防火牆插卡為什麼配置復雜
Ⅰ 思科防火牆的優缺點
思科防火牆的優缺點分別是:
優點:思科防火牆對每條傳入和傳出網路的包實行低水平控制。對每個IP包的欄位都被檢查,例如源地址、目的地址、協議、埠等。防火牆將基於這些信息應用過濾規則。
思科防火牆可以識別和丟棄帶欺騙性源IP地址的包。包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆,繞過是困難的。
包過濾通常被包含在路由器數據包中,所以不必額外的系統來處理這個特徵。
缺點:配置困難。因為包過濾防火牆很復雜,人們經常會忽略建立一些必要的規則,或者錯誤配置了已有的規則,在防火牆上留下漏洞。
然而,在市場上,許多新版本的防火牆對這個缺點正在作改進,如開發者實現了基於圖形化用戶界面(GUI)的配置和更直接的規則定義。
思科防火牆策略是:
1、內網到外網:內網的數據到外網防火牆是放行的。外網的數據到內網防火牆是拒絕的。
配置策略使數據包能從外網進入防火牆:
ciscoasa(config)# access-list 110 extended permit ip any any。
ciscoasa(config)# access-group 110 in interface outside。
2、dmz到外網:DMZ的數據到外網防火牆是放行的。外網的數據到DMZ防火牆是拒絕的。
配置dmz到outside的策略:
ciscoasa(config)# access-list 119 extended permit ip any any。
ciscoasa(config)# access-group 119 in interface outside。
Ⅱ 防火牆是啥
Internet的迅速發展給現代人的生產和生活都帶來了前所未有的飛躍,大大提高了工作效率,豐富了人們的生活,彌補了人們的精神空缺;而與此同時給人們帶來了一個日益嚴峻的問題――網路安全。網路的安全性成為當今最熱門的話題之一,很多企業為了保障自身伺服器或數據安全都採用了防火牆。隨著科技的發展,防火牆也逐漸被大眾所接受。但是,由於防火牆是屬於高科技產物,許多的人對此還並不是了解的十分透徹。而這篇文章就是給大家講述了防火牆工作的方式,以及防火牆的基本分類,並且討論了每一種防火牆的優缺點。
一、防火牆的基本分類
1.包過濾防火牆
第一代防火牆和最基本形式防火牆檢查每一個通過的網路包,或者丟棄,或者放行,取決於所建立的一套規則。這稱為包過濾防火牆。
本質上,包過濾防火牆是多址的,表明它有兩個或兩個以上網路適配器或介面。例如,作為防火牆的設備可能有兩塊網卡(NIC),一塊連到內部網路,一塊連到公共的Internet。防火牆的任務,就是作為「通信警察」,指引包和截住那些有危害的包。
包過濾防火牆檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、埠號、協議等)。然後,將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接,而包的目的埠是23的話,那麼該包就會被丟棄。如果允許傳入Web連接,而目的埠為80,則包就會被放行。
多個復雜規則的組合也是可行的。如果允許Web連接,但只針對特定的伺服器,目的埠和目的地址二者必須與規則相匹配,才可以讓該包通過。
最後,可以確定當一個包到達時,如果對該包沒有規則被定義,接下來將會發生什麼事情了。通常,為了安全起見,與傳入規則不匹配的包就被丟棄了。如果有理由讓該包通過,就要建立規則來處理它。
建立包過濾防火牆規則的例子如下:
對來自專用網路的包,只允許來自內部地址的包通過,因為其他包包含不正確的包頭部信息。這條規則可以防止網路內部的任何人通過欺騙性的源地址發起攻擊。而且,如果黑客對專用網路內部的機器具有了不知從何得來的訪問權,這種過濾方式可以阻止黑客從網路內部發起攻擊。
在公共網路,只允許目的地址為80埠的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同埠的連接,所以它並不是十分安全。
