一、防火墻的作用有哪些
我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻,而是指隔離在本地網絡與外界網絡之間的一道防御系統,那么具體的防火墻的作用有哪些呢?
1、過(guo)濾(lv)進出網絡(luo)的(de)數據(ju)?
2、管理進(jin)出訪問網絡的行為?
3、封堵某(mou)些禁止業務?
4、記(ji)錄通過防火墻信息內(nei)容和活(huo)動?
5、對網絡攻擊檢(jian)測和告警
二、實施防火墻主要采用什么技術
實施防火墻(qiang)主要采(cai)用以下技術:
1、代理技術
代(dai)理(li)系統是一(yi)種(zhong)將信息從(cong)防火墻的(de)一(yi)側傳(chuan)送到(dao)另一(yi)側的(de)軟件模(mo)塊(kuai)。新一(yi)代(dai)防火墻采用了兩種(zhong)代(dai)理(li)機制(zhi),一(yi)種(zhong)用于(yu)代(dai)理(li)從(cong)內(nei)部(bu)網(wang)(wang)(wang)絡到(dao)外部(bu)網(wang)(wang)(wang)絡的(de)連(lian)接,另一(yi)種(zhong)用于(yu)代(dai)理(li)從(cong)外部(bu)網(wang)(wang)(wang)絡到(dao)內(nei)部(bu)網(wang)(wang)(wang)絡的(de)連(lian)接。前者(zhe)采用網(wang)(wang)(wang)絡地址轉換(NAT)技術來(lai)解決,后者(zhe)采用非保密的(de)用戶定(ding)制(zhi)代(dai)理(li)或保密的(de)代(dai)理(li)系統技術來(lai)解決。
2、多級過濾技術
就是在防火墻中設置多(duo)層過濾(lv)規則(ze)。在網絡(luo)層,利(li)(li)用(yong)(yong)分組過濾(lv)技術(shu)攔截所有假冒(mao)的(de)(de)IP源(yuan)地(di)址和(he)(he)源(yuan)路由分組;根據過濾(lv)規則(ze),傳輸(shu)層攔截所有禁止出(chu)/入(ru)的(de)(de)協議和(he)(he)數據包;在應用(yong)(yong)層,利(li)(li)用(yong)(yong)FTP、SMTP等(deng)網關對(dui)各種Internet的(de)(de)服務進行監測和(he)(he)控制。
為(wei)保(bao)證系統(tong)的(de)安全性和防護水(shui)平,新一(yi)代防火(huo)墻采用(yong)了三級(ji)過濾措施,并輔(fu)以鑒別手(shou)段(duan)。在(zai)分組過濾一(yi)級(ji),能過濾掉(diao)所有的(de)源路由分組和假(jia)冒的(de)IP源地(di)址。在(zai)應用(yong)級(ji)網關(guan)一(yi)級(ji),能利用(yong)FTP、SMTP等各種網關(guan),控制和監(jian)測Internet提供的(de)所用(yong)通(tong)用(yong)服務;在(zai)電(dian)路網關(guan)一(yi)級(ji),實現(xian)內部(bu)主機與外部(bu)站點的(de)透明連接,并對服務的(de)通(tong)行(xing)實行(xing)嚴格(ge)控制。
3、多端口技術
具(ju)有(you)兩(liang)個(ge)或(huo)三個(ge)獨立(li)的網卡,內外兩(liang)個(ge)網卡可(ke)不作IP轉化(hua)而串(chuan)接于內部(bu)網與外部(bu)網之間,另一個(ge)網卡可(ke)專用于對服務器的安全保護。
4、NAT轉換技術
利用(yong)NAT技術(shu)能透明地(di)對所有內部(bu)地(di)址作轉換,使外部(bu)網(wang)(wang)絡(luo)無法了解內部(bu)網(wang)(wang)絡(luo)的(de)內部(bu)結構,同(tong)時(shi)允許內部(bu)網(wang)(wang)絡(luo)使用(yong)自己定(ding)制的(de)IP地(di)址和專用(yong)網(wang)(wang)絡(luo),防火(huo)墻能詳盡記錄每(mei)一個主機(ji)的(de)通信,確保每(mei)個分組送往正確的(de)地(di)址。同(tong)時(shi)使用(yong)NAT的(de)網(wang)(wang)絡(luo),與外部(bu)網(wang)(wang)絡(luo)的(de)連接(jie)只能由(you)內部(bu)網(wang)(wang)絡(luo)發起,極(ji)大(da)地(di)提高了內部(bu)網(wang)(wang)絡(luo)的(de)安(an)全性。NAT的(de)另一個顯而易見(jian)的(de)用(yong)途是(shi)解決IP地(di)址匱乏(fa)問題(ti)。
5、透明訪問技術
防火墻(qiang)利(li)用了透明的代理系統技(ji)術(shu),從(cong)而降(jiang)低(di)了系統登(deng)錄固有的安全風(feng)險和出錯概率(lv)。
6、防病毒技術
