防火牆存儲介質內容
⑴ 防火牆的功能是什麼
從防火牆產品和技術發展來看,分為三種類型:基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。
LAN介面
列出支持的 LAN介面類型:防火牆所能保護的網路類型,如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。
支持的最大 LAN介面數:指防火牆所支持的區域網絡介面數目,也是其能夠保護的不同內網數目。
伺服器平台:防火牆所運行的操作系統平台(如 Linux、UNIX、Win NT、專用安全操作系統等)。
協議支持
支持的非 IP協議:除支持IP協議之外,又支持AppleTalk、DECnet、IPX及NETBEUI等協議。
建立 VPN通道的協議: 構建VPN通道所使用的協議,如密鑰分配等,主要分為IPSec,PPTP、專用協議等。
可以在 VPN中使用的協議:在VPN中使用的協議,一般是指TCP/IP協議。
加密支持
支持的 VPN加密標准:VPN中支持的加密演算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密演算法。
除了 VPN之外,加密的其他用途: 加密除用於保護傳輸數據以外,還應用於其他領域,如身份認證、報文完整性認證,密鑰分配等。
提供基於硬體的加密: 是否提供硬體加密方法,硬體加密可以提供更快的加密速度和更高的加密強度。
認證支持
支持的認證類型: 是指防火牆支持的身份認證協議,一般情況下具有一個或多個認證方案,如 RADIUS、Kerberos、TACACS/TACACS+、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網路資源的訪問,防火牆管理員必須決定客戶以何種方式通過認證。
列出支持的認證標准和 CA互操作性:廠商可以選擇自己的認證方案,但應符合相應的國際標准,該項指所支持的標准認證協議,以及實現的認證協議是否與其他CA產品兼容互通。
支持數字證書:是否支持數字證書。
訪問控制
通過防火牆的包內容設置:包過濾防火牆的過濾規則集由若干條規則組成,它應涵蓋對所有出入防火牆的數據包的處理方法,對於沒有明確定義的數據包,應該有一個預設處理方法;過濾規則應易於理解,易於編輯修改;同時應具備一致性檢測機制,防止沖突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾,如果IP頭中的協議欄位表明封裝協議為ICMP、TCP或UDP,那麼再根據 ICMP頭信息(類型和代碼值)、TCP頭信息(源埠和目的埠)或UDP頭信息(源埠和目的埠)執行過濾,其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。
在應用層提供代理支持:指防火牆是否支持應用層代理,如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接,代為向伺服器發出連接請求,代理伺服器應根據伺服器的應答,決定如何響應客戶端請求,代理服務進程應當連接兩個連接(客戶端與代理服務進程間的連接、代理服務進程與伺服器端的連接)。為確認連接的唯一性與時效性,代理進程應當維護代理連接表或相關資料庫(最小欄位集合),為提供認證和授權,代理進程應當維護一個擴展欄位集合。
在傳輸層提供代理支持:指防火牆是否支持傳輸層代理服務。
允許 FTP命令防止某些類型文件通過防火牆:指是否支持FTP文件類型過濾。
用戶操作的代理類型:應用層高級代理功能,如 HTTP、POP3 。
支持網路地址轉換 (NAT):NAT指將一個IP地址域映射到另一個IP地址域,從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後,可以隱藏受保護網路的內部結構,在一定程度上提高了網路的安全性。
支持硬體口令、智能卡: 是否支持硬體口令、智能卡等,這是一種比較安全的身份認證技術。
防禦功能
支持病毒掃描: 是否支持防病毒功能,如掃描電子郵件附件中的 DOC和ZIP文件,FTP中的下載或上載文件內容,以發現其中包含的危險信息。
提供內容過濾: 是否支持內容過濾,信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層,根據過濾條件,對信息流進行控制,防火牆控制的結果是:允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。
能防禦的 DoS攻擊類型:拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源,導致伺服器超載或系統資源耗盡,而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制,可在一定程度上防止或減輕DoS黑客攻擊。
