一、防火墻的作用有哪些
我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統,那么具體的防火墻的作用有哪些呢?
1、過濾進出網絡的數據?
2、管(guan)理進(jin)出訪問(wen)網絡的行(xing)為(wei)?
3、封堵某些禁止業務?
4、記(ji)錄通過防(fang)火墻信息內容和(he)活動?
5、對網絡(luo)攻擊檢測和告警
二、實施防火墻主要采用什么技術
實施(shi)防(fang)火墻(qiang)主(zhu)要(yao)采用以下技術:
1、代理技術
代(dai)理(li)(li)系統是一(yi)種(zhong)(zhong)將信息從防(fang)火墻(qiang)的(de)一(yi)側傳送到(dao)另一(yi)側的(de)軟件模塊。新一(yi)代(dai)防(fang)火墻(qiang)采用了兩種(zhong)(zhong)代(dai)理(li)(li)機制,一(yi)種(zhong)(zhong)用于代(dai)理(li)(li)從內部(bu)(bu)網(wang)(wang)絡(luo)到(dao)外部(bu)(bu)網(wang)(wang)絡(luo)的(de)連接,另一(yi)種(zhong)(zhong)用于代(dai)理(li)(li)從外部(bu)(bu)網(wang)(wang)絡(luo)到(dao)內部(bu)(bu)網(wang)(wang)絡(luo)的(de)連接。前者采用網(wang)(wang)絡(luo)地址轉換(huan)(NAT)技術來解(jie)決(jue),后(hou)者采用非保密的(de)用戶定制代(dai)理(li)(li)或保密的(de)代(dai)理(li)(li)系統技術來解(jie)決(jue)。
2、多級過濾技術
就是在(zai)防(fang)火墻中設置多層過(guo)濾(lv)規則。在(zai)網絡層,利(li)用分組過(guo)濾(lv)技術攔截所有假(jia)冒的(de)IP源地址和(he)源路由(you)分組;根據(ju)過(guo)濾(lv)規則,傳輸層攔截所有禁止出(chu)/入的(de)協議和(he)數據(ju)包;在(zai)應用層,利(li)用FTP、SMTP等(deng)網關對各種(zhong)Internet的(de)服(fu)務(wu)進行監測和(he)控(kong)制。
為保證系(xi)統(tong)的安全性和(he)防(fang)護水平(ping),新一(yi)(yi)代防(fang)火墻采(cai)用(yong)(yong)了三級過濾(lv)措(cuo)施,并輔以(yi)鑒別手段。在分(fen)組(zu)過濾(lv)一(yi)(yi)級,能(neng)過濾(lv)掉所(suo)有(you)的源(yuan)路(lu)由分(fen)組(zu)和(he)假冒的IP源(yuan)地址。在應用(yong)(yong)級網(wang)關一(yi)(yi)級,能(neng)利用(yong)(yong)FTP、SMTP等各種(zhong)網(wang)關,控(kong)制(zhi)和(he)監測(ce)Internet提供(gong)的所(suo)用(yong)(yong)通(tong)用(yong)(yong)服務(wu);在電路(lu)網(wang)關一(yi)(yi)級,實現內部(bu)主機與外部(bu)站(zhan)點(dian)的透明連接,并對服務(wu)的通(tong)行(xing)實行(xing)嚴(yan)格控(kong)制(zhi)。
3、多端口技術
具(ju)有(you)兩個(ge)(ge)或三個(ge)(ge)獨立(li)的網(wang)(wang)卡,內外兩個(ge)(ge)網(wang)(wang)卡可不(bu)作IP轉化而串接于內部(bu)網(wang)(wang)與外部(bu)網(wang)(wang)之(zhi)間,另一個(ge)(ge)網(wang)(wang)卡可專用于對(dui)服務器(qi)的安全保護。
4、NAT轉換技術
