-
當前位置:首頁 > 創(chuàng)意學院 > 短視頻 > 專題列表 > 正文
2、防火墻是什么
防火墻的四種訪問控制(防火墻的四種訪問控制結構)
大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關于防火墻的四種訪問控制的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。
開始之前先推薦一個非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等
只需要輸入關鍵詞,就能返回你想要的內容,越精準,寫出的就越詳細,有微信小程序端、在線網頁版、PC客戶端
本文目錄:
一、防火墻可以針對用戶制定各種訪問控制嗎
作為網絡中重要的安全保護設備,防火墻能夠向用戶網絡提供訪問控制、防御各種攻擊、安全控制、管理功能以及日志與報表功能。
二、防火墻是什么
防火墻(Firewall),也稱防護墻,是由Check Point創(chuàng)立者Gil Shwed于1993年發(fā)明并引入國際互聯(lián)網(US5606668(A)1993-12-15)。它是一種位于內部網絡與外部網絡之間的網絡安全系統(tǒng)。一項信息安全的防護系統(tǒng),依照特定的規(guī)則,允許或是限制傳輸的數據通過。 防火墻的發(fā)明者是吉爾·舍伍德。
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。什么是防火墻XP系統(tǒng)相比于以往的Windows系統(tǒng)新增了許多的網絡功能(Windows 7的防火墻一樣很強大,可以很方便地定義過濾掉數據包),例如Internet連接防火墻(ICF),它就是用一段"代碼墻"把電腦和Internet分隔開,時刻檢查出入防火墻的所有數據包,決定攔截或是放行那些數據包。防火墻可以是一種硬件、固件或者軟件,例如專用防火墻設備就是硬件形式的防火墻,包過濾路由器是嵌有防火墻固件的路由器,而代理服務器等軟件就是軟件形式的防火墻。ICF工作原理ICF被視為狀態(tài)防火墻,狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊,并且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網絡計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網絡內部開始的),才允許將傳入Internet通信傳送給網絡中的計算機。源自外部源ICF計算機的通訊(如Internet)將被防火墻阻止,除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發(fā)送活動通知,而是靜態(tài)地阻止未經請求的通訊,防止像端口掃描這樣的常見黑客襲擊。防火墻的種類防火墻從誕生開始,已經歷了四個發(fā)展階段:基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。常見的防火墻屬于具有安全操作系統(tǒng)的防火墻,例如NETEYE、NETSCREEN、TALENTIT等。從結構上來分,防火墻有兩種:即代理主機結構和路由器+過濾器結構,后一種結構如下所示:內部網絡過濾器(Filter)路由器(Router)Internet從原理上來分,防火墻則可以分成4種類型:特殊設計的硬件防火墻、數據包過濾型、電路層網關和應用級網關。安全性能高的防火墻系統(tǒng)都是組合運用多種類型防火墻,構筑多道防火墻“防御工事”。三、防火墻技術有哪些?
從實現原理上分,防火墻的技術包括四大類:網絡級防火墻、應用級網關、電路級網關和規(guī)則檢查防火墻。
1、網絡級防火墻
一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現包中的信息與某規(guī)則相符。
如果沒有一條規(guī)則能符合,防火墻就會使用默認規(guī)則,一般情況下,默認規(guī)則就是要求防火墻丟棄該包。通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2、應用級網關
應用級網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網關能夠理解應用層上的協(xié)議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。
它針對特別的網絡應用服務協(xié)議即數據過濾協(xié)議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數據被竊取。
3、電路級網關
電路級網關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。
電路級網關代理服務器功能,代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,成功地實現了防火墻內外計算機系統(tǒng)的隔離。
4、規(guī)則檢查防火墻
該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包,也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業(yè)網絡的安全規(guī)則。
規(guī)則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網關的是,它并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據。
擴展資料
應用防火墻技術考慮以下方面:
1、防火墻是不能防病毒的。
2、防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題,如果延遲太大將無法支持實時服務請求。
防火墻采用濾波技術,濾波通常使網絡的性能降低50%以上,如果為了改善網絡性能而購置高速路由器,又會大大提高經濟預算。
防火墻是企業(yè)網安全問題的常用方案,即把公共數據和服務置于防火墻外,使其對防火墻內部資源的訪問受到限制。作為一種網絡安全技術,防火墻具有簡單實用的特點,并且透明度高,可以在不修改原有網絡應用系統(tǒng)的情況下達到一定的安全要求。
參考資料來源:百度百科—防水墻技術
四、防火墻的定義和分類
包過濾型防火墻:通過訪問控制表,檢查數據流中每個數據包的源地址、目的地址,所用的端口號、協(xié)議狀態(tài)等因素,來確定是否允許該數據包通過。
應用網關防火墻:它工作在OSI模型的應用層,能針對特定的網絡應用協(xié)議制定數據過濾規(guī)則。通過軟件程序來傳送和過濾Telnet和FIP這類網絡服務,這類軟件通常安裝在專用工作站系統(tǒng)上,運行該程序的主機叫應用網關。這種技術參與到一個TCP連接的全過程,在應用層建立協(xié)議過濾和轉發(fā)功能,故叫應用層網關。
代理服務器防火墻:它工作在OSI模型的應用層,主要使用代理技術來阻斷內部網絡和外部網絡之間的通信,達到隱藏內部網絡的目的。(相當于一個中介來擔當中間人,負責傳遞信息,而兩者不互相見面,也就不了解真實情況)
狀態(tài)監(jiān)測防火墻:它也被稱作自適應防火墻或動態(tài)包過濾防火墻。這種防火墻能通過狀態(tài)檢測技術動態(tài)記錄、維護各個連接的協(xié)議狀態(tài),并且在網絡層和IP之間插入一個檢測模塊,對IP包的信息進行拆分檢測(比如IP包中的協(xié)議,源地址)來對比先前制定的策略,以確定是否允許通過。
自適應代理防火墻:它可根據用戶的安全策略,動態(tài)適應傳輸中的分組流量(比如優(yōu)先級和安全級來確定流量),它整合了動態(tài)包過濾防火墻技術和應用代理技術,本質上說是狀態(tài)監(jiān)測防火墻。
以上就是關于防火墻的四種訪問控制相關問題的回答。希望能幫到你,如有更多相關問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內容。
推薦閱讀: