您的位置:IT在中国 >> 在线课堂 >> Linux >> 正文
防火墙是一个或一组在两个网络之间执行访问控制策略的系统,可以是硬件或软件的形式存在,其目的是保护网络不被可疑的人或通信侵扰。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制,提供了可控的过滤网络通信,并且只接受授权的通信。
防火墙是指设置在不同网络(可信任的内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合,既可以是软件也可以硬件。防火墙能提供信息安全服务,能根据用户安全政策(允许、监测或禁止)控制网络的信息流,并且本身具也有较强的抗攻击能力,是实现网络和信息安全的基础设施。
防火墙就是一个具备包过滤功能的简单路由器,支持Internet安全,使用防火墙是使网络连接更加安全的一种简单方法。网络上传输的文件一般在发出端被划分成一个一个的IP包,经过网上的中间站,最终传到目的地,然后这些IP包中的数据又重新组成原来的文件。每个IP包有两个部分:数据部分和包头。包头中含有源地址和目标地址等信息。IP包的过滤一直是一种简单而有效的方法,它通过包头信息和管理员设定的规则表比较,读出并拒绝那些不符合标准的包,过滤掉不应入站的信息。
1.防火墙的作用
防火墙具有过滤进出网络的数据包、管理进出网络的访问行为、拒绝某些禁止的访问行为、记录通过防火墙的信息内容与活动,并且还能对网络攻击进行检测和警告等功能。防火墙具有保护网络安全的作用,具体体现在以下几个方面:
(1)提供网络安全屏障
防火墙的控制与过滤数据包的功能极大地提高一个内部网络的安全性,并通过过滤不安全服务降低潜在的风险。如果内部网要进入Internet,可以在内部网络与外部网络的接口处设置防火墙,以确保内部网络中的数据安全。
在使用防火墙的网络中,只有通过精心选择应用协议才能通过,所以网络环境会变得更加安全。例如防火墙可以禁止不安全的NFS协议进出受保护的网络,避免外部攻击者利用这些脆弱的协议来攻击内部网络。防火墙还可以保护网络免于受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。使用了防火墙能有效地避免以上所有类型攻击报文,并通知防火墙管理员。
(2)强化网络安全策略
通过以防火墙为中心的安全方案配置,可以将所有的安全软件(如口令、加密、身份验证和审计等)都配置在防火墙上。相比之下,将网络安全问题分散到各个主机的管理方式,使用防火墙的集中管理更加有效且经济。如在网络访问时,验证系统和其他的身份认证系统完全可以不必分散在各个主机上,而只需要集中在防火墙中即可。
(3)对网络存取和访问进行监控审计
如果所有的网络访问都经过防火墙,防火墙就能记录下这些访问并做出日志记录,同时还能提供网络使用情况的统计数据。当发生可疑动作时,防火墙会根据用户安全配置信息进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
网络使用统计对网络需求和威胁分析十分重要,并且可以促进防火墙与网络的互补。通过网络的使用和误用情况不但可以清楚防火墙是否能够抵挡攻击者的探测和攻击,而且还可清楚防火墙的控制是否充足。