㈠ 以下哪些是按防火墙的具体实现来分类的
防火墙的基本作用:
1、包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2、包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3、阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4、记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
防火墙的具体作用:
1、首先自然是撑起网路的保护伞。防火墙都会制定自己的规则,凡是符合规则的一律放行,不符合规则的一律禁止,当然这些规则可以由网路管理员来自己制定,但是某些防火墙或许只能使用内置规则。
2、接下来就是强化网络安全策略,本来网络安全问题是由各个安全软件独立处理,而防火墙可以有效的把所有安全软件配置在防火墙上,以防火墙为中心统一调用。防火墙的集中安全管理更经济,更安全。
3、防火墙还能有效地记录Internet上的活动,如果访问经过防火墙的话,它就能一五一十的记录下来,形成日志供用户查看。当有可疑情况发生的时候,防火墙会自动的发出适当的警报,并且提供详细的信息供用户查询。通过这些信息,我们可以有效的掌握目前的网络是否安全,是否需要进一步的配置确保万无一失。
4、防火墙可以限制暴露用户点。防火墙可以把网络隔成一个个网段,每个网段之间是相互独立互不干扰的,当一个网段出现问题的时候不会波及其他的网段,这样可以有效的防止因为一个网段问题波及整个网络的安全。
5、防火墙还有一个重要的功能就是防止信息外泄,隐私应该是每个上网用户最关心的问题,现在正是隐私泄露的敏感时期,因此更受到用户的关心,而防火墙可以阻塞有关内部网络中的DNS信息,使本机的域名和IP地址不会被外界所了解,能有效的阻止信息外泄。
6、当然防火墙的作用不止于安全范围,它还支持具有Internet服务特性的企业内部网络技术体系(虚拟专用网络)。很多防火墙都含有功能。
㈡ 防火墙的主要技术及实现方式有哪些
防火墙分类1
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙
软 件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就 像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙, 需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二 字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是 说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯 片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂 商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包 过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因 为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙
这 类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行 制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
●第二代动态包过滤类型防火墙
这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包 过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层 的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文 关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份 进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此, 过滤器通常是和应用网关配合使用,共同组成防火墙系统。
2007-7-13 19:32 回复
激情小呆
1位粉丝
2楼
(2). 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙
这 类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样, 从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理(Adaptive proxy)型防火墙
