文档介绍:防火墙根底知识
防火墙的概念
防火墙是指隔离在本地网络与外界网络系统之间的防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络平安模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与平安区域(局域网)的连接,同时不会阻碍人们对风 险区域的访问。
防火墙的概念
信任网络
防火墙
非信任网络
防火墙是对黑客防范最严格,平安性也比较强的一种方式。
以下图为一个典型防火墙系统
防火墙相关术语
主机:连接到网络的计算机系统
堡垒主机:一个连接内部网络又对外部网络暴露的计算机系统,它的特性导致它容易被入侵。
周边网络:为了增加一层平安控制,在外网系统和内网系统之间增加的一个网络。周边网络有时也称为DMZ〔非军事区,得名于分隔朝鲜北方和南方的地区〕
代理效劳器:代表内部网络和外部效劳器进展信息交换的程序。它将被认可的内部用户的请求送到外部效劳器,并将外部效劳器的响应送回给用户。
防火墙的根本功能
防火墙系统可以决定外界可以访问那些内部效劳,以及内部人员可以访问哪些外部效劳.
防火墙有以下的功能:
1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。 � 2.可以很方便地监视网络的平安性,并报警。
防火墙的根本功能
3.可以作为部署NAT〔Network Address Translation,网络地址变换〕的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
4.是审计和记录Internet使用费用的一个最正确地点。
5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW效劳器和FTP效劳器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区〔DMZ〕。
防火墙的优点
强化平安策略
有效地记录Internet上的活动
限制暴露用户点(隔离不同网络,限制平安问题扩散)
是一个平安策略的检查站
产生平安报警
防火墙的缺乏
防火墙并非万能,防火墙的缺点:
源于内部的攻击
不能防范恶意的知情者和不经心的用户
不能防范不通过防火墙的连接
不能直接抵御恶意程序(由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。)
防火墙的主要技术
包过滤技术
代理效劳技术
主动检测技术
包过滤技术
包过滤事实上基于路由器的技术,由路由器的对IP包进展选择,允许或拒绝该数据包通过。
为了过滤,必须要制定一些过滤规那么〔访问控制表〕,过滤的根据有(只考虑IP包):
源、目的IP地址
源、目的端口:FTP、HTTP、DNS等
数据包协议类型:TCP、UDP、ICMP等
数据包流向:in或out
数据包流经网络接口:Eth0、Eth1