阻止 ActiveX、Java、Cookies、Javascript侵入:屬於HTTP內容過濾,防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒,並向瀏覽器用戶報警。同時,能夠過濾用戶上載的 CGI、ASP等程序,當發現危險代碼時,向伺服器報警。
安全特性
支持轉發和跟蹤 ICMP協議(ICMP 代理):是否支持ICMP代理,ICMP為網間控制報文協議。
提供入侵實時警告:提供實時入侵告警功能,當發生危險事件時,是否能夠及時報警,報警的方式可能通過郵件、呼機、手機等。
提供實時入侵防範:提供實時入侵響應功能,當發生入侵事件時,防火牆能夠動態響應,調整安全策略,阻擋惡意報文。
識別 /記錄/防止企圖進行IP地址欺騙:IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網路進行攻擊,防火牆應該能夠禁止來自外部網路而源地址是內部IP地址的數據包通過。
管理功能
通過集成策略集中管理多個防火牆:是否支持集中管理,防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆運行狀態的管理,管理員的行為主要包括:通過防火牆的身份鑒別,編寫防火牆的安全規則,配置防火牆的安全參數,查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。
提供基於時間的訪問控制:是否提供基於時間的訪問控制。
支持 SNMP監視和配置:SNMP是簡單網路管理協議的縮寫。
本地管理:是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。
遠程管理:是指管理員通過乙太網或防火牆提供的廣域網介面對防火牆進行管理,管理的通信協議可以基於 FTP、TELNET、HTTP等。
支持帶寬管理:防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。
負載均衡特性:負載均衡可以看成動態的埠映射,它將一個外部地址的某一 TCP或UDP埠映射到一組內部地址的某一埠,負載均衡主要用於將某項服務(如HTTP)分攤到一組內部伺服器上以平衡負載。
失敗恢復特性( failover):指支持容錯技術,如雙機熱備份、故障恢復,雙電源備份等。
記錄和報表功能
防火牆處理完整日誌的方法:防火牆規定了對於符合條件的報文做日誌,應該提供日誌信息管理和存儲方法。
提供自動日誌掃描:指防火牆是否具有日誌的自動分析和掃描功能,這可以獲得更詳細的統計結果,達到事後分析、亡羊補牢的目的。
提供自動報表、日誌報告書寫器:防火牆實現的一種輸出方式,提供自動報表和日誌報告功能。
警告通知機制:防火牆應提供告警機制,在檢測到入侵網路以及設備運轉異常情況時,通過告警來通知管理員採取必要的措施,包括 E-mail、呼機、手機等。
提供簡要報表(按照用戶 ID或IP 地址):防火牆實現的一種輸出方式,按要求提供報表分類列印。
提供實時統計:防火牆實現的一種輸出方式,日誌分析後所獲得的智能統計結果,一般是圖表顯示。
列出獲得的國內有關部門許可證類別及號碼:這是防火牆合格與銷售的關鍵要素之一,其中包括:公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。
⑵ 防火牆分為哪幾類
隨著INTERNET的迅猛發展,現在每家每戶都擁有計算機並且都連接上了INTERNET,在網路給我們帶來了方便的同時,互聯網的弊端也慢慢顯露出來,不少人在聯網時會被人有意或者無意的攻擊,從而導致自己存儲在計算機上的資料被入侵者盜取或者丟失,所以防火牆就顯得尤為重要,下面就為大家介紹防火牆的分類。
防火牆的分類
1.包過濾防火牆
這是第一代防火牆,又稱為網路層防火牆,在每一個數據包傳送到源主機時都會在網路層進行過濾,對於不合法的數據訪問,防火牆會選擇阻攔以及丟棄。這種防火牆的連接可以通過一個網卡即一張網卡由內網的IP地址,又有公網的IP地址和兩個網卡一個網卡上有私有網路的IP地址,另一個網卡有外部網路的IP地址。
2.狀態/動態檢測防火牆
狀態/動態檢測防火牆,可以跟蹤通過防火牆的網路連接和包,這樣防火牆就可以使用一組附加的標准,以確定該數據包是允許或者拒絕通信。它是在使用了基本包過濾防火牆的通信上應用一些技術來做到這點的。
3.應用程序代理防火牆
應用程序代理防火牆又稱為應用層防火牆,工作於OSI的應用層上。應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反,它是接受來自內部網路特定用戶應用程序的通信,然後建立於公共網路伺服器單獨的連接。
以上就是防火牆的分類,相信大家對於防火牆的知識有了一些了解,大家應該多多了解一些關於電腦、網路方面的知識,以便在以後碰到計算機方面的問題時,自己就能解決。
⑶ 防火牆的原理
檢索 拒絕 隔離 可疑文件