它 是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙 的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
在“自适应代理服务器”与 “动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以 了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规 则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另 外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过 后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理 防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的 网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
防火墙分类3
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这 种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算 机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过 滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要 具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
㈢ 下列哪种技术不是实现防火墙的主流技术()
c 代理服务器不是防火墙好吧
㈣ 简述防火墙如何进行网络数据包过滤的
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过回滤逻辑, 被称为答访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
㈤ 在以下选项中,哪一项不是防火墙技术
绩效考核作为人力资源管理的工具和方法,其对于企业管理的重要性已为广大的管理者所认同,相当一批企业在这方面投入了较大的精力。但遗憾的是,真正通过绩效考核达到预期目的的企业却非常少,大多数企业最后不是流于形式,就是中途夭折。甚至可以说,绩效考核似乎成了中国企业改善人力资源管理的滑铁卢。在对企业进行咨询诊断过程中,笔者听的最多的,就是企业领导人的无奈和抱怨。花大力气精心设计出来的考核方案往往被束之于高阁;即使勉强通过审核,可实际运作中却举步维艰;各级主管怨声载道,员工议论纷纷;民营老板在走马灯似的换掉几任HR经理后,却转怪员工素质不高;国有企业老总却怪制度,怪上级领导授权不够。从传统的德勤绩才考核到目标管理、平衡记分卡的应用,药方开了无数,可为什么著名外资企业屡试屡爽的完美方法到了本企业却灵光不再呢?企业的领导人对此百思不得其解!根据笔者在管理咨询活动中的观察,发现我国企业在绩效考核方面普遍存在以下几种原因,笔者做了如下的归纳:一、本末倒置现在,有许多企业一味强调要引进世界先进的考核手段,但领导者心目中,考核无非还只是奖优罚劣,亦即传统的红萝卜加大棒,绩效考核的最终目的是为了什么?很多企业的领导者对此都没有清楚的认识;有许多企业做绩效考核,并无明确的目的。就如一夜之间,国内的许多企业都把人事部改成人力资源部、但做的仍旧是单纯的人事工作一样,也有赶时髦之嫌。绩效考核的目的何在?的确,考核是要把员工分出等来,但这只是手段而非目的。绩效考核,顾名思义,就是要挖掘出绩效来,绩效考核的根本目的就是通过考核等管理手段促进绩效的提高。研究发现,恰恰是因为我国企业在很多时候对绩效考核的理解不全面、不系统甚至存在误解,才导致这项对于企业价值极高的工作难以收到预期成效。其中最关键的一点就是,在现代人力资源管理中真正有效的是绩效管理 ,而不是许多企业所理解的那种秋后算账式的绩效考核或者绩效评价,绩效考核只是绩效管理中的一个重要环节,绩效管理包括绩效计划、绩效计划执行、绩效考核、绩效反馈面谈等几个阶段,这几个阶段都是一环扣一环的,哪一个环节出现了问题,都会影响到企业的最终绩效水平。因此,单纯的通过对员工最后产出水平的考核是很难让企业提高绩效水平的,在对最后结果考核之前,我们要做好绩效计划的工作;在平时工作过程中,企业的领导者要对员工工作进行辅导;在考核结果出来之后,上级领导要与员工共同进行绩效面谈,分析原因、找出差距,进行绩效改进。经过这样的一个闭环绩效管理流程,企业的绩效水平才会得到提升。二、前提条件不足抛开企业的其他管理系统,单就人力资源系统而言,各子系统是互相联系,互为依托的。工作分析是人力资源工作开展的基础。企业应切实科学合理地根据公司战略,确定组织结构 ,对组织中的每个岗位的职责、重要程度、任职资格等进行客观分析,编制详细的岗位说明书,并且进一步确定公司的薪酬策略、薪资结构、招聘与培训计划等。各岗位职责分工清楚,是绩效考核展开的前提条件。