防(fang)(fang)火墻(qiang)具有著防(fang)(fang)病毒(du)的(de)功能,在(zai)防(fang)(fang)病毒(du)技術的(de)應(ying)用中(zhong),其主要(yao)包括(kuo)病毒(du)的(de)預防(fang)(fang)、清(qing)除和(he)(he)檢測(ce)等(deng)方面。防(fang)(fang)火墻(qiang)的(de)防(fang)(fang)病毒(du)預防(fang)(fang)功能來(lai)說(shuo),在(zai)網(wang)(wang)(wang)絡的(de)建設過程中(zhong),通過安裝相應(ying)的(de)防(fang)(fang)火墻(qiang)來(lai)對計(ji)算機(ji)和(he)(he)互聯(lian)(lian)網(wang)(wang)(wang)間的(de)信(xin)息(xi)(xi)數據(ju)(ju)進行嚴格的(de)控(kong)(kong)制(zhi),從(cong)而形成一(yi)種安全的(de)屏障來(lai)對計(ji)算機(ji)外網(wang)(wang)(wang)以及內網(wang)(wang)(wang)數據(ju)(ju)實(shi)施保護(hu)。計(ji)算機(ji)網(wang)(wang)(wang)絡要(yao)想進行連(lian)接,一(yi)般都是(shi)通過互聯(lian)(lian)網(wang)(wang)(wang)和(he)(he)路由(you)器(qi)連(lian)接實(shi)現(xian)的(de),則對網(wang)(wang)(wang)絡保護(hu)就需要(yao)從(cong)主干網(wang)(wang)(wang)的(de)部分開始,在(zai)主干網(wang)(wang)(wang)的(de)中(zhong)心資源實(shi)施控(kong)(kong)制(zhi),防(fang)(fang)止服(fu)務器(qi)出現(xian)非法(fa)的(de)訪問,為了杜絕外來(lai)非法(fa)的(de)入(ru)侵對信(xin)息(xi)(xi)進行盜(dao)用,在(zai)計(ji)算機(ji)連(lian)接的(de)端口所接入(ru)的(de)數據(ju)(ju),還要(yao)進行以太網(wang)(wang)(wang)和(he)(he)IP地(di)址(zhi)的(de)嚴格檢查,被(bei)盜(dao)用IP地(di)址(zhi)會被(bei)丟(diu)棄(qi),同時還會對重(zhong)要(yao)信(xin)息(xi)(xi)資源進行全面記錄,保障其計(ji)算機(ji)的(de)信(xin)息(xi)(xi)網(wang)(wang)(wang)絡具有良好(hao)安全性。
7、加密技術
計算(suan)機(ji)(ji)信(xin)(xin)息(xi)(xi)傳(chuan)輸(shu)的(de)(de)(de)過程中,借(jie)助防(fang)(fang)火墻(qiang)還(huan)(huan)能夠有(you)效的(de)(de)(de)實現(xian)信(xin)(xin)息(xi)(xi)的(de)(de)(de)加密(mi),通過這種加密(mi)技術,相關人員(yuan)(yuan)就(jiu)能夠對傳(chuan)輸(shu)的(de)(de)(de)信(xin)(xin)息(xi)(xi)進(jin)行(xing)有(you)效的(de)(de)(de)加密(mi),其中信(xin)(xin)息(xi)(xi)密(mi)碼是信(xin)(xin)息(xi)(xi)交流的(de)(de)(de)雙方(fang)(fang)進(jin)行(xing)掌握,對信(xin)(xin)息(xi)(xi)進(jin)行(xing)接(jie)受的(de)(de)(de)人員(yuan)(yuan)需要(yao)(yao)(yao)(yao)(yao)對加密(mi)的(de)(de)(de)信(xin)(xin)息(xi)(xi)實施(shi)解密(mi)處理(li)后(hou),才能獲(huo)取所(suo)傳(chuan)輸(shu)的(de)(de)(de)信(xin)(xin)息(xi)(xi)數據(ju),在防(fang)(fang)火墻(qiang)加密(mi)技術應用(yong)(yong)(yong)中,要(yao)(yao)(yao)(yao)(yao)時(shi)刻注意(yi)信(xin)(xin)息(xi)(xi)加密(mi)處理(li)安(an)全性(xing)的(de)(de)(de)保障(zhang)。在防(fang)(fang)火墻(qiang)技術應用(yong)(yong)(yong)中,想要(yao)(yao)(yao)(yao)(yao)實現(xian)信(xin)(xin)息(xi)(xi)的(de)(de)(de)安(an)全傳(chuan)輸(shu),還(huan)(huan)需要(yao)(yao)(yao)(yao)(yao)做好(hao)用(yong)(yong)(yong)戶身(shen)份(fen)(fen)的(de)(de)(de)驗證(zheng),在進(jin)行(xing)加密(mi)處理(li)后(hou),信(xin)(xin)息(xi)(xi)的(de)(de)(de)傳(chuan)輸(shu)需要(yao)(yao)(yao)(yao)(yao)對用(yong)(yong)(yong)戶授權,然后(hou)對信(xin)(xin)息(xi)(xi)接(jie)收方(fang)(fang)以(yi)及發送(song)方(fang)(fang)要(yao)(yao)(yao)(yao)(yao)進(jin)行(xing)身(shen)份(fen)(fen)的(de)(de)(de)驗證(zheng),從(cong)而建立信(xin)(xin)息(xi)(xi)安(an)全傳(chuan)遞的(de)(de)(de)通道,保證(zheng)計算(suan)機(ji)(ji)的(de)(de)(de)網(wang)絡信(xin)(xin)息(xi)(xi)在傳(chuan)遞中具有(you)良好(hao)的(de)(de)(de)安(an)全性(xing),非法分子不(bu)擁(yong)有(you)正確的(de)(de)(de)身(shen)份(fen)(fen)驗證(zheng)條件,因此,其就(jiu)不(bu)能對計算(suan)機(ji)(ji)的(de)(de)(de)網(wang)絡信(xin)(xin)息(xi)(xi)實施(shi)入侵。