网络防火墙(外文名:Firewall)是一种用来加强网络之间访问控制的特殊网络互联设备。
网络防火墙对流经它的网络通信进行扫描,过滤掉一些攻击。它还可以关闭不使用的端口,禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
在电脑运算领域中,防火墙(英文:Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
适合于校园的硬件防火墙要具有连接百兆网络,千兆网络能力。由于硬件防火墙位于路由器的下一层,现在的校园网络一般都采用了百兆或则千兆以上的网络,所以我们需要连接高带宽的硬件防火墙。
适合于校园的硬件防火墙必需具备很强的防黑能力和入侵监控能力,这也是硬件防火墙的基本特征。目前网络黑客攻击的主要手段有DOS(DDOS)攻击,IP地址欺骗,特洛伊木马,口令字攻击,邮件诈骗等。这些攻击方式不光来自外部网络,也来自内部网络。适合于校园的硬件防火墙必须要具有防止这些外网和内网攻击的能力。硬件防火墙是由软件和硬件组成,其中的软件提供了升级功能,这样就能帮助我们修补不断发现的漏洞。
由于校园网络内部有访问一些非法网站的事情发生,为了禁止访问非法网站,硬件防火墙不光需要有能够防止内网访问非法的功能,还必需具有监控网络的功能,因为现在一些不良网站每天都有新的出现,只有通过监控,才能根据相关信息屏蔽这些非法网站。
适合于校园网络的硬件防火墙要让管理员易于管理,毕竟学校并不会聘请专业管理员来管理硬件防火墙。这种易于管理表现在硬件防火墙所搭配的软件上,目前市场上主要有搭配专业软件的硬件防火墙和搭配Linux或Unix操作系统的硬件防火墙,用户可根据自己实际情况来选择。
按照新的国家标准防火墙有传统防火墙[2]的功能,VPN的功能,入侵侦测防御的功能,安全网关的功能,数据审计的功能,以后还会有网闸的功能,除了VPN,争取一篇文章讲完。
众所周知现在使用的是TCP/IP协议。在这个协议下实际上只有物理层,数据链路层,网络层3层。往上还有个传输层也就是TCP/UDP的传输方式,当然也有少量的协议比如ICMP.所以绝大部分应用程序网络包都会用TCP/UDP封装后发出。先不管应用程序的数据格式(也很难管,一千种应用程序基本上有一千多种私有协议)。防火墙只能从数据链路层和网络层出发来处理这些数据(MAC地址和IP地址、端口)最多再加上时间策略,这样基本的防火墙的包过滤功能就实现了。禁止XXIP访问YYIP,允许XXIPYY时间访问ZZIP。这个是初级包过滤功能。在cisco路由器有ACL访问控制列表就有这个功能。在linux的开源防火墙iptables也有这样的功能。
虽然初级包过滤解决了非法IP和MAC地址访问的问题,但是不能避免用户使用恶意代码危害内部系统,这样入侵侦测防御,数据审计的技术就应运而生。虽然大量的私有协议是没有办法全部识别的,常见的应用网络协议还是能够被分析的。比如HTTP协议,各个数据库sql语句的网络协议,POP3协议。入侵侦测防御的功能就是识别这些协议,判断输入的数据包中是否有恶意行为。入侵侦测与数据审计则是光记录的数据包并判断是否有恶意行为。入侵防御则是如果提前能够判断则阻断之后的数据包的通讯。什么样的数据包是包含的内容是恶意的,能够支持哪些网络协议包括私有协议,能否快速响应和处理新的威胁。这个是未来防火墙开发的重点。
入侵侦测防御,审计有开源的snort软件。里面集成了一部分规则库。每遇到一个网络包都会匹配规则如果命中就报警,否则就通过如果。显然规则过多处理起来比较慢,防火墙就会成为网络通讯的瓶颈,规则少则安全的防护程度比较低。这个就是黑名单策略的防火墙的阿格琉斯之踵。并且在遇到未知的恶意代码时入侵侦测防御没有防范能力的。snort,snortsam,iptables就能构成简单的防火墙和入侵侦测还有入侵防御系统,这三个都是在linux上开源的。
为了对付入侵侦测就有了数据包的碎片技术----把大的数据包切分成多个小数据包。一个好的防火墙是能够重组或者直接丢弃长度过小的数据包的。
从客户应用的角度出发防火墙还应该能够划分作用域。这个就是网闸干的事情。比如一个公司财务部门服务器只能允许财务部或者高管访问,甚至不允许运维人员通过防火墙的的外部访问(要访问就去机房里面访问)。网闸就是划分的网络的域,一般采用白名单策略。只有允许的访问才能通过,其余的都予以禁止。
好的防火墙还应该能够识别下载文件中的恶意代码比如木马文件。这个技术包过滤可以实现,更多的是在代理服务器上面实现。
对代理服务器好的解释是屏蔽了内网的结构,有效保护了内部主机。通俗说法就是对内部主机加上了防弹马甲。比如内部有一台windows的服务器。对外提供的网页服务。除了相关的安全性之外拿下网站也可以先拿下操作系统。如果有了一台linux的防火墙就必须先攻陷防火墙才能访问windows服务器。并且除了防火墙上开的的端口外是没有办法直接连接到服务器的其他端口的。
代理服务器对内部主机的保护是把外部用户直接到服务器的访问变成了用户链接防火墙,防火墙连接服务器的访问。对单个主机代理服务器能够提供系统安全保护,端口的天然过滤。对网络能够屏蔽内部网络结构。比如这时对服务器做DDOS攻击变成了对防火墙的DDOS攻击,虽然网络的吞吐能力下降了,内部主机受到的影响较小。
对保护病毒的文件的处理使用包过滤就显得力不从心了。毕竟病毒的特征码千变万化。不可能每一个数据包都采用大规模的规则去匹配。代理服务器的作用是替代主机把文件下载到防火墙里面。然后通过防火墙的杀毒软件来查杀文件。
这里把防火墙单独拎出来讲。从宏观上来讲网络防火墙开发的难度比个人防火墙要低,速度要快,业务针对性要强。而个人防火墙则功能更强,开发难度更大,速度较慢。
比如大家都是各用各的PC机,上面拥有几十到几万种软件。都要安全就是个人防火墙干的事情了。首先个人防火墙为了阻止木马建立通讯要么使用傻瓜式的每次通讯的时候问用户某某软件需要访问某某IP是否允许,要么自己判断。事实上就算是专业人士也常常不懂。所以好的个人防火墙应该识别相当一部分的软件通讯情况。比如QQ,迅雷。这样协议少说也是几百种。
从另一个方面现在很多木马执行权限比防火墙要高,伪装性也高。权限高的使用内核的网络通讯,单纯只监听socket的防火墙是没法发现通讯的。所以好的个人防火墙应该监控内核关键API函数和系统运行的进程。这一点和杀毒软件越来越接近。
网络防火墙如果是处理提供有限功能的服务器反倒是容易了。比如一个JSP的服务器。对外只有端口。那么防火墙处理起来比较简单。只用分析一下HTTP协议和服务器运维的内容就行了。别的一律禁止。
百科词条内容由用户共同创建和维护,不代表百科立场。如果您需要医学、法律、投资理财等专业领域的建议,我们强烈建议您独自对内容的可信性进行评估,并咨询相关专业人士。