防火墙得安全性分析.docVIP

防火墙的安全性分析 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱.对此,我们既不能对那些潜在的危险不予重视, 遭受不必要的损失; 也不能因为害怕某些危险而拒绝因 特网的各种有益的服务,对个人来说这样会失去了解世界,展示自己的场所,对企业来说 还失去了拓展业务,提高服务,增强竞争力的机会.不断地提高自身网络的安全才是行之有效地办法. 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备， 它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方 则被称为外部网络或公用网络。 防火墙能有效得控制内部网络与外部网络之间的 访问及数据传输， 从而达到保护内部网络的信息不受外部非授权用户的访问和过 滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性： 1、所有的内部网络和外部网络之间传输的数据必须通过防火墙； 2、 只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙； 3、防火墙本身不受各种攻击的影响；4、使用目前新的信息安全技术，比如现代密码技术等； 它有效地监控了内部网间或 Internet 之间的任何活动， 保证了局域网内部的 安全。 在网络中，所谓“防火墙” ，是指一种将内部网和公众访问网(如 Internet) 分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一 种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不 同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的 人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止 网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 　 防火墙是网络安全的屏障：　　一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。　　防火墙可以强化网络安全策略：　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。　　对网络存取和访问进行监控审计：　　　　如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。　　防止内部信息的外泄： 　　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足和弱点：防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到传统防火墙中可能敞开的后门;由于传统防火墙性能上的限制，通常它不具备实时监控入侵的能力；传统防火墙对于病毒的侵袭也是束手无策。 防火墙的不足,防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方按的全部. 某些威胁是防火墙力所不及的. 防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫.内部人员