什麼是防火牆?防火牆就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網路的世界裡,要由防火牆過濾的就是承載通信數據的通信包。
天下的防火牆至少都會說兩個詞:Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟體模塊;有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護(比如SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆,因為他們的工作方式都是一樣的:分析出入防火牆的數據包,決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個防火牆,防火牆的一端有台UNIX計算機,另一邊的網段則擺了台PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來,協議棧將這個TCP包「塞」到一個IP包里,然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和 UNIX計算機中的防火牆才能到達UNIX計算機。
現在我們「命令」(用專業術語來說就是配製)防火牆把所有發給UNIX計算機的數據包都給拒了,完成這項工作以後,「心腸」比較好的防火牆還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令防火牆專給那台可憐的PC機找茬,別人的數據包都讓過就它不行。這正是防火牆最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由於黑客們可以採用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
伺服器TCP/UDP 埠過濾
僅僅依靠地址進行數據過濾在實際運用中是不可行的,還有個原因就是目標主機上往往運行著多種通信服務,比方說,我們不想讓用戶採用 telnet的方式連到系統,但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧?所以說,在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。
比如,默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是伺服器)的telnet連接,那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包,把其中具有23目標埠號的包過濾就行了。這樣,我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎?不,沒這么簡單。
客戶機也有TCP/UDP埠
TCP/IP是一種端對端協議,每個網路節點都具有唯一的地址。網路節點的應用層也是這樣,處於應用層的每個應用程序和服務都具有自己的對應「地址」,也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯系。比如,telnet伺服器在埠23偵聽入站連接。同時 telnet客戶機也有一個埠號,否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢?
由於歷史的原因,幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠,而這些埠還保留為伺服器上的服務所用。所以,除非我們讓所有具有大於1023埠號的數據包進入網路,否則各種網路連接都沒法正常工作。
這對防火牆而言可就麻煩了,如果阻塞入站的全部埠,那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站(就是進入防火牆的意思)數據包都沒法經過防火牆的入站過濾。反過來,打開所有高於1023的埠就可行了嗎?也不盡然。由於很多服務使用的埠都大於1023,比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的。
雙向過濾
OK,咱們換個思路。我們給防火牆這樣下命令:已知服務的數據包可以進來,其他的全部擋在防火牆之外。比如,如果你知道用戶要訪問Web伺服器,那就只讓具有源埠號80的數據包進入網路:
不過新問題又出現了。首先,你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢?象HTTP這樣的伺服器本來就是可以任意配置的,所採用的埠也可以隨意配置。如果你這樣設置防火牆,你就沒法訪問哪些沒採用標准埠號的的網路站點了!反過來,你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具,並讓其運行在本機的80埠!
