首页 理论教育防火墙的特性和功能-计算机网络与信息安全

防火墙的特性和功能-计算机网络与信息安全

2023-10-18 理论教育 版权反馈
【摘要】:防火墙应具备以下3个基本特性。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计与控制。防火墙应该可以拒绝所有以上类型攻击的报文并通知管理员。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到探测和攻击的详细信息。

(一)防火墙的特性

防火墙是保障网络安全的一个系统或一组系统,用于加强网络间的访问控制,防止外部用户非法使用内部网络的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙应具备以下3个基本特性。

1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时,才可以全面、有效地保护企业内部网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。网络边界即采用不同安全策略的两个网络的连接处,如用户网络和因特网之间的连接、用户网络和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计与控制。

2.只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上。原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口进行接收,按照OSI协议栈的7层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口≥2)转发设备,它跨接于多个分隔的物理网段之间,并在报文转发过程中完成对报文的审查工作。

3.防火墙自身应具有非常强的抗攻击能力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵能力。它之所以具有这么强的功能,防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以保证系统的安全性。同时,防火墙自身具有非常低的服务层次,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。

(二)防火墙的功能

笼统地说,防火墙应具备以下功能。

1.阻止易受攻击的服务进入内部网

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,因此网络环境变得更安全。例如,防火墙可以禁止诸如不安全的NFS协议进出受保护的网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知管理员。(www.chuimin.cn)

2.集中安全管理

通过以防火墙为中心的安全方案配置,能将所有安全机制(如口令、加密、身份认证和审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令(OTP)系统和其他的身份认证系统完全可以不必分散在各个主机上,而是集中在防火墙上。

3.对网络存取和访问进行监控审计

如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到探测和攻击的详细信息。另外,收集一个网络的正常使用和误用情况也是非常重要的。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4.检测扫描计算机的企图

防火墙还可以检测到端口扫描,当计算机被扫描时,防火墙能发出警告,可以通过禁止连接来阻止攻击,可以跟踪和报告进行扫描攻击的计算机IP地址。

5.防范特洛伊木马

特洛伊木马会在计算机上企图打开TCP/IP端口,然后连接到外部计算机与黑客进行通信。用户可以指定一个合法通过防火墙的应用程序列表,任何不在列表中的木马程序进行外部通信连接时都会被拒绝。

6.防病毒功能

现在的防火墙支持防病毒功能,能够扫描电子邮件附件、FTP下载的文件内容,防止或减少病毒入侵。从HTTP页面剥离Java Applet、ActiveX等小程序,从Script代码中检测出危险代码或病毒,并向用户报警。

除了安全作用外,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网有机地连成一个整体,不仅省去了专用通信线路,而且为信息共享提供了技术保障。

有关计算机网络与信息安全的文章

  • 计算机网络与信息安全:防火墙的分类 计算机网络与信息安全:防火墙的分类

    (一)按防火墙软硬件形式分类如果从软硬件形式来分,防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。之所以加上“所谓”二字,是针对芯片级防火墙来说的。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此会受到OS本身的安全性影响。应用代理型防火墙工作在OSI的最高层,即应用层。......

    2023-10-18

    详细阅读
  • 计算机网络与信息安全:包过滤防火墙简介 计算机网络与信息安全:包过滤防火墙简介

    (一)包过滤防火墙简介包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络服务采取特殊的处理方式,而且大多数路由器都提供分组过滤功能,同时能够很大程度地满足企业的安全要求。包过滤防火墙的依据是分包传输技术。图7-1包过滤防火墙的工作原理包过滤防火墙对收到的每一数据包做许可或拒绝决定。......

    2023-10-18

    详细阅读
  • 计算机网络与信息安全:应用代理防火墙优劣 计算机网络与信息安全:应用代理防火墙优劣

    (二)应用代理防火墙的优缺点1.应用代理防火墙的优点应用代理易于配置因为代理是一个软件,所以比过滤路由器容易配置。(三)应用代理防火墙的分类代理服务器工作在应用层,针对不同的应用协议,需要建立不同的服务代理。......

    2023-10-18

    详细阅读
  • 状态检测防火墙-计算机网络与信息安全-简介 状态检测防火墙-计算机网络与信息安全-简介

    (一)状态检测防火墙简介基于状态检测技术的防火墙是由CheckPoint软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。状态检测防火墙监视和跟踪每个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。状态检测防火墙具有以下优点。......

    2023-10-18

    详细阅读
  • 中国文字的表意特性和特殊功能 中国文字的表意特性和特殊功能

    从这个角度去理解中国文字的起源,以及中国文字最早的用途,很多奇怪的现象会变得不那么奇怪。正因为前面商人不以现实沟通为目的,而以作为神权基础的方式来运用文字,奠定了中国文字的特殊性质。这套文字建立在表意的基础上,加上部分声符作为辅助,成就了人类文化多样性方面意义最为深远的一套系统。......

    2023-08-28

    详细阅读
  • 物质转运:载体与离子通道的特性与功能 物质转运:载体与离子通道的特性与功能

    载体帮助物质转运,具有专一性,如葡萄糖载体只能转运葡萄糖,不能转运氨基酸。载体所转运的物质,一般是营养物质和代谢产物;而离子通道所转运的带电离子,则与细胞的生物电活动有密切关系。它能利用生物能量,逆浓度差转运Na+和K+,始终保持细胞外的Na+浓度远远高于细胞内、细胞内的K+浓度远远高于细胞外。......

    2023-11-03

    详细阅读
  • 计算机网络与信息安全:概念和重要性 计算机网络与信息安全:概念和重要性

    (二)计算机网络信息安全的重要性在信息社会中,信息具有与能源、物源同等的价值,在某些时候甚至具有更高的价值。随着信息安全保障重要性的日益提高,它在现代战争中已上升为五大作战能力之一。而以计算机为核心的信息网络已经成为现代社会的神经中枢。因此,信息安全与信息安全保障的重点是网络信息安全保障。......

    2023-10-18

    详细阅读
  • 计算机网络与信息安全技术 计算机网络与信息安全技术

    链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。因此认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。......

    2023-10-18

    详细阅读