丟棄從公共網路傳入的包,而這些包都有你的網路內的源地址,從而減少IP欺騙性的攻擊。丟棄包含源路由信息的包,以減少源路由攻擊。要記住,在源路由攻擊中,傳入的包包含路由信息,它覆蓋了包通過網路應採取得正常路由,可能會繞過已有的安全程序。通過忽略源路由信息,防火牆可以減少這種方式的攻擊。
2.狀態/動態檢測防火牆
狀態/動態檢測防火牆,試圖跟蹤通過防火牆的網路連接和包,這樣防火牆就可以使用一組附加的標准,以確定是否允許和拒絕通信。它是在使用了基本包過濾防火牆的通信上應用一些技術來做到這點的。
當包過濾防火牆見到一個網路包,包是孤立存在的。它沒有防火牆所關心的歷史或未來。允許和拒絕包的決定完全取決於包自身所包含的信息,如源地址、目的地址、埠號等。包中沒有包含任何描述它在信息流中的位置的信息,則該包被認為是無狀態的;它僅是存在而已。
一個有狀態包檢查防火牆跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態,防火牆還記錄有用的信息以幫助識別包,例如已有的網路連接、數據的傳出請求等。
例如,如果傳入的包包含視頻數據流,而防火牆可能已經記錄了有關信息,是關於位於特定IP地址的應用程序最近向發出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發出請求的相同系統,防火牆進行匹配,包就可以被允許通過。
一個狀態/動態檢測防火牆可截斷所有傳入的通信,而允許所有傳出的通信。因為防火牆跟蹤內部出去的請求,所有按要求傳入的數據被允許通過,直到連接被關閉為止。只有未被請求的傳入通信被截斷。
如果在防火牆內正運行一台伺服器,配置就會變得稍微復雜一些,但狀態包檢查是很有力和適應性的技術。例如,可以將防火牆配置成只允許從特定埠進入的通信,只可傳到特定伺服器。如果正在運行Web伺服器,防火牆只將80埠傳入的通信發到指定的Web伺服器。
狀態/動態檢測防火牆可提供的其他一些額外的服務有:
將某些類型的連接重定向到審核服務中去。例如,到專用Web伺服器的連接,在Web伺服器連接被允許之前,可能被發到SecutID伺服器(用一次性口令來使用)。
拒絕攜帶某些數據的網路通信,如帶有附加可執行程序的傳入電子消息,或包含ActiveX程序的Web頁面。
跟蹤連接狀態的方式取決於包通過防火牆的類型:
TCP包。當建立起一個TCP連接時,通過的第一個包被標有包的SYN標志。通常情況下,防火牆丟棄所有外部的連接企圖,除非已經建立起某條特定規則來處理它們。對內部的連接試圖連到外部主機,防火牆註明連接包,允許響應及隨後再兩個系統之間的包,直到連接結束為止。在這種方式下,傳入的包只有在它是響應一個已建立的連接時,才會被允許通過。
UDP包。UDP包比TCP包簡單,因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數據。這種信息的缺乏使得防火牆確定包的合法性很困難,因為沒有打開的連接可利用,以測試傳入的包是否應被允許通過。可是,如果防火牆跟蹤包的狀態,就可以確定。對傳入的包,若它所使用的地址和UDP包攜帶的協議與傳出的連接請求匹配,該包就被允許通過。和TCP包一樣,沒有傳入的UDP包會被允許通過,除非它是響應傳出的請求或已經建立了指定的規則來處理它。對其他種類的包,情況和UDP包類似。防火牆仔細地跟蹤傳出的請求,記錄下所使用的地址、協議和包的類型,然後對照保存過的信息核對傳入的包,以確保這些包是被請求的。
3.應用程序代理防火牆
應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反,它是接受來自內部網路特定用戶應用程序的通信,然後建立於公共網路伺服器單獨的連接。網路內部的用戶不直接與外部的伺服器通信,所以伺服器不能直接訪問內部網的任何一部分。
另外,如果不為特定的應用程序安裝代理程序代碼,這種服務是不會被支持的,不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接,從而提供了額外的安全性和控制性。
