机要访问内部发布的某个服务器的时候,不会让它把访问目标定位到内部服务器上,而是反向代理设备上。
反向代理设备会从真实的服务器上抽取数据到自己的缓存中,起到保护真实服务器的功能。