❶ 7. 什么是防火墙防火墙有哪些功能和局限性
防火墙原意来自南方古建筑中,户与户间屋上有一堵专门用来防范火灾蔓莚的墙
电脑上的防火墙是用来防止上网与外界通信时,一些木马类程序的骚扰或自动下载驻留,不能对计算机上已经有的病毒进行处理
❷ 防火墙的优缺点是什么
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。目前市场上的防火墙基本大同小异,瑞星、天网等都可以用的。
不过目前的很多远程监控程序都是采用反向链接方式,这样一来防火墙基本上就形同虚设了,防止非法远程监控最简单有效的方法是安装媲西伊遮斯。媲西伊遮斯是远程控制软件的克星,是一款采用全新技术、唯一专门从根本上阻断远程监控的软件。它能从根本上彻底阻断非法屏幕监控、非法键盘和鼠标记录,阻断密码大盗和文档资料的窃取,是一款全新概念的防阻非法监控的软件。只要一出现四大非法监控,媲西伊遮斯马上自动切断。尤其对于那些未流行病毒、黑客自己制作的木马以及某些所谓的正当监控软件作用更明显,因为这些是杀毒软件无法查到无法杀掉的
❸ 说明分组过滤防火墙的基本原理
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、应用代理!----分组过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
------应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。--
-- --应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现!---分组过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统.
❹ 防火墙的优点,缺点和功能是什么
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
❺ 包过滤型防火墙和代理服务器防火墙的优缺点
包过滤防火墙工作在网络协议IP层,它只对IP包的源地址、目标地址及相应端口进行处理,因此速度比较快,能够处理的并发连接比较多,缺点是对应用层的攻击无能为力。
代理服务器防火墙将收到的IP包还原成高层协议的通讯数据,比如http连接信息,因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢,能够处理的并发数比较少。
代理服务器是防火墙技术的发展方向,众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。
❻ 过滤防火墙的优点
一些包过滤网关不支持有效的用户认证。 →规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。 →这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。 →在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。 →包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。 虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。 包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的,一般来说,它不保持前后连接信息,过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表,以及一个不可接受机和服务的列表。在主机和网络一级,利用数据包过滤很容易实现允许或禁止访问。
❼ 防火墙的体系结构有多种多样,目前,最主要的
防火墙主要的体系结构:
1、包过滤型防火墙
2、双宿/多宿主机防火墙
3、被屏蔽主机防火墙
4、被屏蔽子网防火墙
5、其他防火墙体系结构
优缺点:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:防火墙不能防御基于数据驱动的攻击。
❽ 防火墙的优缺点
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。目前市场上的防火墙基本大同小异,瑞星、天网等都可以用的。
不过目前的很多远程监控程序都是采用反向链接方式,这样一来防火墙基本上就形同虚设了,防止非法远程监控最简单有效的方法是安装媲西伊遮斯。媲西伊遮斯是远程控制软件的克星,是一款采用全新技术、唯一专门从根本上阻断远程监控的软件。它能从根本上彻底阻断非法屏幕监控、非法键盘和鼠标记录,阻断密码大盗和文档资料的窃取,是一款全新概念的防阻非法监控的软件。只要一出现四大非法监控,媲西伊遮斯马上自动切断。尤其对于那些未流行病毒、黑客自己制作的木马以及某些所谓的正当监控软件作用更明显,因为这些是杀毒软件无法查到无法杀掉的
❾ 防火墙主要有哪几类体系结构,分别说明其优缺点
防火墙主要的体系结构:
1、包过滤型防火墙
2、双宿/多宿主机防火墙
3、被屏蔽主机防火墙
4、被屏蔽子网防火墙
5、其他防火墙体系结构
优缺点:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:防火墙不能防御基于数据驱动的攻击。
❿ 防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点
按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。
2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
其实目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下:
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。