第七章防火墙技术
第七章 防火墙技术
一、什么是防火墙 防火墙是指设置在不同网络(如可信任的企业 内部网和不可信的公共网)或网络安全域之 间的一系列部件的组合。它是不同网络或网 络安全域之间信息的唯一出入口,能根据企 业的安全政策控制(允许、拒绝、监测)出 入网络的信息流,且本身具有较强的抗攻击 能力。它是提供信息安全服务,实现网络和 信息安全的基础设施。 蘭 圈
一、什么是防火墙 防火墙是指设置在不同网络(如可信任的企业 内部网和不可信的公共网)或网络安全域之 间的一系列部件的组合。它是不同网络或网 络安全域之间信息的唯一出入口,能根据企 业的安全政策控制(允许、拒绝、监测)出 入网络的信息流,且本身具有较强的抗攻击 能力。它是提供信息安全服务,实现网络和 信息安全的基础设施
在逻辑上,防火墙是一个分离器,一个限制器, 也是一个分析器,有效地监控了内部网和 Internet,之间的任何活动,保证了内部网络 的安全。 Internet Firewall Internal Network
在逻辑上,防火墙是一个分离器,一个限制器, 也是一个分析器,有效地监控了内部网和 Internet之间的任何活动,保证了内部网络 的安全
二、防火墙的功能 1、防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大 地提高一个内部网络的安全性,并通过过滤 不安全的服务而降低风险。由于只有经过精 心选择的应用协议才能通过防火墙,所以网 络环境变得更安全。如防火墙可以禁止诸如 众所周知的不安全的NFS协议进出受保护网 络,这样外部的攻击者就不可能利用这些脆 弱的协议来攻击内部网络
二、防火墙的功能 1、防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大 地提高一个内部网络的安全性,并通过过滤 不安全的服务而降低风险。由于只有经过精 心选择的应用协议才能通过防火墙,所以网 络环境变得更安全。如防火墙可以禁止诸如 众所周知的不安全的NFS协议进出受保护网 络,这样外部的攻击者就不可能利用这些脆 弱的协议来攻击内部网络
防火墙同时可以保护网络免受基于路由的攻击, 如P选项中的源路由攻击和ICMP重定向中 的重定向路径。防火墙应该可以拒绝所有 以上类型攻击的报文并通知防火墙管理员。 蘭 超 超
防火墙同时可以保护网络免受基于路由的攻击, 如IP选项中的源路由攻击和ICMP重定向中 的重定向路径。防火墙应该可以拒绝所有 以上类型攻击的报文并通知防火墙管理员
2、防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所 有安全软件(如口令、加密、身份认证、审 计等)配置在防火墙上。与将网络安全问题 分散到各个主机上相比,防火墙的集中安全 管理更经济。例如在网络访问时,一次一密 口令系统和其它的身份认证系统完全可以不 必分散在各个主机上,而集中在防火墙一身 上
2、防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所 有安全软件(如口令、加密、身份认证、审 计等)配置在防火墙上。与将网络安全问题 分散到各个主机上相比,防火墙的集中安全 管理更经济。例如在网络访问时,一次一密 口令系统和其它的身份认证系统完全可以不 必分散在各个主机上,而集中在防火墙一身 上
3、对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙 就能记录下这些访问并作出日志记录,同时 也能提供网络使用情况的统计数据。当发生 可疑动作时,防火墙能进行适当的报警,并 提供网络是否受到监测和攻击的详细信息。 另外,收集一个网络的使用和误用情况也是 非常重要的。首先的理由是可以清楚防火墙 是否能够抵挡攻击者的探测和攻击,并且清 楚防火墙的控制是否充足。而网络使用统计 对网络需求分析和威胁分析等而言也是非常 重要的
3、对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙 就能记录下这些访问并作出日志记录,同时 也能提供网络使用情况的统计数据。当发生 可疑动作时,防火墙能进行适当的报警,并 提供网络是否受到监测和攻击的详细信息。 另外,收集一个网络的使用和误用情况也是 非常重要的。首先的理由是可以清楚防火墙 是否能够抵挡攻击者的探测和攻击,并且清 楚防火墙的控制是否充足。而网络使用统计 对网络需求分析和威胁分析等而言也是非常 重要的
4、防止内部信息的外泄派 通过利用防火墙对内部网络的划分,可实现内 部网重点网段的隔离,从而限制了局部重点 或敏感网络安全问题对全局网络造成的影响。 再者,隐私是内部网络非常关心的问题,一 个内部网络中不引人注意的细节可能包含了 有关安全的线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏洞。 靂
4、防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内 部网重点网段的隔离,从而限制了局部重点 或敏感网络安全问题对全局网络造成的影响。 再者,隐私是内部网络非常关心的问题,一 个内部网络中不引人注意的细节可能包含了 有关安全的线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏洞
使用防火墙就可以隐蔽那些透漏内部细节如 Finger,.DNS等服务。Finger显示了主机的 所有用户的注册名、真名,最后登录时间和 使用shell类型等。但是Finger显示的信息非 常容易被攻击者所获悉。攻击者可以知道一 个系统使用的频繁程度,这个系统是否有用 户正在连线上网,这个系统是否在被攻击时 引起注意等等。防火墙可以同样阻塞有关内 部网络中的DNS信息,这样一台主机的域名 和P地址就不会被外界所了解
使用防火墙就可以隐蔽那些透漏内部细节如 Finger,DNS等服务。Finger显示了主机的 所有用户的注册名、真名,最后登录时间和 使用shell类型等。但是Finger显示的信息非 常容易被攻击者所获悉。攻击者可以知道一 个系统使用的频繁程度,这个系统是否有用 户正在连线上网,这个系统是否在被攻击时 引起注意等等。防火墙可以同样阻塞有关内 部网络中的DNS信息,这样一台主机的域名 和IP地址就不会被外界所了解
除了安全作用,防火墙还支持具有Internet服 务特性的企业内部网络技术体系VPN。通过 VPN,将企事业单位在地域上分布在全世界 各地的LAN或专用子网,有机地联成一个整 体。不仅省去了专用通信线路,而且为信息 共享提供了技术保障。 蘭
除了安全作用,防火墙还支持具有Internet服 务特性的企业内部网络技术体系VPN。通过 VPN,将企事业单位在地域上分布在全世界 各地的LAN或专用子网,有机地联成一个整 体。不仅省去了专用通信线路,而且为信息 共享提供了技术保障