另外,在绩效考核之前,上级领导要与员工的就执行绩效计划进行不断沟通。在这一过程中,非常强调主管与员工之间的沟通以及主管对员工的监督和指导,而不是像许多企业的管理者那样,一旦计划制定完就万事大吉,只等年底或者绩效周期结束进行评价和考核。事实上,如果没有这个阶段的铺垫,任何企业的绩效评价和考核阶段都是非常棘手的。在这一阶段,上一级管理者与员工要开诚布公地沟通、交流,对员工工作上的优点和缺点能够及时交换意见,不仅有利于员工的工作达成预期的要求,而且有利于员工和上级之间融洽关系,有利于员工接受最终的绩效评价结果。而在这一阶段没有进行充分的沟通和交流,上级不指导下级,恰恰是导致我国许多企业的绩效管理工作陷入困境的最主要原因之一。同时,也为下一阶段的绩效考核提供事实依据,在这一阶段,管理人员还要注意收集、观察以及记录员工的重要业绩表现,其中既包括好的表现,也包括不良的表现。这种绩效记录对于将来的绩效反馈面谈、对员工进行奖惩甚至解雇都是非常重要的事实依据。在必要时,还需要员工在某些业绩记录表上签字认可。三、过程出现问题绩效考核过程中容易出现的问题可以分为两类,一类与考核标准有关,另一类与主考人有关。1、与考核标准有关的问题。首先,考核标准不严谨。考核标准应该根据员工的工作职能而不是职位设定。考核项目设置不严谨、考核标准说明含糊不清,加大了考核的随意性。考核标准大而笼统,没有具体的评价标准;考核标准中有过多难以衡量的因素,难以使员工信服;考核标准与工作职能偏差较大。这些都使考核者打分存在一定的随意性,人为操纵可能性强,考核结果争议性大,很难令员工信服,结果使考核流于形式。其次,考核的内容不够完整,尤其是不能涵盖全部的工作内容,或以偏概全,如关键绩效指标有缺失等,因此,无法正确评价人的真实工作绩效。许多企业的考核内容大多千篇一律,不同类型部门考核内容差别不大,针对性不强,这在很大程度影响了考核结果的客观性、真实性和准确性。多数企业在考核内容上主要集中在两方面,一方面是员工的德、能、勤、绩,另一方面是员工为企业创造多少经济效益。这两方面内容的考核并不能全面地包括员工工作绩效的所有方面。另外,德、能、勤、绩这类考核指标基本上是属于定性化的指标,过多定性化指标的存在自然无法避免会造成考核者判断的主观随意性,在一定程度上失去了绩效考核的公正性与有效性。只有把定性化的指标以定量的形式表现出来,才能克服其主观随意性。实际上,绩效考核是非常个性化的。不同行业、不同发展阶段、不同战略背景下的企业,绩效考核的目的、手段、结果运用等各不相同。即使是同行业、同系统下的不同企业,在绩效考核这盘棋上也不能千篇一律。并且,绩效考核与企业的整体现状、人力资源管理的其他系统,有着千丝万缕的联系,各系统间,必须兼容,彼此绝不能孤立看待,否则,就会死机。凭空设计一套考核方案,对绝大多数的HR顾问来讲都是易如反掌,但若设计出一套适合企业发展的、能挖掘出企业绩效潜力的考核方案,决非做一个访谈,看几份资料就搞掂。企业的绩效考核,与企业的战略、人力资源政策、规划、人力资源基础、员工晋升、薪酬、、招聘、培训、激励、职业生涯规划、企业现状、整体素质等诸多环节无法割裂开来,企业要调整,就必须是全方位的,否则,无法真正收到实效。生搬硬套,这也就是许多考核手段在别家效果显著,在自家无法存活的根本原因。所以,绩效考核要收到绩效,关键不在于你的考核方案多么高深精准,而在乎一个适字。现在适,不等于将来永远适,必须视企业的发展,定期做相应调整,才能永远适用。2.与主考人有关的问题。由于考核者的主观随意性及过严、过宽、趋中的心理倾向,使绩效考核出现偏差。(1)晕轮效应。晕轮效应是指在考察员工业绩时,由于一些特别的或突出的特征,而掩盖了被考核人其他方面的表现和品质。在考核中将被考核者的某一优点扩大化,以偏概全,通常表现为一好百好,或一无是处,要么全面肯定,要么全面否定,因而影响考核结果。例如,某经理看到某员工经常加班、忙忙碌碌,对他的工作态度很有好感,在年终考核时对他的评价就较高,从而忽略了对他的工作效率和经济效益等综合表现的考察。(2)宽严倾向。宽严倾向包括宽松和严格两个方面。宽松倾向是指考核中所做出的评价过高;严格倾向是指考核中所做出的评价过低。这两类考核误差的原因主要是缺乏明确、严格、一致的判断标准,考核者往往根据自己的人生观和过去的经验进行判断,在评价标准上主观性很强。(3)平均倾向。平均倾向也称调和倾向或居中趋势,是指给大多数员工的考核得分在平均水平的同一档次,并往往是中等水平或良好水平,这也是考核结果具有统计意义上的集中倾向的体现。无论员工的实际表现如何,统统给中间或平均水平的评价。产生这种现象的原因之一是利益驱动,管理者给自己下属员工普遍高评价,有助于在本部门薪酬预算时得利;原因之二是对绩效考核评价工作缺乏自信,缺乏进行绩效考核的相关事实和依据;原因之三为有些主考人信奉中庸之道,不愿做反面考核,认为被评为劣等表现会对员工造成负面影响,挫伤工作信心和士气。在管理者如此心态下所做的考核必定是含糊的,无法对员工形成正面、有效的引导机制。(4)近因和首因效应。近因效应是考核者只看到考核期末一小段时间内的情况,对整个考核期间的工作表现缺乏长期了解和记忆,以近代全,只是对最后一阶段的考核。