例如,一個用戶的Web瀏覽器可能在80埠,但也經常可能是在1080埠,連接到了內部網路的HTTP代理防火牆。防火牆然後會接受這個連接請求,並把它轉到所請求的Web伺服器。
這種連接和轉移對該用戶來說是透明的,因為它完全是由代理防火牆自動處理的。
代理防火牆通常支持的一些常見的應用程序有:
HTTP
HTTPS/SSL
SMTP
POP3
IMAP
NNTP
TELNET
FTP
IRC
應用程序代理防火牆可以配置成允許來自內部網路的任何連接,它也可以配置成要求用戶認證後才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制,為安全性提供了額外的保證。如果網路受到危害,這個特徵使得從內部發動攻擊的可能性大大減少。
4.NAT
討論到防火牆的主題,就一定要提到有一種路由器,盡管從技術上講它根本不是防火牆。網路地址轉換(NAT)協議將內部網路的多個IP地址轉換到一個公共地址發到Internet上。
NAT經常用於小型辦公室、家庭等網路,多個用戶分享單一的IP地址,並為Internet連接提供一些安全機制。
當內部用戶與一個公共主機通信時,NAT追蹤是哪一個用戶作的請求,修改傳出的包,這樣包就像是來自單一的公共IP地址,然後再打開連接。一旦建立了連接,在內部計算機和Web站點之間來迴流動的通信就都是透明的了。
當從公共網路傳來一個未經請求的傳入連接時,NAT有一套規則來決定如何處理它。如果沒有事先定義好的規則,NAT只是簡單的丟棄所有未經請求的傳入連接,就像包過濾防火牆所做的那樣。
可是,就像對包過濾防火牆一樣,你可以將NAT配置為接受某些特定埠傳來的傳入連接,並將它們送到一個特定的主機地址。
5.個人防火牆
現在網路上流傳著很多的個人防火牆軟體,它是應用程序級的。個人防火牆是一種能夠保護個人計算機系統安全的軟體,它可以直接在用戶的計算機上運行,使用與狀態/動態檢測防火牆相同的方式,保護一台計算機免受攻擊。通常,這些防火牆是安裝在計算機網路介面的較低級別上,使得它們可以監視傳入傳出網卡的所有網路通信。
一旦安裝上個人防火牆,就可以把它設置成「學習模式」,這樣的話,對遇到的每一種新的網路通信,個人防火牆都會提示用戶一次,詢問如何處理那種通信。然後個人防火牆便記住響應方式,並應用於以後遇到的相同那種網路通信。
例如,如果用戶已經安裝了一台個人Web伺服器,個人防火牆可能將第一個傳入的Web連接作上標志,並詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等,個人防火牆然後把這條規則應用於所有傳入的Web連接。
基本上,你可以將個人防火牆想像成在用戶計算機上建立了一個虛擬網路介面。不再是計算機的操作系統直接通過網卡進行通信,而是以操作系統通過和個人防火牆對話,仔細檢查網路通信,然後再通過網卡通信。
二、各類防火牆的優缺點
1.包過濾防火牆
使用包過濾防火牆的優點包括:
防火牆對每條傳入和傳出網路的包實行低水平控制。
每個IP包的欄位都被檢查,例如源地址、目的地址、協議、埠等。防火牆將基於這些信息應用過濾規則。
防火牆可以識別和丟棄帶欺騙性源IP地址的包。
包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆,繞過是困難的。
包過濾通常被包含在路由器數據包中,所以不必額外的系統來處理這個特徵。
使用包過濾防火牆的缺點包括:
配置困難。因為包過濾防火牆很復雜,人們經常會忽略建立一些必要的規則,或者錯誤配置了已有的規則,在防火牆上留下漏洞。然而,在市場上,許多新版本的防火牆對這個缺點正在作改進,如開發者實現了基於圖形化用戶界面(GUI)的配置和更直接的規則定義。
為特定服務開放的埠存在著危險,可能會被用於其他傳輸。例如,Web伺服器默認埠為80,而計算機上又安裝了RealPlayer,那麼它會搜尋可以允許連接到RealAudio伺服器的埠,而不管這個埠是否被其他協議所使用,RealPlayer正好是使用80埠而搜尋的。就這樣無意中,RealPlayer就利用了Web伺服器的埠。