檢查ACK位
源地址我們不相信,源埠也信不得了,這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢?還好,事情還沒到走投無路的地步。對策還是有的,不過這個辦法只能用於TCP協議。
TCP是一種可靠的通信協議,「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性,每個TCP連接都要先經過一個「握手」過程來交換連接參數。還有,每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應,實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以,只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認,所以它就沒有設置ACK位,後續會話交換的TCP包就要設置ACK位了。
舉個例子,PC向遠端的Web伺服器發起一個連接,它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時,伺服器就發回一個設置了ACK位的數據包,同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包,這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位,我們就可以將進入網路的數據限制在響應包的范圍之內。於是,遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。
這套機制還不能算是無懈可擊,簡單地舉個例子,假設我們有台內部Web伺服器,那麼埠80就不得不被打開以便外部請求可以進入網路。還有,對UDP包而言就沒法監視ACK位了,因為UDP包壓根就沒有ACK位。還有一些TCP應用程序,比如FTP,連接就必須由這些伺服器程序自己發起。
FTP帶來的困難
一般的Internet服務對所有的通信都只使用一對埠號,FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登錄和執行命令的通信鏈路,而另一對埠號則用於FTP的「數據通道」提供客戶機和伺服器之間的文件傳送。
在通常的FTP會話過程中,客戶機首先向伺服器的埠21(命令通道)發送一個TCP連接請求,然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據,FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了,如果伺服器向客戶機發起傳送數據的連接,那麼它就會發送沒有設置ACK位的數據包,防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠,然後才許可對該埠的入站連接。
UDP埠過濾
好了,現在我們回過頭來看看怎麼解決UDP問題。剛才說了,UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通信,這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。
看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包,來自外部介面的UDP包則不轉發。現在的問題是,比方說,DNS名稱解析請求就使用UDP,如果你提供DNS服務,至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP,如果要讓你的用戶使用它,就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是,什麼叫可信任!如果黑客採取地址欺騙的方法不又回到老路上去了嗎?
有些新型路由器可以通過「記憶」出站UDP包來解決這個問題:如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了!但是,我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢?如果黑客詐稱DNS伺服器的地址,那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。
所謂代理伺服器,顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣,但實際上他們都躲在代理的後面,露面的不過是代理這個假面具。
小結
IP地址可能是假的,這是由於IP協議的源路有機制所帶來的,這種機制告訴路由器不要為數據包採用正常的路徑,而是按照包頭內的路徑傳送數據包。於是黑客就可以使用系統的IP地址獲得返回的數據包。有些高級防火牆可以讓用戶禁止源路由。通常我們的網路都通過一條路徑連接ISP,然後再進入 Internet。這時禁用源路由就會迫使數據包必須沿著正常的路徑返回。
還有,我們需要了解防火牆在拒絕數據包的時候還做了哪些其他工作。比如,防火牆是否向連接發起系統發回了「主機不可到達」的ICMP消息?或者防火牆真沒再做其他事?這些問題都可能存在安全隱患。ICMP「主機不可達」消息會告訴黑客「防火牆專門阻塞了某些埠」,黑客立即就可以從這個消息中聞到一點什麼氣味。如果ICMP「主機不可達」是通信中發生的錯誤,那麼老實的系統可能就真的什麼也不發送了。反過來,什麼響應都沒有卻會使發起通信的系統不斷地嘗試建立連接直到應用程序或者協議棧超時,結果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。
⑷ 在配置ios防火牆特性集中,哪些流量不會被檢測
防火牆已經成為企業網路建設中的一個關鍵組成部分。但有很多用戶,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對NetEye防火牆與業界應用最多、最具代表性的CISCO路由器在安全方面的對比,來闡述為什麼用戶網路中有了路由器還需要防火牆。 一、 兩種設備產生和存在的背景不同 1.兩種設備產生的根源不同 路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。 防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。 2.根本目的不同 路由器的根本目的是:保持網路和數據的"通"。 防火牆根本的的目的是:保證任何非允許的數據包"不通"。 二、核心技術的不同 Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。 下圖是一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-》內 只允許client訪問 server的tcp 1455埠,其他拒絕。 針對現在的配置,存在的安全脆弱性如下: IP地址欺騙(使連接非正常復位) TCP欺騙(會話重放和劫持) 存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上NetEye防火牆,由於NetEye防火牆能夠檢測TCP的狀態,並且可以重新隨機生成TCP的序列號,則可以徹底消除這樣的脆弱性。同時,NetEye 防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本地認證資料庫,可以完全與第三方的認證伺服器進行互操作,並能夠實現角色的劃分。 雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。 三、安全策略制定的復雜程度不同 路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。 NetEye 防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同 路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。 NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。 由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。 五、審計功能的強弱差異巨大 路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。 NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye 防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye 防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye 防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。 六、防範攻擊的能力不同 對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出: 具有防火牆特性的路由器成本 > 防火牆 + 路由器 具有防火牆特性的路由器功能 < 防火牆 + 路由器 具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器 綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求! 即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
⑸ 防水牆與防火牆的區別
防水牆是防止內網信息泄露的,防火牆是介於外網和內網之間,防止內網的信息泄露到外網!