利(li)用NAT技術能透(tou)明地對所有(you)內(nei)(nei)部地址(zhi)(zhi)作轉換,使外(wai)部網絡(luo)(luo)(luo)無法了解內(nei)(nei)部網絡(luo)(luo)(luo)的(de)(de)內(nei)(nei)部結(jie)構,同時允許內(nei)(nei)部網絡(luo)(luo)(luo)使用自己定(ding)制的(de)(de)IP地址(zhi)(zhi)和專用網絡(luo)(luo)(luo),防火墻能詳盡記錄(lu)每一個(ge)主機的(de)(de)通信,確(que)保每個(ge)分(fen)組送往正確(que)的(de)(de)地址(zhi)(zhi)。同時使用NAT的(de)(de)網絡(luo)(luo)(luo),與外(wai)部網絡(luo)(luo)(luo)的(de)(de)連接(jie)只能由(you)內(nei)(nei)部網絡(luo)(luo)(luo)發(fa)起,極(ji)大地提高了內(nei)(nei)部網絡(luo)(luo)(luo)的(de)(de)安(an)全性。NAT的(de)(de)另一個(ge)顯而易見(jian)的(de)(de)用途是解決(jue)IP地址(zhi)(zhi)匱乏(fa)問題。
5、透明訪問技術
防(fang)火墻(qiang)利用(yong)了透明的代理系(xi)統(tong)技術(shu),從而降低了系(xi)統(tong)登錄固有的安全風(feng)險(xian)和(he)出錯概率。
6、防病毒技術
防火(huo)墻(qiang)具(ju)有(you)(you)著防病毒的(de)(de)功能,在(zai)防病毒技術的(de)(de)應(ying)用(yong)中,其主要(yao)包括病毒的(de)(de)預(yu)防、清除和(he)檢測等(deng)方面。防火(huo)墻(qiang)的(de)(de)防病毒預(yu)防功能來(lai)說(shuo),在(zai)網(wang)(wang)(wang)(wang)絡的(de)(de)建設過(guo)(guo)程中,通過(guo)(guo)安(an)裝相應(ying)的(de)(de)防火(huo)墻(qiang)來(lai)對計(ji)算(suan)(suan)(suan)機和(he)互聯網(wang)(wang)(wang)(wang)間的(de)(de)信息(xi)(xi)數(shu)據進(jin)(jin)行(xing)(xing)(xing)嚴(yan)格(ge)的(de)(de)控制(zhi),從而形(xing)成一(yi)種安(an)全的(de)(de)屏障來(lai)對計(ji)算(suan)(suan)(suan)機外網(wang)(wang)(wang)(wang)以及內網(wang)(wang)(wang)(wang)數(shu)據實施保護。計(ji)算(suan)(suan)(suan)機網(wang)(wang)(wang)(wang)絡要(yao)想進(jin)(jin)行(xing)(xing)(xing)連(lian)接(jie),一(yi)般(ban)都是通過(guo)(guo)互聯網(wang)(wang)(wang)(wang)和(he)路由器連(lian)接(jie)實現(xian)的(de)(de),則對網(wang)(wang)(wang)(wang)絡保護就需要(yao)從主干網(wang)(wang)(wang)(wang)的(de)(de)部(bu)分開始,在(zai)主干網(wang)(wang)(wang)(wang)的(de)(de)中心資源實施控制(zhi),防止服務器出現(xian)非法的(de)(de)訪問,為了杜絕(jue)外來(lai)非法的(de)(de)入侵對信息(xi)(xi)進(jin)(jin)行(xing)(xing)(xing)盜(dao)用(yong),在(zai)計(ji)算(suan)(suan)(suan)機連(lian)接(jie)的(de)(de)端口所(suo)接(jie)入的(de)(de)數(shu)據,還(huan)要(yao)進(jin)(jin)行(xing)(xing)(xing)以太網(wang)(wang)(wang)(wang)和(he)IP地址(zhi)的(de)(de)嚴(yan)格(ge)檢查,被盜(dao)用(yong)IP地址(zhi)會(hui)被丟(diu)棄,同時還(huan)會(hui)對重要(yao)信息(xi)(xi)資源進(jin)(jin)行(xing)(xing)(xing)全面記錄,保障其計(ji)算(suan)(suan)(suan)機的(de)(de)信息(xi)(xi)網(wang)(wang)(wang)(wang)絡具(ju)有(you)(you)良好安(an)全性。