可能還有其他方法繞過防火牆進入網路,例如撥入連接。但這個並不是防火牆自身的缺點,而是不應該在網路安全上單純依賴防火牆的原因。
2.狀態/動態檢測防火牆
狀態/動態檢測防火牆的優點有:
檢查IP包的每個欄位的能力,並遵從基於包中信息的過濾規則。
識別帶有欺騙性源IP地址包的能力。
包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆,繞過是困難的。
基於應用程序信息驗證一個包的狀態的能力, 例如基於一個已經建立的FTP連接,允許返回的FTP包通過。
基於應用程序信息驗證一個包狀態的能力,例如允許一個先前認證過的連接繼續與被授予的服務通信。
記錄有關通過的每個包的詳細信息的能力。基本上,防火牆用來確定包狀態的所有信息都可以被記錄,包括應用程序對包的請求,連接的持續時間,內部和外部系統所做的連接請求等。
狀態/動態檢測防火牆的缺點:
狀態/動態檢測防火牆唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網路連接的某種遲滯,特別是在同時有許多連接激活的時候,或者是有大量的過濾網路通信的規則存在時。可是,硬體速度越快,這個問題就越不易察覺,而且防火牆的製造商一直致力於提高他們產品的速度。
3.應用程序代理防火牆
使用應用程序代理防火牆的優點有:
指定對連接的控制,例如允許或拒絕基於伺服器IP地址的訪問,或者是允許或拒絕基於用戶所請求連接的IP地址的訪問。
通過限制某些協議的傳出請求,來減少網路中不必要的服務。
大多數代理防火牆能夠記錄所有的連接,包括地址和持續時間。這些信息對追蹤攻擊和發生的未授權訪問的事件事很有用的。
使用應用程序代理防火牆的缺點有:
必須在一定范圍內定製用戶的系統,這取決於所用的應用程序。
一些應用程序可能根本不支持代理連接。
4.NAT
使用NAT的優點有:
所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因,網路之外沒有人可以通過指定IP地址的方式直接對網路內的任何一台特定的計算機發起攻擊。
如果因為某種原因公共IP地址資源比較短缺的話,NAT可以使整個內部網路共享一個IP地址。
可以啟用基本的包過濾防火牆安全機制,因為所有傳入的包如果沒有專門指定配置到NAT,那麼就會被丟棄。內部網路的計算機就不可能直接訪問外部網路。
使用NAT的缺點:
NAT的缺點和包過濾防火牆的缺點是一樣的。雖然可以保障內部網路的安全,但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的木馬程序可以通過NAT做外部連接,就像它可以穿過包過濾防火牆一樣的容易。
注意:現在有很多廠商開發的防火牆,特別是狀態/動態檢測防火牆,除了它們應該具有的功能之外也提供了NAT的功能。
5.個人防火牆
個人防火牆的優點有:
增加了保護級別,不需要額外的硬體資源。
個人防火牆除了可以抵擋外來攻擊的同時,還可以抵擋內部的攻擊。
個人防火牆是對公共網路中的單個系統提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網,可能一個硬體防火牆對於他來說實在是太昂貴了,或者說是太麻煩了。而個人防火牆已經能夠為用戶隱蔽暴露在網路上的信息,比如IP地址之類的信息等。
個人防火牆的缺點:
個人防火牆主要的缺點就是對公共網路只有一個物理介面。要記住,真正的防火牆應當監視並控制兩
個或更多的網路介面之間的通信。這樣一來的話,個人防火牆本身可能會容易受到威脅,或者說是具有這樣一個弱點,網路通信可以繞過防火牆的規則。
好了,在上面我們已經介紹了幾類防火牆,並討論了每種防火牆的優缺點。要記住,任何一種防火牆只是為網路通信或者是數據傳輸提供了更有保障的安全性,但是我們也不能完全依賴於防火牆。除了*防火牆來保障安全的同時,我們也要加固系統的安全性,提高自身的安全意識。這樣一來,數據和通信以及Web站點就會更有安全保障。
Ⅲ 防火牆插卡是什麼
軟體集成防火牆,共用交換機的CPU !是一個軟體模塊!這種防火牆還是比較強悍的!!!