話說,我覺得山麗的防水牆就不錯,功能也很齊全的說!
檔安全需從以下方面來保證:
• 強保密:防止未授權的用戶獲得文檔內容,防止由於存儲設備的遺失、失竊竊造成機密文檔的泄漏。
• 防篡改:防止未授權的用戶篡改文檔內容。
• 可用性:保證授權的用戶能使用機密數據,包括在公司網路內的員工、出差的員工、客戶、合作夥伴。
• 防泄漏:防止授權用戶在獲得文檔後,通過拷貝、移動存儲、網路發送、列印等方式將文檔或文檔內容發送給其它人,造成機密數據的散播。
• 防恢復:防止硬碟等數據載體在維修等脫離管理者視線的情況下,被別有用心的人使用各種恢復工具將看似安全的硬碟變成了安全的噩夢。
文檔安全的直接目的是保證文檔的安全,保證機密的數據只能在安全環境下使用,即便脫離了特定的網路環境也應能控制機密數據的使用。但不能因此對文檔本身的處理效率產生過大影響,改變文檔的使用流程。
山麗防水牆信息安全管理系統(數據防泄漏系統)具備雙重的管理對象:
1、管理的對象首先是計算機本身。比如管理計算機的IT資產、管理計算機的埠和介質、管理計算機的程序使用。
2、管理的對象還需要是計算機上存在的各種密級的文檔。這些文檔才是真正的財富來源。管理的目標之一就是不能防止泄密。
在世界范圍內,各國不斷出具各種法律對信息審計進行管控,其中以美國的SOX法案、日本的暗號化為代表。中國政府通過制定《企業內部控制基本規范》、《等級保護》、《分級保護》等系列法規對不同類型的組織機構進行信息安全的評估管理,一場全面的信息安全普及推廣正在國內有力推動。
山麗防水牆信息安全管理系統是一套得到工信部創新基金支持的產品,該產品應用有7項專利,通過6項資質認證,是一款具有很大價值的數據防泄漏、終端管理產品,在技術點上,該產品占據著制高點,並且有著極大的領先優勢。
山麗防水牆通過數據作者管理、同事管理、夥伴管理、用戶管理、銷毀管理一套數據生命周期管理(DLM)模型,在軟體實施後可以達到技術本質的防泄漏效果。
山麗防水牆通過設備資產管理、埠管理、介質管理、外聯管理、桌面管理、遠程管理一套計算機終端管理模式,在軟體實施後可以達到技術手段的管理效果。
對被保護的電腦,可以做到:
• 外設管理:或禁止,或只讀,或審計;
• 非法外聯:多埠,多設備,有記錄;
• 透明加密:盜走了,拿走了,沒法用;
• 許可權控管:誰能看,誰能印,防篡改;
• 時間期限:可次數,可時間,嚴限制;
• 使用追蹤:誰看過,誰印過,有記錄;
• 生命周期:誰生成,誰共享,誰銷毀;
• 日誌審計:誰設置,誰使用,誰審計。
山麗公司作為一家通過SEI軟體能力成熟度CMMI3級評估的軟體研發企業,同時也是國家雙軟認證企業,公司在北京、上海、廣州設立有營銷機構,在上海、西安、成都設立有研發機構,在深圳、福州、武漢、長沙、南京、杭州、濟南、沈陽、鄭州、長春、哈爾濱設立有產品售後服務技術支持中心(ASC)。通過CMMI3軟體能力成熟度管理模型和PMI項目模型的結合,採用項目總監(經理)、實施總監(經理)負責制的管理方法,以人員現場、800電話、800信息、mail溝通等方式為客戶提供7*24小時的專業服務。
⑹ 如何鑒別硬體防火牆性能的差異
有一些問題常令用戶困惑:在產品的功能上,各個廠商的描述十分雷同,一些「後起之秀」與知名品牌極其相似。面對這種情況,該如何鑒別?描述得十分類似的產品,即使是同一個功能,在具體實現上、在可用性和易用性上,個體差異也十分明顯。 一、網路層的訪問控制 所有防火牆都必須具備此項功能,否則就不能稱其為防火牆。當然,大多數的路由器也可以通過自身的ACL來實現此功能。 1.規則編輯 對網路層的訪問控制主要表現在防火牆的規則編輯上,我們一定要考察:對網路層的訪問控制是否可以通過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則,是否提供了不同時間段的控制手段?