首因效应是指考核者凭第一印象下判断的问题。这与人的思维习惯有关,考核结果并不能反映整个考核期间内员工绩效表现,在一定程度上影响考核的得分。(5)成见效应。成见效应也称定型作用,是指考核者由于经验、教育、世界观、个人背景以至人际关系等因素而形成的固定思维对考核评价结果的刻板化影响,通俗的说法是偏见、顽固等。凭个人好恶判断是非,是绝大多数人难以察觉、不愿承认的弱点,甚至是一种本能。个人的价值观和偏见可能会代替组织已制定的考核标准,依据个人意愿和个人的理解随意地考核。在考核他人时,很多人都会受到个人好恶的影响。成见效应是绩效考核中的常见问题,因此,考核者在考核工作时应时刻注意自己的每一个判断是否因个人好恶而导致不公的结论。针对这种现象,需要对考核者进行培训与心理辅导,使考核人员关注可能导致不正确结果的个人错误观念,从而加以纠正。另外,采用基于事实(如工作记录)的客观考核方法,由多人组成考核小组进行考核,有助于减少个人好恶所导致的考核误差。4、考核结果运用不当很多企业绩效考核工作搞得轰轰烈烈,过程错综复杂,但是对结果的运用却差强人意!许多企业的领导人在观念上认为绩效考核不过只是发发奖金的依据罢了,对绩效考核的结果的应用缺乏明确的概念和思路。绩效考核是企业经营管理工作中的一项重要任务,是保障并促进企业内部管理机制有序运转、实现企业各项经营管理目标所必须的一种管理行为。具体来说,绩效考核具有如下作用:人员招聘的依据、岗位调动和职位升降的标准、员工培训的依据、薪酬和奖惩的依据等。为了保证绩效考核过程公正、结果运用得当,企业应该进行如下的操作:(1)公开考核过程和考核结果绩效考核结果必须公开公示,这不仅仅是考核工作民主化的反映,也是组织管理科学化的客观要求。考核评价做出以后,要及时进行考核面谈,由上级对下级逐一进行,将考核结果反馈给员工,使员工了解自己的业绩状况和考核结果,也使管理者了解下级工作中的问题及意见,创造一个公开、通畅的双向沟通环境,使考评者与被评对象能就考核结果及其原因、成绩与问题及改进的措施进行及时、有效的交流,并在此基础上制定员工未来事业发展计划。这样,绩效考核才能真正发挥其效用,推动员工素质的提高,实现组织发展目标。对绩效考核结果的保密,则只会起到导致员工不信任与不合作的后果。(2)设置考核申诉程序考核申诉产生的原因,一是被考核员工对考核结果不满,或者认为考核者在评价标准的掌握上不公正;二是员工认为对考核标准的运用不当、有失公平。因此,要设立一定的程序,以从制度上促进绩效考核工作的合理化,达到提高组织绩效的应有作用。处理考核申诉,一般是由人力资源部门负责。在处理考核申诉时要注意尊重员工个人,申诉处理机构应该认真分析员工所提出的问题,找出问题发生的原因。如果是员工的问题,应当以事实为依据,以考核标准为准绳,对员工进行说服和帮助;如果是组织方面的问题,则必须对员工所提出的问题加以改正。其次,要把处理考核申诉过程作为互动互进的过程,当员工提出考核申诉时,组织应当把它当做一个完善绩效管理体系、促进员工提高绩效的机会,而不要简单地认为员工申诉是员工有问题。第三,处理考核申诉,应当把令申诉者信服的处理结果告诉员工。
㈥ 什么不属于防火墙技术四选一
代理服务
代理服务不是防火墙的技术带领服务是服务器的功能之一
㈦ 防火墙采用的最简单的技术是包过滤对吗
不一定。
现在防火墙也细分了。
传统的网络防火墙,就是检查数据包,现在可以检查应用了。
㈧ 以下内容中,不是防火墙功能的是( )。
防火墙功能:
1.创建一个阻塞点
防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。这样一个检查点,在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
2. 隔离不同网络,防止内部信息的外泄
这是防火墙的最基本功能,它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所截获,攻击者通过所获取的信息可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网等信息。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
3. 强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。各种安全措施的有机结合,更能有效地对网络安全性能起到加强作用。
4. 有效地审计和记录内、外部网络上的活动
防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并进行日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息,可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
以上是从宏观方面对防火墙的功能所进行的综合描述,如果从技术微观方面分的话,它主要体现在如下方面:
1. 包过滤