Ⅳ 防火牆的路由模式和透明模式
透明模式首要的特點就是對用戶是透明的即用戶意識不到防火牆的存在。要想實現透明模式,防火牆必須在沒有IP地址的情況下工作,不需要對其設置IP地址,用戶也不知道防火牆的IP地址。
透明模式的防火牆就好象是一台網橋(非透明的防火牆好象一台路由器),網路設備(包括主機、路由器、工作站等)和所有計算機的設置(包括IP地址和網關)無須改變,同時解析所有通過它的數據包,既增加了網路的安全性,又降低了用戶管理的復雜程度。
而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連接,這可以提供更復雜的協議需要,例如帶動態埠分配的H.323,或者一個帶有不同命令埠和數據埠的連接。這樣的通信是包過濾所無法完成的
源地址路由支持,透明橋接
地址路由指路由器為數據包選擇路由時不根據IP包的目的地址(通常情況根據目的地址),而根據IP包的源地址選路。源地址路由是策略路由的一種。一般路由器應當支持。透明橋接是指路由器埠以透明網橋的方式工作,執行網橋的功能。不對數據包作路由檢查轉發,只作MAC幀橋接。
Ⅳ 防火牆是什麼
您好!關於您的問題回答如下:防火牆是一類防範措施的總稱,它使得內部網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。防火牆簡單的可以只用路由器實現,復雜的可以用主機甚至一個子網來實現。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
防火牆的功能有:
1、過濾掉不安全服務和非法用戶
2、控制對特殊站點的訪問
3、提供監視Internet安全和預警的方便端點
由於互連網的開放性,有許多防範功能的防火牆也有一些防範不到的地方:
1、防火牆不能防範不經由防火牆的攻擊。例如,如果允許從受保護網內部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火牆,造成一個潛在的後門攻擊渠道。
2、防火牆不能防止感染了病毒的軟體或文件的傳輸。這只能在每台主機上裝反病毒軟體。
3、防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上並被執行而發起攻擊時,就會發生數據驅動攻擊。
因此,防火牆只是一種整體安全防範政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全准則、職員培訓計劃以及與網路訪問、當地和遠程用戶認證、撥出撥入呼叫、磁碟和數據加密以及病毒防護的有關政策。
防火牆的特點
一般防火牆具備以下特點:
1、廣泛的服務支持:通過將動態的、應用層的過濾能力和認證相結合,可實現WWW瀏覽器、HTTP伺服器、 FTP等;
2、對私有數據的加密支持:保證通過Internet進行虛擬私人網路和商務活動不受損壞;
3、客戶端認證只允許指定的用戶訪問內部網路或選擇服務:企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分;
4、反欺騙:欺騙是從外部獲取網路訪問權的常用手段,它使數據包好似來自網路內部。防火牆能監視這樣的數據包並能扔掉它們;
5、C/S模式和跨平台支持:能使運行在一平台的管理模塊控制運行在另一平台的監視模塊。
實現防火牆的技術
防火牆的實現從層次上大體上可以分兩種:報文過濾和應用層網關。
報文過濾是在IP層實現的,因此,它可以只用路由器完成。報文過濾根據報文的源IP地址、目的IP地址、源埠、目的埠及報文傳遞方向等報頭信息來判斷是否允許報文通過。現在也出現了一種可以分析報文數據區內容的智能型報文過濾器。
報文過濾器的應用非常廣泛,因為CPU用來處理報文過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網路時,根本感覺不到它的存在,使用起來很方便。報文過濾另一個也是很關鍵的弱點是不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過報文過濾器。
報文過濾的弱點可以用應用層網關解決。在應用層實現防火牆,方式多種多樣,下面是幾種應用層防火牆的設計實現。
1、應用代理伺服器(Application Gateway Proxy)
