<form id="jrvlt"></form>
      <form id="jrvlt"></form>

                  <em id="jrvlt"></em>
                  <form id="jrvlt"></form>

                    學習啦>學習電腦>電腦安全>防火墻知識>《電腦防火墻基礎知識》正文

                    電腦防火墻基礎知識

                    時間:2020-11-20 20:21:00本文內容及圖片來源于讀者投稿,如有侵權請聯系xuexila888@qq.com 懷健 我要投稿

                    所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.下面就讓小編帶你去看看電腦防火墻基礎知識,希望能幫助到大家!

                    電腦小知識:計算機防火墻到底是什么?能不能阻止黑客的入侵?

                    在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。

                    作用

                    防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。

                    從類型上來說我們主要是分為兩種

                    網絡層防火墻

                    網絡層防火墻[3]可視為一種 IP 封包過濾器(允許或拒絕封包資料通過的軟硬結合裝置),運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其余的一概禁止穿越防火墻(病毒除外,防火墻不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火墻設備可能只能套用內置的規則。

                    我們也能以另一種較寬松的角度來制定防火墻規則,只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

                    較新的防火墻能利用封包的多樣屬性來進行過濾,例如:來源 IP地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

                    應用層防火墻

                    應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

                    防火墻借由監測所有的封包并找出不符規則的內容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火墻都不會考慮以這種方法設計。

                    __ML 防火墻是一種新型態的應用層防火墻。

                    根據側重不同,可分為:包過濾型防火墻、應用層網關型防火墻、服務器型防火墻。

                    基本特性

                    (一)內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻

                    這是防火墻所處網絡位置特性,同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道,才可以全面、有效地保護企業網內部網絡不受侵害。

                    根據美國國家安全局制定的《信息保障技術框架》,防火墻適用于用戶網絡系統的邊界,屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處,比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。

                    典型的防火墻體系網絡結構如下圖所示。從圖中可以看出,防火墻的一端連接企事業單位內部的局域網,而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。

                    (二)只有符合安全策略的數據流才能通過防火墻

                    防火墻最基本的功能是確保網絡流量的合法性,并在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火墻模型開始談起,原始的防火墻是一臺“雙穴主機”,即具備兩個網絡接口,同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然后將符合通過條件的報文從相應的網絡接口送出,而對于那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火墻是一個類似于橋接或路由器的、多端口的(網絡接口>=2)轉發設備,它跨接于多個分離的物理網段之間,并在報文轉發過程之中完成對報文的審查工作。

                    (三)防火墻自身應具有非常強的抗攻擊免疫力

                    這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能,除了專門的防火墻嵌入系統外,再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

                    目前國內的防火墻幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火墻產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等,它們都提供不同級別的防火墻產品。

                    優點

                    (1)防火墻能強化安全策略。

                    (2)防火墻能有效地記錄Internet上的活動。

                    (3)防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。

                    (4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。

                    其他功能

                    除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系(虛擬專用網)。

                    防火墻的英文名為“FireWall”,它是目前一種最重要的網絡防護設備。從專業角度講,防火墻是位于兩個(或多個)網絡間,實施網絡之間訪問控制的一組組件集合。

                    計算機隱私攻擊。混合媒體

                    發展史

                    第一代防火墻

                    第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術。下圖表示了防火墻技術的簡單發展歷史

                    第二、三代防火墻

                    1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。

                    第四代防火墻

                    1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。

                    第五代防火墻

                    1998年,NAI公司推出了一種自適應代理(Adaptive pro__y)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。

                    一體化安全網關UTM

                    UTM統一威脅管理,在防火墻基礎上發展起來的,具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能,因此主要用于對性能要求不高的中低端領域。在中低端領域,UTM已經出現了代替防火墻的趨勢,因為在不開啟附加功能的情況下,UTM本身就是一個防火墻,而附加功能又為用戶的應用提供了更多選擇。在高端應用領域,比如電信、金融等行業,仍然以專用的高性能防火墻、IPS為主流。

                    防火墻知識點

                    防火墻

                    (一)構造要求:

                    1.防火墻應直接設置在基礎上或鋼筋混凝土框架上,框架、梁等承重結構的耐火極限不應低于防火墻的耐火極限。防火墻應從樓地面基層隔斷至梁、樓板或屋面板的地面基層。當高層廠房(倉庫)屋頂承重結構和屋面板的耐火極限不低于1.00h,其他建筑屋頂承重結構和屋面板的耐火極限低于0.50h時,防火墻應高出屋面0.5m以上。

                    2.防火墻橫截面中心距天窗端面的水平距離<4m,且天窗端面為可燃性墻體時,應采取防止火勢蔓延的措施

                    3.建筑物外墻如為難燃性墻體或可燃防火墻體時,防火墻應突出墻的外表面0.4m以上,且防火墻兩側的外墻均應為寬度≮2.0m的不燃性墻體,其耐火極限不低于外墻的耐火極限。

                    建筑外墻為不燃體時,防火墻可不凸出墻的外表面,緊靠防火門兩側的門、窗、洞口之間最近邊緣的水平距離應≮2.0m;采取設置乙級防火窗等防止火災蔓延的措施時,該距離不限。

                    4.防火墻上不應開設門、窗、洞口,如必須開設時,應采用不可開啟或火災時能自行關閉的甲級防火門、窗。可燃氣體和甲、乙、丙類液體管道不應穿過防火墻。其他管道如必須穿過時,應用防火封堵材料將縫隙緊密填塞。

                    5.建筑物內的防火墻不應設在轉角處。如設在轉角附近,內轉角兩側上的門窗洞口之間最近的水平距離應≮4m。采用乙級窗時該距離不變

                    6. 設計防火墻時,應考慮防火墻一側的屋架、梁、樓板等受到火災的影響而破壞時,不致使防火墻倒塌。

                    (二)檢查內容

                    1. 防火墻設置位置。

                    體檢查要求為:(1)設置在建筑物的基礎或鋼筋混凝土框架、梁等承重結構上的防火墻,應從樓地面基層隔斷至梁、樓板或屋面結構層的底面。(2)設置在轉角附近的防火墻,內轉角兩側墻上的門、窗洞口之間最近邊緣的水平距離不得<4m,當采取設置乙級防火窗等防止火災水平蔓延的措施時,距離可不限。(3)防火墻的構造應能夠保證在防火墻任意一側的屋架、梁、樓板等受到火災的影響而破壞時,不會導致防火墻倒塌。(4)緊靠防火墻兩側的門、窗、洞口之間最近邊緣的水平距離不得<2m;采取設置乙級防火窗等防止火災水平蔓延的措施時,距離可不限。

                    2.防火墻墻體材料。防火墻的耐火極限一般要求為3.00h,對甲、乙類廠房和甲、乙、丙類倉庫,用于防火分區分隔的防火墻耐火極限應保持≥4h。防火墻上必須開設門、窗和洞口時,必須設置不可開啟或火災時能自動關閉的甲級防火門、窗。通常情況下,防火墻上不開設門、窗和洞口。

                    3.穿越防火墻的管道。防火墻內不得設置排氣道、可燃氣體和甲、乙、丙類液體的管道。對穿過防火墻的其他管道,應檢查其是否采用防火封堵材料將墻與管道之間的空隙緊密填實;對穿過防火墻處的管道保溫材料,應檢查其是否采用不燃材料;當管道為難燃及可燃材料時,還應檢查防火墻兩側的管道上采取的防火措施。

                    4.防火封堵的嚴密性。主要檢查防火墻、隔墻墻體與梁、樓板的結合是否緊密,是否無孔洞、縫隙;墻上的施工孔洞是否采用不燃材料填塞密實:墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應地耐火極限要求。

                    不燃材料填塞密實:墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應地耐火極限要求。答案:D舉例,2h的防火隔墻上用1.5小時的不燃材料。

                    IT運維-防火墻基礎知識

                    們這里說的防火墻(Firewall)是一種網絡設備,它在網絡中起到兩個最基本的功能:劃分網絡的邊界、加固內網的安全。

                    一、劃分網絡的邊界

                    防火墻設備的其中一個功能,就是劃分網絡的邊界,嚴格地將網絡分為“外網”和“內網”。

                    “外網”則是防火墻認為的——不安全的網絡,不受信任的網絡;“內網”則是防火墻認為的——安全的網絡,受信任的網絡。

                    二、加固網絡的安全

                    防火墻的其中一個功能,就是網絡流量流向的問題(內到外可以訪問,外到內默認不能訪問),這就從一定程度上加強了網絡的安全性,那就是:“內網屬于私有環境,外人非請莫入!”