包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。
2. 审计和报警机制
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全策略,审计和报警机制开始起作用,并作记录和报告。审计是一种重要的安全举措,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置。报警机制是在有通信违反相关安全策略后,防火墙可以有多种方式及时向管理员进行报警,如声音、邮件、电话、手机短信息等。
防火墙的审计和报警机制在防火墙体系中是很重要的,只有有了审计和报警功能,管理人员才可能及时知道网络是否受到了攻击。通过防火墙日志启示还可以进行统计、分析,得出系统安全存在最大不足和隐患,进而可以有针对性地进行改进。
但要注意的,由于要对整个网络通信进行日志记录,所以防火墙的日志记录数据量比较大,在防火墙自身上是不可能能存储这么庞大的日志文件的。通常采用外挂方式,即将日志挂接在内部网络的一台专门存放日志的日志服务器上。
3.NAT(Network Address Translation,网络地址转换)
网络地址转换功能现在也已成为防火墙的标准配置之一。通过此项功能就可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。
NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换,对外部网络是屏蔽的,使得外部非常用户对内部主机的攻击更加困难,同时可以节省有限的公网IP资源,通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,防火墙首先把目的地址转换为自己的地址,然后再转发外部网络的通信连接,这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。在防火墙中主要用于外部网络主机对内部网络和DMZ区(非军事区)主机的访问。
4.Proxy(代理)
在防火墙代理服务中,主要有如下两种实现方式:
透明代理(Transparent proxy)
透明代理是指内部网络主机需要访问外部网络主机时,不需要做任何设置,完全意识不到防火墙的存在。其基本原理是防火墙截取内部网络主机与外部网络通信,由防火墙本身完成与外部网络主机通信,然后把结果传回给发出通信连接的内部网络主机,在这个过程中,无论内部网络主机还是外部网络主机都意识不到它们其实是在和防火墙通信。而从外部网络只能看到防火墙,这就隐藏了内部网络网络,提高了安全性。
传统代理
传统代理工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器。如前所述,代理能实现较高的安全性,不足之处是响应变慢。
5.流量控制(带宽管理)和统计分析、流量计费
流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制,基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。
流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。
6.VPN(虚拟专用网)
在传统的防火墙设备中,是不允许进行VPN通信的,以往的VPN网络设备也是作为单独产品出现的,现在更多的厂家把两种技术集成在一起。VPN作为一种新的网络技术,它具有较强的通信优势。支持VPN通信,已成为一种趋势,不仅防火墙如此,交换机、路由器也如此。这比单独开始一种VPN设备来说更加合理,不仅体现在经济上,而且体现在功能上。
7.URL级信息过滤
随着互联网应用的普及,各企业对互联网的依赖性越来越强了。过去了一些简单的邮件收发互联网应用已不能满足企业应用需求了。像VPN通信一样,企业很可能还需要与合作伙伴、供应商或分支机构进行双向通信,这样的通信是相当频繁的,如果也按传统的防火墙过滤原理,对每一个通信请求都进行严格的审核的话,很可能引发通信瓶颈,造成通信性能下降。这时如果对某些站点或目录进行特权访问或禁止的话,就可以不必这样频繁的审核了。这就是目前最主流的网站、内容等信息过滤配置。在许多代理服务器软件中都可以实现这一点,在防火墙中也有些具备这一功能。
8. 其他特殊功能
除了以上介绍的六个方面的主要功能外,有的防火墙还具有一些特殊功能,这些特殊功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的。如特定的用户权限配置(包括使用时间、邮件发送权限、件传输权限、使用的主机、所能进行的互联网应用等),这些依需求不同而定。有的防火墙还加入了病毒扫描功能。
㈨ 下列选项中不属于防火墙具有的基本功能的有
答案应该是:B、查杀计算机内病毒和C、对计算机进行秘密保护,因为其它(A和D)两个都属于防火墙所具有的基本功能,就B和C这两个选项疑点较大.
㈩ 以下不属于防火墙技术的是:
D呀,
D是杀毒软件 的作用,
当然有牛B的防火墙也可以有的