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時,必須先在防火牆上經過身份認證。通過身份認證後,防火牆運行一個專門為該網路設計的程序,把外部主機與內部主機連接。在這個過程中,防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網路內部用戶訪問外部網時也需先登錄到防火牆上,通過驗證後,才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器,它適用於多個協議,但不能解釋應用協議,需要通過其他方式來獲得信息,所以,迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器(Sockets Server)就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時,在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址,經過確認後,套伺服器才與外部的伺服器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火牆的存在,那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」,受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上,使它同時充當伺服器,對外部的請求作出回答。與應用層代理實現相比,代管伺服器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火牆上,再向外提出請求,這樣從外部網向內就只能看到防火牆,從而隱藏了內部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以採用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由於合法Internet IP地址有限,而且受保護網路往往有自己的一套IP地址規劃(非正式IP地址)。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火牆動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對於內部的某些伺服器如 Web伺服器,網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
6、隔離域名伺服器(Split Domain Name Server )
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離,使外部網的域名伺服器只能看到防火牆的IP地址,無法了解受保護網路的具體情況,這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術(Mail Forwarding)
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時,從外部網路發來的郵件,就只能送到防火牆上。這時防火牆對郵件進行檢查,只有當發送郵件的源主機是被允許通過的,防火牆才對郵件的目的地址進行轉換,送到內部的郵件伺服器,由其進行轉發。
防火牆的體系結構及組合形式
1、屏蔽路由器(Screening Router)
這是防火牆最基本的構件。它可以由廠家專門生產的路由器實現,也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以裝基於IP層的報文過濾軟體,實現報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。
單純由屏蔽路由器構成的防火牆的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷後很難發現,而且不能識別不同的用戶。
2、雙穴主機網關(Dual Homed Gateway)
這種配置是用一台裝有兩塊網卡的堡壘主機做防火牆。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火牆軟體,可以轉發應用程序,提供服務等。
雙穴主機網關優於屏蔽路由器的地方是:堡壘主機的系統軟體可用於維護系統日誌、硬體拷貝日誌或遠程日誌。這對於日後的檢查很有用。但這不能幫助網路管理者確認內網中哪些主機可能已被黑客入侵。
雙穴主機網關的一個致命弱點是:一旦入侵者侵入堡壘主機並使其只具有路由功能,則任何網上用戶均可以隨便訪問內網。
3、被屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易於實現也很安全,因此應用廣泛。例如,一個分組過濾路由器連接外部網路,同時一個堡壘主機安裝在內部網路上,通常在路由器上設立過濾規則,並使這個堡壘主機成為從外部網路唯一可直接到達的主機,這確保了內部網路不受未被授權的外部用戶的攻擊。