7、加密技術
計(ji)算(suan)機信(xin)(xin)息(xi)(xi)(xi)傳(chuan)輸(shu)的(de)(de)(de)過(guo)程中(zhong)(zhong)(zhong),借助(zhu)防(fang)火(huo)墻(qiang)還(huan)能(neng)夠有(you)效的(de)(de)(de)實(shi)現信(xin)(xin)息(xi)(xi)(xi)的(de)(de)(de)加(jia)(jia)密(mi)(mi)(mi),通(tong)過(guo)這(zhe)種加(jia)(jia)密(mi)(mi)(mi)技(ji)術(shu)(shu)(shu),相關(guan)人員就(jiu)(jiu)能(neng)夠對(dui)傳(chuan)輸(shu)的(de)(de)(de)信(xin)(xin)息(xi)(xi)(xi)進(jin)行(xing)有(you)效的(de)(de)(de)加(jia)(jia)密(mi)(mi)(mi),其中(zhong)(zhong)(zhong)信(xin)(xin)息(xi)(xi)(xi)密(mi)(mi)(mi)碼是(shi)信(xin)(xin)息(xi)(xi)(xi)交流的(de)(de)(de)雙方(fang)進(jin)行(xing)掌握,對(dui)信(xin)(xin)息(xi)(xi)(xi)進(jin)行(xing)接受的(de)(de)(de)人員需(xu)要(yao)對(dui)加(jia)(jia)密(mi)(mi)(mi)的(de)(de)(de)信(xin)(xin)息(xi)(xi)(xi)實(shi)施(shi)解密(mi)(mi)(mi)處理后(hou),才能(neng)獲(huo)取所傳(chuan)輸(shu)的(de)(de)(de)信(xin)(xin)息(xi)(xi)(xi)數據,在防(fang)火(huo)墻(qiang)加(jia)(jia)密(mi)(mi)(mi)技(ji)術(shu)(shu)(shu)應用中(zhong)(zhong)(zhong),要(yao)時刻注意信(xin)(xin)息(xi)(xi)(xi)加(jia)(jia)密(mi)(mi)(mi)處理安全性的(de)(de)(de)保障。在防(fang)火(huo)墻(qiang)技(ji)術(shu)(shu)(shu)應用中(zhong)(zhong)(zhong),想要(yao)實(shi)現信(xin)(xin)息(xi)(xi)(xi)的(de)(de)(de)安全傳(chuan)輸(shu),還(huan)需(xu)要(yao)做好(hao)用戶身(shen)份(fen)的(de)(de)(de)驗(yan)證,在進(jin)行(xing)加(jia)(jia)密(mi)(mi)(mi)處理后(hou),信(xin)(xin)息(xi)(xi)(xi)的(de)(de)(de)傳(chuan)輸(shu)需(xu)要(yao)對(dui)用戶授權,然后(hou)對(dui)信(xin)(xin)息(xi)(xi)(xi)接收方(fang)以及(ji)發送方(fang)要(yao)進(jin)行(xing)身(shen)份(fen)的(de)(de)(de)驗(yan)證,從而建立信(xin)(xin)息(xi)(xi)(xi)安全傳(chuan)遞的(de)(de)(de)通(tong)道,保證計(ji)算(suan)機的(de)(de)(de)網(wang)絡(luo)信(xin)(xin)息(xi)(xi)(xi)在傳(chuan)遞中(zhong)(zhong)(zhong)具(ju)有(you)良好(hao)的(de)(de)(de)安全性,非法分(fen)子不(bu)擁有(you)正(zheng)確的(de)(de)(de)身(shen)份(fen)驗(yan)證條(tiao)件,因此,其就(jiu)(jiu)不(bu)能(neng)對(dui)計(ji)算(suan)機的(de)(de)(de)網(wang)絡(luo)信(xin)(xin)息(xi)(xi)(xi)實(shi)施(shi)入侵。