                    另外,防火墻還能從另外一些方面來加固內部網絡的安全:

                    1:隱藏內部的網絡拓撲

                    這種情況用于互聯網防火墻。因為內網一般都會使用私有IP地址,而互聯網是Internet的IP地址。

                    由于在IPv4環境下IP地址不足,內部使用大量的私有地址,轉換到外部少量的Internet地址,這樣的話,外部網絡就不會了解到內部網絡的路由,也就沒法了解到內部網絡的拓撲了。

                    同時,防火墻上還會使用NAT技術,將內部的服務器映射到外部,所以從外部訪問服務器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內部地址。

                    2:帶有安全檢測防御

                    這種功能并不是每一款防火墻都有。

                    安全檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。

                    它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。

                    3:會話日志功能

                    防火墻都有“會話記錄”功能,每一個數據包在經過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。

                    如果是外部主機訪問內部呢?當然,在你的內部網絡遭受不安全以后,可以在防火墻上查到從外到內,到底是哪個IP地址非法闖入了。

                    三、防火墻在企業環境的應用

                    1:互聯網出口設備

                    這估計是大家最能想到的一種用途吧。

                    因為Internet就是一個最典型的“外網”,當企業網絡接入Internet的時候,為了保證內部網絡不受來自外部的威脅侵害,就會在互聯網出口的位置部署防火墻。

                    2:分支機構接骨干網作邊界設備

                    在電力行業、金融行業等大型跨地,跨省的企業時,為了企業中各個省級、地市級單位的內部數據通信通常都會自建一張骨干網絡。

                    每個省級、地市級單位辦公網絡接入骨干網時,就可以在網絡接入點部署防火墻,進一步提高每個單位的辦公網絡安全性。

                    3:數據中心內保護服務器

                    數據中心(DataCenter)是為企業存放重要數據資料的,同時數據中心內會放置各種各樣功能不一的服務器。

                    想要保證數據的安全,首先就要保證這些服務器的安全。物理上的安全嘛,你就防火防水防賊唄,應用上的安全,找殺毒軟件嘛;但是在網絡上防止,防止非授權人員操作服務器,就需要到防火墻來發揮作用了。

                    一般在傳統的數據中心內,會根據不同的功能來決定服務器的分區,然后在每個分區和核心設備的連接處部署防火墻。

                    四、防火墻并不普適

                    不是任何場合都適合部署防火墻。

                    誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網絡安全設備,部署在網絡中會對穿過防火墻的數據包進行攔截,然后確定它符合策略要求以后才會放行。這會對網絡傳輸效率造成一定影響。

                    所以防火墻一般用于數據中心,大型企業總部,國有企業省級、地區級辦公機構,帶有服務器區域的網絡環境或機密性較高的單位。

                    五、防火墻的分類

                    防火墻按照功能和級別的不同,一般分類這么三類:包過濾型防火墻、狀態檢測型防火墻、代理型防火墻。

                    1:包過濾型防火墻

                    這種防火墻只能實現最基礎的包過濾功能,按照既定的訪問控制列表對數據包的三、四層信息進行控制,詳細一點就是:

                    三層信息:源IP地址,目標IP地址

                    四層信息:源端口,目標端口

                    這種情況其實用一個路由器或者三層交換機,配置ACL就能實現。

                    只有符合了條件的數據包才能被放行,不符合條件的數據包無論如何都不會被放行。但是包過濾型防火墻的性質就是那么“教條”與“頑固不化”!