如果受保護網是一個虛擬擴展的本地網,即沒有子網和路由器,那麼內網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟體決定。如果攻擊者設法登錄到它上面,內網中的其餘主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。
4、被屏蔽子網 (Screened Subnet)
這種方法是在內部網路和外部網路之間建立一個被隔離的子網,用兩台分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個「非軍事區」DMZ。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火牆,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網路訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然後進入內網主機,再返回來破壞屏蔽路由器,整個過程中不能引發警報。
建造防火牆時,一般很少採用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決於網管中心向用戶提供什麼樣的服務,以及網管中心能接受什麼等級風險。採用哪種技術主要取決於經費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:
1、使用多堡壘主機;
2、合並內部路由器與外部路由器;
3、合並堡壘主機與外部路由器;
4、合並堡壘主機與內部路由器;
5、使用多台內部路由器;
6、使用多台外部路由器;
7、使用多個周邊網路;
8、使用雙重宿主主機與屏蔽子網。
內部防火牆
建立防火牆的目的在於保護內部網免受外部網的侵擾。有時為了某些原因,我們還需要對內部網的部分站點再加以保護以免受內部的其它站點的侵襲。因此,有時我們需要在同一結構的兩個部分之間,或者在同一內部網的兩個不同組織結構之間再建立防火牆(也被稱為內部防火牆)。
防火牆的未來發展趨勢
目前,防火牆技術已經引起了人們的注意,隨著新技術的發展,混合使用包過濾技術、代理服務技術和其它一些新技術的防火牆正向我們走來。
越來越多的客戶端和伺服器端的應用程序本身就支持代理服務方式。比如,許多WWW 客戶服務軟體包就具有代理能力,而許多象SOCKS 這樣的軟體在運行編譯時也支持類代理服務。
包過濾系統向著更具柔性和多功能的方向發展。比如動態包過濾系統,在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包過濾規則可由路由器靈活、快速的來設置。一個輸出的UDP 數據包可以引起對應的允許應答UDP 創立一個臨時的包過濾規則,允許其對應的UDP 包進入內部網。
被稱為「 第三代」產品的第一批系統已開始進入市場。如Border 網路技術公司的Border 產品和Truest 信息系統公司的Gauntlet 3.0 產品從外部向內看起來像是代理服務(任何外部服務請求都來自於同一主機),而由內部向外看像一個包過濾系統(內部用戶認為他們直接與外部網交互)。這些產品通過對大量內部網的外向連接請求的計帳系統和包的批次修改對防火牆的內外提供相關的偽像。Karl Bridge/Karl Brouter 產品拓展了包過濾的范圍,它對應用層上的包過濾和授權進行了擴展。這比傳統的包過濾要精細得多。
目前,人們正在設計新的IP 協議(也被稱為IP version 6)。IP 協議的變化將對防火牆的建立與運行產生深刻的影響。同時,目前大多數網路上的機器的信息流都有可能被偷看到,但更新式的網路技術如幀中繼,非同步傳輸模式(ATM)可將數據包源地址直接發送給目的地址,從而防止信息流在傳輸中途被泄露。
Ⅵ linx伺服器中,配置防火牆時,需要注意什麼問題
遠程配置防火牆時不要把自己踢出伺服器
防火牆是指將內網和外網分開,並依照數據包的 IP 地址、埠號和數據包中的數據來判斷是否允許數據包通過的網路設備。
防火牆可以是硬體防火牆設備,也可以是伺服器上安裝的防火牆軟體。
簡單來講,防火牆就是根據數據包自身的參數來判斷是否允許數據包通過的網路設備。我們的伺服器要想在公網中安全地使用,就需要使用防火牆過濾有害的數據包。
但在配置防火牆時,如果管理員對防火牆不是很熟悉,就有可能把自己的正常訪問數據包和有害數據包全部過濾掉,導致自己也無法正常登錄伺服器。比如說,防火牆關閉了遠程連接的 SSH 服務的埠。
防火牆配置完全是靠手工命令完成的,配置規則和配置命令相對也比較復雜,萬一設置的時候心不在焉,悲劇就發生了。如何避免這種趟尬的情況發生呢?
