複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/網絡防火牆/7112674
複製
複製成功

網絡防火牆

鎖定
網絡防火牆是一種用來加強網絡之間訪問控制的特殊網絡互聯設備。計算機流入流出的所有網絡通信均要經過此防火牆。防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
中文名
網絡防火牆
外文名
Internet Firewall
概    念
用來加強網絡訪問控制的特殊網絡互聯設備
基本功能
進行數據篩選和屏蔽, 保護內部網絡安全
主要作用
強化安全策略、限制暴露用户點等
類    型
網絡層防火牆、應用級網關防火牆等

目錄

  1. 1 基本功能
  2. 2 主要作用
  1. 3 分類
  2. 4 選擇標準
  1. 5 發展局限
  2. 6 發展展望

網絡防火牆基本功能

所謂“防火牆”,是一種特殊的訪問控制設施,是一道介於內部網絡和Internet 之間的安全屏障, 防火牆的基本功能是根據各種網絡安全策略的要求對未經授權的訪問和數據傳遞進行篩選和屏蔽, 它保護着內部網絡數據的安全。從邏輯上講防火牆既是一個分析器又是一個限制器, 它要求所有進出內部網絡的數據流都必須通過安全策略和安全計劃的確認與授權, 並在邏輯上實現內外網絡的分離, 從而保證內部網絡的安全。防火牆既可以是一組硬件,也可以是一組軟件,還可以是軟件和硬件的組合。 [1] 

網絡防火牆主要作用

防火牆作為內部網與外部網之間的一種訪問控制設備, 常常安裝在內部網和外部網交界點上。防火牆具有很好的網絡安全保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。網絡防火牆的主要作用如下:(1)Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網絡內部;(2)能強化安全策略;(3)能有效記錄Internet上的活動;(4)可限制暴露用户點;(5)它是安全策略的檢查點。

網絡防火牆分類

1.網絡層防火牆
網絡層防火牆保護整個網絡不受非法入侵,其典型技術是包過濾技術,即檢查進入網絡的分組, 將不符合預先設定標準的分組丟掉,而讓符合標準的分組通過。包過濾技術主要是基於路由的技術,它依據靜態的或動態的過濾邏輯, 在對數據包進行轉發前根據數據包的目的地址、源地址及端口號來過濾數據包。
2.應用級網關防火牆
應用級網關防火牆控制對應用程序的訪問, 即允許訪問某些應用程序而阻止訪問其他應用程序。採用的方法是在應用層網關上安裝代理軟件, 每個代理模塊分別針對不同的應用。例如, 遠程登錄代理Telnetproxy 負責Telnet 在防火牆上的轉發,文件傳輸代理FTPproxy 等。管理員可以根據需要安裝相應的代理,用以控制對應用程序的訪問。各個代理模塊相互無關,即使某個代理模塊的工作發生問題,只需要將它拆卸, 不會影響其他代理模塊的正常工作, 從而保證了防火牆的安全性。這種防火牆又叫做代理防火牆, 它由代理服務器和過濾路由器組成, 是目前較流行的一種防火牆。
3.監測型防火牆
監測型防火牆是新一代的產品, 這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測, 在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分佈式探測器, 這些探測器安置在各種應用服務器和其他網絡的節點之中, 不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。 [1] 

網絡防火牆選擇標準

1.總擁有成本防火牆產品作為網絡系統的安全屏障,其總擁有成本( TCO) 不應該超過受保護網絡系統可能遭受最大損失的成本;
2.作為信息系統安全產品,防火牆本身也應該保證安全,不給外部侵入者以可乘之機;
3.管理和培訓是評價防火牆的重要方面;
4.在網絡系統建設的初期,由於內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過於複雜和昂貴的防火牆產品;
5.防火牆產品最難評估的方面是防火牆的安全性能,即防火牆是否能夠有效地阻擋外部入侵。 [2] 
一個好的防火牆系統應具有三方面的特性:(1)所有在內部網絡和外部網絡之間傳輸的數據必須通過防火牆;(2)只有被授權的合法數據即防火牆系統中安全策略允許的數據可以通過防火牆;(3)防火牆本身不受各種攻擊的影響。 [3] 

網絡防火牆發展局限

1.防火牆不能阻止來自內部網絡的攻擊。傳統防火牆設置安全策略的一個基本假設是: 網絡的一邊即外部的所有人是不可信任的,另一邊即網絡內部的所有人是可信任的。但實際上,80% 的攻擊訪問來自內部網絡,造成內部網絡不夠安全。另外傳統防火牆大多缺乏對主機意圖的瞭解,通常只能根據數據包的外在特性來進行過濾控制。
2.防火牆不能完全防止用户傳送已感染病毒的軟件或文件。
3.為提高保護網絡的安全性, 防火牆限制或關閉了許多有用但存在安全漏洞的網絡服務。
4.防火牆是一種被動式防護手段, 它只能對已知網絡威脅起作用,不能防範新的網絡安全問題。
5.防火牆不能防範數據驅動型的攻擊。
6.內部網用户通過特殊方式如網絡電話、聊天軟件等可以繞開防火牆與Internet 的直接連接;另外,一個高明的黑客也可能利用新技術穿透防火牆。因此, 仍需要重視加強對主機安全的防護。
7.一旦系統管理員對防火牆配置不當,易遺留大量的安全漏洞。
8.防火牆的設置一般都基於IP 地址,因而內部網絡主機和服務器IP 地址的變化將導致設置文件中的規則改變,也就是説這些規則的設定受到網絡拓撲結構的制約。 [1] 

網絡防火牆發展展望

隨着網絡技術的不斷髮展,網絡防火牆技術也在不斷髮展和進步,安全性能也越來越來高,從目前來看,網絡防火牆主要向幾個方面發展:
其一,由於對網絡上傳輸的數據的安全、加密需求的要求越來越高,因此用防火牆在互聯網建立VPN成為企業內部網的發展趨勢;
其二,防火牆的過濾的範圍和深度不斷加強,主要表現在由以前的網絡層的單層過濾、源和目的地址過濾、路由過濾等發展到內容過濾、Web 頁面審查、對存在安全隱患的ActiveX 等的過濾;
其三,主要是對傳統防火牆功能的不足進行補充, 增加對內部網絡的防護措施,加強對網絡攻擊的檢測和警告;
其四,由於沒有一種解決方案能夠百分之百地進行網絡安全防護,因此要不斷加強網絡安全管理和安全審計的強度,不斷地提高網絡的安全性能;
其五,防火牆技術將從目前的被動防護狀態逐漸轉變為一種智能的、能夠動態對內部網絡進行防護的,集成多種網絡信息安全技術的安全產品。 [4] 
參考資料
  • 1.    王立新, 周元. 淺析網絡防火牆技術[J]. 科技資訊, 2008(16):202-202.
  • 2.    陳蕾. 淺析網絡防火牆技術[J]. 信息技術與信息化, 2012(5):63-64.
  • 3.    林曉東, 楊義先. 網絡防火牆技術[J]. 電信科學, 1997(3):41-43.
  • 4.    邵澤雲, 曹來成. 網絡防火牆新技術的發展與應用研究[J]. 網絡空間安全, 2015, 6(5):28-30.