防火墻是壹種控制主機(或域)的數據包進入我們的域的機制。
更深壹層的理解是
壹、防火墻的基本概念
在古代,人們經常在公寓之間建壹堵磚墻。壹旦發生火災,它可以防止火勢蔓延到其他公寓。現在,如果壹個網絡連接到互聯網,它的用戶可以訪問和與外界交流。但同時,外界也可以接入網絡,與網絡互動。出於安全原因,可以在網絡和互聯網之間插入壹個中間系統來建立安全屏障。這道屏障的作用就是阻擋外界通過網絡的威脅和入侵,提供唯壹的檢查點來守衛這個網絡的安全和審計。其作用類似於古代的防火磚墻,所以我們稱這種屏障為“防火墻”。
在計算機中,防火墻是壹種設備,由軟件或硬件設備組成。它通常位於企業內部局域網和互聯網之間,限制互聯網用戶對內部網絡的訪問,管理內部用戶對外部世界的訪問。換句話說,防火墻是在被認為安全可信的內部網絡和不那麽安全可信的外部網絡(通常是互聯網)之間的阻擋工具。防火墻是壹種被動技術,因為它假設網絡邊界的存在,很難有效控制內部的非法訪問。所以防火墻只適用於相對獨立的網絡,比如企業內部的局域網。
二、防火墻的基本原理
1.過濾不安全的服務
基於這個準則,防火墻要把所有的信息流都屏蔽掉,然後把它要提供的安全服務壹個壹個的打開,把所有不安全的服務或者可能有安全隱患的服務扼殺在萌芽狀態。這是壹個非常有效實用的方法,可以創造壹個非常安全的環境,因為只有精心挑選的服務才能讓用戶使用。
2.過濾非法用戶和訪問特殊網站。
基於這個標準,防火墻首先要允許所有用戶和站點訪問內網,然後網絡管理員會根據IP地址對未授權的用戶或不可信的站點逐壹進行篩選。這種方法構成了更靈活的應用環境。網絡管理員可以向不同的用戶開放不同的服務,即可以自由地為每個用戶設置不同的訪問權限。
三、防火墻的基本措施
實現防火墻的安全功能主要有兩種措施。
1.代理服務器(適用於撥號上網)
這樣,內部網絡和互聯網之間沒有直接的通信,內部網絡的計算機用戶和代理服務器采用壹種通信方式,即提供內部網絡協議(NetBIOS,TCP/IP)。代理服務器與互聯網的通信采用標準的TCP/IP網絡通信協議,防火墻內外的計算機之間的通信通過代理服務器實現。其結構如下:
內部網絡→代理服務器→互聯網
這樣就成功隔離了防火墻內外的計算機系統。由於代理服務器兩端采用不同的協議標準,可以有效防止外界直接非法入侵。
代理服務器通常充當性能好、處理速度快、容量大的計算機。在功能上,它充當內部網絡和互聯網之間的連接器。對於內網來說,它就像壹個真實的服務器,而對於互聯網上的服務器來說,它也是壹個客戶端。當代理服務器收到用戶的請求時,它會檢查用戶請求的站點是否符合設定的要求。如果允許用戶訪問該站點,代理服務器將與該站點連接,以檢索所需的信息並將其轉發給用戶。
此外,代理服務器還可以提供更多的安全選項,例如,它可以實現強大的數據流監控、過濾、記錄和報告功能,它還可以提供出色的訪問控制、登錄能力和地址轉換能力。但這種防火墻措施在內網終端較多,代理服務器負擔較重,很多訪問互聯網的客戶端軟件無法在內網電腦中正常訪問互聯網的情況下,必然會影響效率。
2.路由器和過濾器
這種結構由路由器和過濾器* * *組成,用於限制外部計算機對內部網絡的訪問,也用於指定或限制內部網絡對Internet的訪問。路由器僅在過濾器的特定端口上路由數據通信。過濾器的主要作用是在網絡層有選擇地讓數據包通過,根據IP(互聯網協議)包信息、IP源地址、IP目的地址和封裝協議端口號決定是否允許數據包通過。這種防火墻措施最大的優點是對用戶透明,也就是說,用戶不需要輸入自己的賬號和密碼登錄,所以比代理服務器速度快,不容易出現瓶頸。但是它的缺點也很明顯,就是沒有用戶的使用記錄,所以我們無法從訪問記錄中找到非法入侵的攻擊記錄。