防火墙的功能和作用
防火墙就是一种过滤塞,你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的数据包。
(1)防火墙根据lP地址作出放行或丢弃决定
天下的防火墙至少都会说两个词:Yes或者No。直接说,就是接受或者拒绝。最简单的防火墙是以太网桥。所有的防火墙都具有1P地址过滤功能。
(2)防火墙保护免受网络上任何类型的攻击
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击;另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。一般来说,防火墙在配置上是防止来自外部世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部传输流进入内部,但又允许内部的用户可以自由地与外部通信。
如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
(3)防火墙保护网络免受路由的攻击
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。
与计算机系统正受到某些人利用拨入攻击的情况不同,防火墙可以发挥一种有效的电话监听和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能,它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的流量类型以及有多少次试图闯入防火墙的企图等信息。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进/出受保护网络。
这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和MP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
(4)防火墙的集中安全管理更经济
通过以防火墙为中心的安全方案配置,能将所有安全软件(如:口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
(5)防火墙能提供网络使用情况的统计数据
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录。同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是:可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
(6)防火墙就可以隐蔽那些透漏内部细节
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题。一个内部网络中不引入注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节,如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
(1)防火墙根据lP地址作出放行或丢弃决定
天下的防火墙至少都会说两个词:Yes或者No。直接说,就是接受或者拒绝。最简单的防火墙是以太网桥。所有的防火墙都具有1P地址过滤功能。
(2)防火墙保护免受网络上任何类型的攻击
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击;另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。一般来说,防火墙在配置上是防止来自外部世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部传输流进入内部,但又允许内部的用户可以自由地与外部通信。
如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
(3)防火墙保护网络免受路由的攻击
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。
与计算机系统正受到某些人利用拨入攻击的情况不同,防火墙可以发挥一种有效的电话监听和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能,它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的流量类型以及有多少次试图闯入防火墙的企图等信息。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进/出受保护网络。
这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和MP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
(4)防火墙的集中安全管理更经济
通过以防火墙为中心的安全方案配置,能将所有安全软件(如:口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
(5)防火墙能提供网络使用情况的统计数据
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录。同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是:可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
(6)防火墙就可以隐蔽那些透漏内部细节
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题。一个内部网络中不引入注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节,如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
- 上一篇:网络安装防火墙需要采取那些措施
- 下一篇:防火墙的原理