防火墻通常位于一個網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器的位置,它可以保護一個企業(yè)的私有網(wǎng)絡(luò)資源免受外部網(wǎng)絡(luò)的影響����。防火墻在IT安全中扮演著一個中心的角色,它面向外部世界對企業(yè)網(wǎng)絡(luò)起著重要的保護作用�����。
雖然現(xiàn)在有幾種防火墻����,但這個詞基本上可被定義為存儲在網(wǎng)關(guān)服務(wù)器上的相關(guān)安全程序的組合,這些程序共同地保護網(wǎng)絡(luò)資源免受其它網(wǎng)絡(luò)用戶的訪問或破壞���。
從其形式上來看���,有兩大種類,一是硬件防火墻����,二是軟件防火墻。硬件防火墻是一個擁有多個端口的金屬盒子����,它是一套預(yù)裝有安全軟件的專用安全設(shè)備,一般采用專用的操作系統(tǒng)����。而軟件防火墻通常可以安裝在通用的網(wǎng)絡(luò)操作系統(tǒng)(如Windows和Linux)上���。
根據(jù)數(shù)據(jù)通信發(fā)生的位置�����,可將防火墻分為幾種類型�,一是網(wǎng)絡(luò)層防火墻,它也被稱為數(shù)據(jù)包過濾器,它運行在TCP/IP堆棧結(jié)構(gòu)的第三層���,在數(shù)據(jù)包與所建立的規(guī)則相匹配時才準許其通過��。這意味著防火墻根據(jù)預(yù)先定義的規(guī)則接受或拒絕IP數(shù)據(jù)包�。如下圖1所示:
通過數(shù)據(jù)過濾��,這種防火墻仔細檢查每個數(shù)據(jù)包的協(xié)議和地址信息����,卻不考慮其內(nèi)容和上下文數(shù)據(jù)。數(shù)據(jù)包過濾防火墻的主要優(yōu)點是其相對而言的簡單性�����、低成本���、易于部署等特性�����。Windows某些版本中的防火墻就屬于此類型����。
應(yīng)用層防火墻:它運行在TCP/IP堆棧結(jié)構(gòu)的最高層���,它可以截獲一個應(yīng)用程序的所有數(shù)據(jù)包���。大體上,應(yīng)用層防火墻可以阻止所有外部的惡意通信達到受保護的機器����。通過這種方法,防火墻實際上代表了一個應(yīng)用程序代理����,它支持與遠程系統(tǒng)的所有數(shù)據(jù)交換。其主要觀念是要使防火墻后的服務(wù)對遠程系統(tǒng)不可見����。
應(yīng)用層防火墻根據(jù)特定的規(guī)則集接受或拒絕數(shù)據(jù)通信。例如����,防火墻準許某些命令進入服務(wù)器而禁用其它命令��。這種技術(shù)還可以被用于限制特定文件類型的訪問��,并可以對獲得授權(quán)和未獲得授權(quán)的用戶提供不同的訪問級別��。那些要求詳細的數(shù)據(jù)監(jiān)視和登錄信息的用戶喜歡應(yīng)用層防火墻�����,因為它不會影響性能�。IT管理員可以設(shè)置應(yīng)用層防火墻��,在預(yù)先定義的條件發(fā)生后���,它可以激發(fā)警告�����。應(yīng)用層網(wǎng)關(guān)一般部署在一個獨立的與網(wǎng)絡(luò)連接的計算機上��,通常它稱為一個代理服務(wù)器���。代理服務(wù)器屬于一種特殊的應(yīng)用層防火墻���,它使得從外部網(wǎng)絡(luò)破壞內(nèi)部資源更加困難,使得對一個內(nèi)部系統(tǒng)的濫用或誤用不會被防火墻外部的攻擊者造成安全損害����。
電路級防火墻:這種防火墻并不是簡單地接受或拒絕數(shù)據(jù)包����,它還可以根據(jù)一套可配置的規(guī)則來決定一個連接是否合法。如果通過檢查�����,防火墻就打開一個會話�,并準許與經(jīng)過認證的源進行數(shù)據(jù)通信。防火墻也可以限制這種通信的時間長短�����。此外�,防火墻還可以執(zhí)行源IP地址和端口、目標IP地址和端口���、使用的協(xié)議���、用戶ID����、口令等的驗證���。它也可以執(zhí)行數(shù)據(jù)包過濾���。
電路防火墻的缺點是其運行在傳輸層上,因此它可能需要對傳輸功能設(shè)計的重大修改����,這就會影響網(wǎng)絡(luò)性能。此外����,這種防火墻要求一些專業(yè)性強的安裝和維護技術(shù)。
狀態(tài)檢查多級防火墻:有人稱之為最好的防火墻���,這種防火墻的目的是為了將多種防火墻的最好特性結(jié)合起來��。狀態(tài)檢查多級防火墻可以執(zhí)行網(wǎng)絡(luò)層的數(shù)據(jù)包過濾�����,同時又可以識別和處理應(yīng)用層的數(shù)據(jù)�����。這種防火墻可以提供更高級的網(wǎng)絡(luò)保護���,不過其價格也相對較高�����。
企業(yè)一般根據(jù)其需要和喜好來選擇防火墻。通常情況下�����,購買防火墻會考慮:防火墻的體系結(jié)構(gòu)���、所需要的并發(fā)防火墻會話的數(shù)量�����、所需要的外部訪問的范圍和類型�����、所需要的VPN協(xié)議的類型和數(shù)量�、需要保護的并發(fā)VPN的數(shù)量、管理用戶接口的種類(屬于命令行接口��、圖形用戶接口還是Web界面)�����,以及對高可用性特性的需要�。
還要注意,多數(shù)防火墻廠商都提供了附加功能�,這些附加功能可以擴展防火墻的功能。這種特性有許多��,如反病毒功能����、入侵防御、防火墻的使有和活動報告�����。有些防火墻已經(jīng)具備了統(tǒng)一威脅管理(UTM)的特點�������?紤]到現(xiàn)在的網(wǎng)絡(luò)威脅層出不窮,企業(yè)最好購買一種可以升級從而增強性能又能適應(yīng)新情況���、具備新性能的防火墻�。
本文出自:億恩科技【www.itdijia.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
