亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

Internet的發(fā)展給政府結(jié)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應速度，以便更具競爭力。通過Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內(nèi)部員工的安全訪問；以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的“戰(zhàn)壕”，而這個“戰(zhàn)壕”就是防火墻。

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為最甚。

1.什么是防火墻？

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

2.防火墻能做什么？

防火墻是網(wǎng)絡安全的屏障：

一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻可以強化網(wǎng)絡安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

對網(wǎng)絡存取和訪問進行監(jiān)控審計：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶�，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

防止內(nèi)部信息的外泄：

通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關心的問題。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

3.防火墻的種類

防火墻技術可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應用代理。

分組過濾(Packet filtering)：作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。