我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界数据网络之间的一道防御系统。防火可以使企业内部局域网(LAN)数据网络与Internet之间或者与其他外部数据网络互相隔离、限制数据网络互访用来保护内部数据网络。
在逻辑性上,服务器防火墙是一个隔开器、一个限制器和一个解析器,它可以合理地监管內部互联网和互联网技术中间的一切主题活动,保证內部互联网的安全性。它是不一样互联网或数据网络信息网络安全行业中间数据的唯一进出口贸易,可以依据公司的安全设置操纵信息网络的出入,具有极强的抗战斗能力。它是提供信息网络安全服务,实现数据网络和信息网络安全的基础设施。那么,防火墙有什么作用呢?怎么选择需用的防火墙呢?与河马哥一起了解下吧!
防火墙的作用是什么
1、包过滤系统
具有包过滤系统的也是防火墙?对,没错!根据对防火墙的概念,但凡能合理有效阻止数据网络非法接入的方式,都算防火墙。早期的防火墙通常也是充分利用设置的条件,数据监测通过的包的特征来决定放行或者阻止的,包过滤系统是很重要的1种特性。即便防火墙技术发展到现在拥有越来越多新的核心理念提出,可是包过滤系统依然是非常重要的一环,如同四层交换机首要的仍是要具有包的快速转发这样一个交换机的基本功能一样。通过包过滤系统,防火墙可以实现阻挡攻击,禁止外部/内部访问一些站点,限制每个ip的流量和连接数。
2、包的透明转发
实际上,鉴于防火墙通常架设在提供一些服务的服务器前。倘若用示意图来表示也是Server-FireWall-Guest。普通用户对服务器的访问的请求与服务器反馈给普通用户的数据,都需用通过防火墙的转发,因此,越来越多防火墙具有网关的能力。
3、阻挡外部攻击
倘若普通用户发送的数据是防火墙设置所不允许的,防火墙会立刻将其阻断,防止其进到防火墙之后的服务器中。
4、记录攻击
倘若用得着,实际上防火墙是完全可以将攻击性行为都记录下来的,可是鉴于源于效率上的充分考虑,现阶段通常记录攻击的事儿都交给IDS来完成了,我们在后面会提到。
防火墙的类别介绍:
首先大概说一下防火墙的类别。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组合而成结构而言,可分为以下三种:
第一种:软件防火墙
软件防火墙运行于特定的电子计算机上,它需用用户预先安装好的电子计算机操作系统的支持,通常情况下这台电子计算机也是整个数据网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的os专用。
第三种:芯片级网络防火墙
这些基于专门的硬件平台,并没有操作系统。专有的ASIC芯片促使这些比别的种类的网络防火墙速率更快,处理能力更强,使用性能更高。做这一类网络防火墙最有名气的厂商莫过于NetScreen、别的的品牌还会有FortiNet,算得上后起之秀了。这一类网络防火墙鉴于是专用OS,因此网络防火墙本身的安全漏洞相对比较少,可是价格相对相对比较高昂,所以一般来说只有在“确实需要”的情况下才考虑。
知识拓展——网络防火墙有哪些缺点和不足
1、网络防火墙还可以阻断进攻,但无法消灭进攻源。
“各扫自家门前雪,不管他人瓦上霜”,便是现阶段互联网安全的现状。互联网技术上病毒、木马、恶意试探等等引起的攻击行为络绎不绝。设置妥当的网络防火墙能够阻挡他们,可是无法清除进攻源。即便网络防火墙做好了良好的设置,造成进攻无法穿透网络防火墙,但各种进攻仍然会源源不断地向网络防火墙发出尝试。例如接主干网10M网络带宽的某站点,其日常工作流量中平均有512K左右是攻击行为。那么,即便成功设置了网络防火墙后,这512K的进攻流量依然不会有丝毫减少。
2、网络防火墙无法抵抗全新的未设置策略的进攻安全漏洞
就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。网络防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。假如世界上新发现某个主机安全漏洞的cracker的把第一个进攻对象选中了您的网络,那么网络防火墙也没有办法帮到您的。
3、网络防火墙的并发连接数限制容易造成拥塞或者溢出
鉴于要判断、处理流经网络防火墙的每一个包,因此网络防火墙在一些流量大、并发恳求多的情况下,非常容易造成拥塞,成为一整块网络的瓶颈影响使用性能。而当网络防火墙溢出的情况下,一整块防线就如同虚设,原本被禁止的相连接也能从容根据了。
4、网络防火墙对服务器合理合法开放的端口的进攻大多无法阻止
一些情况下,攻击者充分利用服务器提供的服务做好缺陷进攻。例如充分利用开放了3389端口取得没打过sp补丁的win2k的超级权限、充分利用asp程序做好脚本进攻等。鉴于其行为在网络防火墙一级看来是“合理”和“合理合法”的,因此就被简单地放行了。
5、网络防火墙对待内部主动发起相连接的进攻一般来说无法阻止
“外紧内松”是一般来说局域网络的特性。或许一道严密防守的网络防火墙内部的网络是一整片混乱也是有可能。根据社会工程学发送带木马的邮件、带木马的URL等方式,随后由中木马的机器主动对攻击者相连接,将铁壁一样的网络防火墙瞬间破坏掉。另外
6.防火墙本身也会出现问题和受到攻击
防火墙也是一个os,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7.防火墙不处理病毒
不管是funlove病毒也好,还是CIH也好。在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。
更多的弱电、安防、智能建筑方面资讯请广大网友关注河姆渡B2B电商平台哦!一站式省心又省钱的智能建筑产业互联网平台!如果您对河姆渡官网品牌合作、内容合作、广告投放有兴趣,请致电 400-807-7117