一(yī)、什麽是防火牆?
我們知道(dào),原是指古代人們房屋之間修建的(de)那道(dào)牆,這道(dào)牆可(kě)以防止火災發生的(de)時候蔓延到别的(de)房屋。
而這裏所說的(de)防火牆當然不是指物理(lǐ)上的(de)防火牆,而是指隔離(lí)在本地(dì)網絡與外界網絡之間的(de)一(yī)道(dào)防禦系統,其實原理(lǐ)是一(yī)樣的(de),也就是防止災難擴散。
應該說,在互聯網上防火牆是一(yī)種非常有效的(de)網絡安全模型,通過它可(kě)以隔離(lí)風險區域(即Internet或有一(yī)定風險的(de)網絡)與安全區域(局域網)的(de)連接,同時不會妨礙人們對風險區域的(de)訪問。所以它一(yī)般連接在核心交換機與外網之間。
如(rú)下圖,它的(de)連接就可(kě)以看出,它基本上在內(nèi)部網絡與外網之間,起到一(yī)個把關的(de)作用。
二、防火牆工作原理(lǐ)是什麽?
防火牆可(kě)以監控進出網絡的(de)通信量,從而完成看似不可(kě)能的(de)任務,僅讓安全、核準了的(de)信息進入,同時又抵制對企業構成威脅的(de)數據,
說白了,它就像一(yī)個守城隊,這個城處于緊張狀态,隻能讓外界的(de)良民進城,對城裏的(de)壞人進行盤點,不放走一(yī)個壞人。
随着安全性問題上的(de)失誤和(hé)缺陷越來越普遍,對網絡的(de)入侵不僅來自(zì)高(gāo)超的(de)攻擊手段,也有可(kě)能來自(zì)配置上的(de)低(dī)級錯誤或不合适的(de)口令選擇。
還來說城,
入城盤點:入侵者想要進入一(yī)座城,它有多種方式,打扮成各種方式入城,例如(rú),假口令、假令牌,僞裝等。所以守城隊是防止這種可(kě)疑的(de)人員入城的(de),另外對于城內(nèi)百姓,也是禁止百姓靠近城內(nèi)的(de)主要防禦設施。
出城監視(shì):同時為(wèi)了更好保護城內(nèi)百姓,守城隊當然還需要打探城外的(de)動向,了解到哪些地(dì)方安全,哪些地(dì)方有危險,然後規定普通百姓想要出城,有一(yī)些地(dì)方能去(qù),有些地(dì)方有危險不能去(qù)。
因此,防火牆的(de)作用是防止不希望的(de)、未授權的(de)通信進出被保護的(de)網絡,迫使單位強化自(zì)己的(de)網絡安全政策。一(yī)般的(de)防火牆都可(kě)以達到以下目的(de):
一(yī)是:可(kě)以限制他人進入內(nèi)部網絡,過濾掉不安全服務和(hé)非法用戶;
二是:防止入侵者接近你的(de)防禦設施;
三是:限定用戶訪問特殊站點。
四是:為(wèi)監視(shì)Internet安全提供方便。
三、防火牆的(de)架構與工作方式
防火牆可(kě)以使用戶的(de)網絡劃規劃更加清晰明了,全面防止跨越權限的(de)數據訪問,如(rú)果沒有防火牆的(de)話,你可(kě)能會接到許許多多類似的(de)報告,比如(rú)單位內(nèi)部的(de)财政報告剛剛被數萬個Email郵件炸爛。
一(yī)套完整的(de)防火牆系統通常是由屏蔽路由器和(hé)代理(lǐ)服務器組成。
1、屏蔽路由器:
是一(yī)個多端口的(de)IP路由器,它通過對每一(yī)個到來的(de)IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如(rú)協議号、收發報文的(de)IP地(dì)址和(hé)端口号、連接标志以至另外一(yī)些IP選項,對IP包進行過濾。
這裏面舉個例子(zǐ):
一(yī)堆人來到一(yī)個快要開盤樓盤售樓部買房,售樓小姐先需要對你們進行大概的(de)登記和(hé)了解,你是否有正規工作,是否是本市戶口,是否能正常貸款,首付多少、、、,當進行這一(yī)系列的(de)問題後,售樓小姐會對來買房的(de)人員進行一(yī)個過濾。
2、代理(lǐ)服務器:
是防火牆中的(de)一(yī)個服務器進程,它能夠代替網絡用戶完成特定的(de)TCP/TP功能。一(yī)個代理(lǐ)服務器本質上是一(yī)個應用層的(de)網關,網關我們前天講到過,它就是一(yī)個關口。
一(yī)個為(wèi)特定網絡應用而連接兩個網絡的(de)網關。用戶就一(yī)項TCP/TP應用,比如(rú)Telnet或者FTP,同代理(lǐ)服務器打交道(dào),代理(lǐ)服務器要求用戶提供其要訪問的(de)遠程主機名。
當用戶答複并提供了正确的(de)用戶身份及認證信息後,代理(lǐ)服務器連通遠程主機,為(wèi)兩個通信點充當中繼。整個過程可(kě)以對用戶完全透明。用戶提供的(de)用戶身份及認證信息可(kě)用于用戶級的(de)認證。
還來講買房:
當你已經符合買房的(de)條件了,你要買到房,關鍵的(de)環節就是貸款,這時售樓顧問就是網關,你提供完整的(de)貸款資料(工資證明,收入明細等)給售樓顧問,售樓顧問會審核下,各條件都符合了,沒有問題的(de)話,他就提交給銀行,貸款批下來了,房子(zǐ)就可(kě)以順利的(de)買到了。
四、防火牆的(de)功能 局域網內(nèi)部,不連接互聯網外網的(de)一(yī)般是不需要防火牆,監控單獨一(yī)個網絡的(de)時候才需要,一(yī)般都接在局域網內(nèi),通過路由器處的(de)防火牆,而大型網絡連接外網的(de),是需要防火牆的(de)。
一(yī)、為(wèi)什麽使用防火牆
防火牆具有很好的(de)保護作用。入侵者必須首先穿越防火牆的(de)安全防線,才能接觸目标計算機。你可(kě)以将防火牆配置成許多不同保護級别。高(gāo)級别的(de)保護可(kě)能會禁止一(yī)些服務,如(rú)視(shì)頻流等,但至少這是你自(zì)己的(de)保護選擇。
二、防火牆的(de)五大基礎的(de)作用:
1.過濾進出網絡的(de)數據
2.管理(lǐ)進出訪問網絡的(de)行為(wèi)
3.封堵某些禁止業務
4.記錄通過防火牆信息內(nèi)容和(hé)活動
5.對網絡攻擊檢測和(hé)告警