最好的方法當然是在伺服器本地配置防火牆,這樣就算不小視自己的遠程登錄給過濾了,還可以通過本機登錄來進行恢復。如果伺服器已經在遠程登錄了,要配置防火牆,那麼最好在本地測試完善後再進行上傳,這樣會把發生故障的概率降到最低。
雖然在本地測試好了,但是傳到遠程伺服器上時仍有可能發生問題。於是筆者想到一個笨辦法,如果需要遠程配置防火牆,那麼先寫一個系統定時任務,讓它每 5 分鍾清空一下防火牆規則,就算寫錯了也還有反悔的機會,等測試沒有問題了再刪除這個系統定時任務。
總之,大家可以使用各種方法,只要留意不要在配置防火牆時把自己踢出伺服器就好了。
Ⅶ 防火牆失效,怎麼回事
很多內網病毒攻擊在二層協議進行流串,很那邊控制。想防火牆、路由器這樣的硬體設備是管不到第二層。第二層就是一群沒有人管的野孩子,胡作非為。
據統計80%以上的網路安全威脅來之內網攻擊,目前內網內ARP攻擊、骷髏頭、DDOS、超大Ping包……一系列內網攻擊都能導致內網掉線,甚至像ARP這樣的攻擊又不好查出來,殺毒軟體也沒辦法解決,又沒法根除。這也是重裝系統過後,無法解決內網掉線的主要原因。
這些內網攻擊都出自下面的網卡,咱們只要在網卡上實施攔截就可以保證內網的穩定。網路問題還得網路解決。
乙太網有協議漏洞,不擅長管理,這是網路問題頻發的技術根源。免疫牆技術就是針對和解決的就是這個問題。直接在網卡上進行攔截和控制。其主要特徵:免疫牆的技術范圍要拓展到網路的最末端,深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌,就是希望通過網路本身對網路病毒全面抵禦,同時完善對業務的管理,使網路可控、可管、可防、可觀。
巡路免疫網路解決方案以免疫牆技術從網卡上解決內網攻擊問題,在每一個網卡上派一個「警察」,有什麼內網病毒攻擊直接在網卡處進行「逮捕」,只允許合法的數據包過,有害的數據包直接下網卡處進行攔截。還對內網沒個ip進行監控,監控每一台PC的上網的信息,攔截信息,報警信息,對這些問題進行電腦進行評估實施封鎖。直接從網卡上解決內網ARP接其他病毒攻擊導致的內網掉線,內網難管理的現象。
Ⅷ 防火牆是什麼有什麼作用
1.什麼是防火牆
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理伺服器上的" 鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
4.設置防火牆的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務, 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。
防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟體(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火牆在大型網路系統中的部署
根據網路系統的安全需要,可以在如下位置部署防火牆:
區域網內的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。
在廣域網系統中,由於安全的需要,總部的區域網可以將各分支機構的區域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的區域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網。
總部的區域網和分支機構的區域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網。
在遠程用戶撥號訪問時,加入虛擬專網。
ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。
兩網對接時,可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT),地址映射(MAP), 網路隔離(DMZ), 存取安全控制,消除傳統軟體防火牆的瓶頸問題。
6.防火牆在網路系統中的作用
防火牆能有效地防止外來的入侵,它在網路系統中的作用是:
控制進出網路的信息流向和信息包;
提供使用和流量的日誌和審計;
隱藏內部IP地址及網路結構的細節;
提供VPN功能;
參考資料:http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者:愛上了蓮 - 舉人 四級 12-1 18:06
--------------------------------------------------------------------------------
評價已經被關閉 目前有 1 個人評價
好
100% (1) 不好
0% (0)
其他回答 共 5 條
用來阻擋信息的,像木馬什麼的,也能被阻隔
回答者:homejin - 試用期 一級 12-1 18:01
--------------------------------------------------------------------------------
防火牆定義
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
Ⅸ 如何配置防火牆
1、nameif
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡介面關閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置網路介面的IP地址
4、global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網介面名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網路掩碼。
5、nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
6、route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
7、static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL
訪問控制列表的命令與couit命令類似
10、偵聽命令fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet
當從外部介面要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
12、顯示命令:
showinterface;查看埠狀態。
showstatic;查看靜態地址映射。
showip;查看介面ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
13、DHCP服務
PIX具有DHCP服務功能。
Ⅹ 如果在網路中同時使用防火牆和路由器,它們位置如何安排,為什麼
我個人比較喜歡把路由器放在防火牆以外,就是直接接入外網。
從2種設備的設計角度來說,路由器是傳遞路由條目和互聯子網的作用,防火牆設計是為了加密和安全
從性能分析,路由器在外面的時候即使有動態路由帶來的大量路由條目的時候不會影響到防火牆的性能,防火牆承載路由並轉發大量數據的時候會造成防火牆的性能下降,防火牆就是NAT+ACL,很簡單的安全策略,當然了,這里說簡單只是出於配置的角度來說是簡單的,防火牆內核的演算法非常復雜。
從安全形度來說,路由器是第一層防禦,防禦外網對內網地址的侵略,再加上防火牆的NAT,就是一把雙刃劍,更好的保護你的網路和用戶!
個人意見,僅供參考哦