                    2:狀態檢測型防火墻

                    狀態檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態檢測”功能。

                    狀態化檢測型防火墻可以識別出主動流量和被動流量,如果主動流量是被允許的,那么被動流量也是被允許的。

                    例如TCP的三次握手中,第一次流量是主動流量,從內到外,第二次流量就是從外到內的被動流量,這可以被狀態監測型防火墻識別出并且放行。

                    狀態監測型防火墻會有一張“連接表”,里面記錄合法流量的信息。當被動流量彈回時,防火墻就會檢查“連接表”,只要在“連接表”中查到匹配的記錄,就會放行這個流量。

                    第一次握手,內部主機10.112.100.101使用隨機端口10025訪問外部的WebServer

                    200.100.1.2的TCP 80

                    三層信息

                    源IP地址:10.112.100.101 目標IP地址:200.100.1.2源端口:TCP 10025 目標端口:TCP 80

                    由于內部接口放行所有流量,所以這個第一次握手的流量被放行了

                    但此時,防火墻在連接表中生成了如下內容:

                    第二次握手時,是外部主機被動彈回的流量

                    源地址(外部):200.100.1.2 源端口(外部):TCP 80

                    目標地址(內部):10.112.100.101 目標端口(內部):TCP 10025

                    此時,防火墻會暫時攔截流量,然后檢查連接表,看看內部主機的IP和端口,外部主機的IP和端口是否與連接表中記錄的相同,如果相同,它就會放行這個流量。

                    如果是外部主動發起的流量,而防火墻又沒有允許它訪問內部,由于是外部主動發起的流量,所以防火墻的連接表里沒有相應的信息,這就會遭到防火墻的拒絕。

                    從而達到既保證了內部到外部的正常通信,又使得內部主機不受到外部的侵犯,這就是狀態檢測型防火墻的魅力所在。

                    目前主流的硬件防火墻幾乎都支持狀態監測功能。

                    3:代理型防火墻

                    代理型防火墻一般是一個安裝在多網卡服務器上的軟件,擁有狀態監測的功能,但是多了一項功能就是代理服務器功能。一般有正向代理和反向代理兩種功能:

                    正向代理用于內部主機訪問Internet服務器的時候,特別是Web服務的時候很管用。當內部主機第一次訪問外部的Web服務器時,代理服務器會將訪問后的內容放在自己的“高速緩存”中。

                    當內部主機再次訪問該Web服務器的時候,如果有相同的內容,代理服務器就會將這個訪問定位到自己的高速緩存,從而提升內部主機的訪問速度。

                    反向代理和正向代理有點類似,只不過訪問的方向是外部到內部。

                    當外部主機要訪問內部發布的某個服務器的時候,不會讓它把訪問目標定位到內部服務器上,而是反向代理設備上。

                    反向代理設備會從真實的服務器上抽取數據到自己的緩存中,起到保護真實服務器的功能。


                    電腦防火墻基礎知識相關文章:

                    防火墻的基礎知識大全有哪些

                    電腦系統安全基礎知識大全有哪些

                    【電腦知識】:防火墻的工作技術分類與基礎原理是什么?

                    系統安全基礎知識大全有哪些

                    電腦安全設置及防護

                    【網絡安全】:網絡安全基礎知識點匯總

                    工作必備計算機技巧知識有哪些

                    Win10系統的基礎知識大全有哪些

                    電腦基礎常識和必備技巧大全有什么

                    網絡系統基礎知識入門

                    [電腦防火墻基礎知識]相關的文章
                    【防火墻知識】圖文推薦
                    學習啦友鏈、商務、投稿、客服:QQ:3061683909 郵箱3061683909@qq.com

                    Copyright @ 2006 - 2020 學習啦 All Rights Reserved

                    學習啦 版權所有 粵ICP備15032933號-1

                    我們采用的作品包括內容和圖片全部來源于網絡用戶和讀者投稿,我們不確定投稿用戶享有完全著作權,根據《信息網絡傳播權保護條例》,如果侵犯了您的權利,請聯系:xuexila888@qq.com,我站將及時刪除。

                    學習啦

                    回到頂部 成年片黄色大片网站视频 - 视频 - 在线观看 - 影视资讯 -酷酷网