防火墙概念.docVIP

防火墙概念： ( 防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。) 防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。 防火墙的作用： 在互联网上，每个UNIX高手都有办法让网络管理员的日子过得很忙碌，黑客们只需有个人电脑、调制解调器和足够的时间就可以兴风作浪。黑客族、小偷和破坏者都以入他人电脑为乐。 　想隔离互联网上的破坏者，就必须使用防火墙，防火墙是联接区域网络和Internet供应商路由器的“桥梁”电脑。这些硬件专门设计用来拦截并过滤信息，只让符合严格安全标准的信息通过。防火墙一般分为两大类：网络层级和应用程式层级。 网络层级的防火墙会拦截所有尝试进出网络的封包，扫描它的位址标题以确认出发处，检查规则会决定要接受或拒绝这个封包。 应用层级的防火墙利用一个和网络隔离的机器担任，由它执行新闻组、http、ftp、telnet和其他服务的代理程序。当防火墙内的电脑提出要求Internet连线服务时，代理服务器（Proxyserver）会主动过滤这项要求。对于这项要求联接另一端的电脑而言，联墙讯息仿佛是绝对无法和防火墙内的电脑直接联接。由于防火墙像是进出网络的交通枢纽，所以可以由它们增加企业对网络使用的限制。 防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 安全评估： 由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。选购和使用防火墙的误区就本人几年来系统管理员的经验看来，防火墙在选购和使用时经常会有一些误区，如下：1. 最全的就是最好的，最贵的就是最好的 这个问题常常出现在决策层，相信全能防火墙，认为防火墙要包括所有的模块，求大而全，不求专而精，不清楚自己的企业需要保护什么，常常是白花了大量的经费却无法取得应有的效果。　　2. 一次配置，永远运行 这个问题往往都在经验不足的系统管理员手上出现，在初次配置成功的情况下，就将防火墙永远的丢在了一边，不再根据业务情况动态的更改访问控制策略-请注意本文一开始讲到的，缺乏好的允许或者拒绝的控制策略，防火墙将起不到任何作用。 　　3. 审计是可有可无的 这个问题也出现在系统管理员手上出现，表现为对防火墙的工作状态，日志等无暇审计，或即使审计也不明白防火墙的纪录代表着什么，这同样是危险的。 　　4. 厂家的配置无需改动 目前国内比较现实的情况是很多公司没有专业的技术人员来进行网络安全方面的管理，当公司购置防火墙等产品时，只能依靠厂家的技术人员来进行配置，但应当警惕的是，厂家的技术人员即使技术精湛，往往不会仔细的了解公司方面的业务，无法精心定制及审核安全策略，那么在配置过程中很可能会留下一些安全隐患。作为防火墙的试用方不能迷信厂家的技术，即使对技术不是非常清楚，也非常有必要对安全策略和厂家进行讨论。 网络安全孕育着无限的机遇和挑战，作为一个热门的研究