規則配置是否提供了友善的界面?是否可以很容易地體現網管的安全意志? 2.IP/MAC地址綁定 同樣是IP/MAC地址綁定功能,有一些細節必須考察,如防火牆能否實現IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規則的訪問是否提供相應的報警機制?因為這些功能非常實用,如果防火牆不能提供IP地址和MAC地址的自動搜集,網管可能被迫採取其他的手段獲得所管轄用戶的IP與MAC地址,這將是一件非常乏味的工作。 3、NAT(網路地址轉換) 這一原本路由器具備的功能已逐漸演變成防火牆的標准功能之一。但對此一項功能,各廠家實現的差異非常大,許多廠家實現NAT功能存在很大的問題:難於配置和使用,這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理,提高自身的網路知識水平,通過分析比較,找到一種在NAT配置和使用上簡單處理的防火牆。 二、應用層的訪問控制 這一功能是各個防火牆廠商的實力比拼點,也是最出彩的地方。因為很多基於免費操作系統實現的防火牆雖然可以具備狀態監測模塊(因為Linux、FreeBSD等的內核模塊已經支持狀態監測),但是對應用層的控制卻無法實現「拿來主義」,需要實實在在的編程。 對應用層的控制上,在選擇防火牆時可以考察以下幾點。 1.是否提供HTTP協議的內容過濾? 目前企業網路環境中,最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火牆的技術實力。 2.是否提供SMTP協議的內容過濾? 對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、泄漏機密信息等等,能否提供基於SMTP協議的內容過濾以及過濾的粒度粗細成了用戶關注的焦點。 3. 是否提供FTP協議的內容過濾? 在考察這一功能時一定要細心加小心,很多廠家的防火牆都宣傳說具備FTP的內容過濾,但細心對比就會發現,其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火牆應該可以對FTP其他所有的命令進行控制,包括CD、LS等,要提供基於命令級控制,實現對目錄和文件的訪問控制,全部過濾均支持通配符。 三、管理和認證 這是防火牆非常重要的功能。目前,防火牆管理分為基於WEB界面的WUI管理方式、基於圖形用戶界面的GUI管理方式和基於命令行CLI的管理方式。 各種管理方式中,基於命令行的CLI方式最不適合防火牆。 WUI和GUI的管理方式各有優缺點。 WUI的管理方式簡單,不用專門的管理軟體,只要配備瀏覽器就行;同時,WUI的管理界面非常適合遠程管理,只要防火牆配置一個可達的IP,可實現在美國管理位於中國分公司的防火牆。 WUI形式的防火牆也有缺點:首先,WEB界面非常不適合進行復雜、動態的頁面顯示,一般的WUI界面很難顯示豐富的統計圖表,所以對於審計、統計功能要求比較苛刻的用戶,盡量不要選擇WUI方式;另外,它將導致防火牆管理安全威脅增大,如果用戶在家裡通過瀏覽器管理位於公司的防火牆,信任關系僅僅依賴於一個簡單的用戶名和口令,黑客很容易猜測到口令,這增加了安全威脅。 GUI是目前絕大多數防火牆普遍採用的方式。這種方式的特點是專業,可以提供豐富的管理功能,便於管理員對防火牆進行配置。但缺點是需要專門的管理端軟體,同時在遠程和集中管理方面沒有WUI管理方式靈活。 四、審計和日誌以及存儲方式 目前絕大多數防火牆都提供了審計和日誌功能,區別是審計的粒度粗細不同、日誌的存儲方式和存儲量不同。 很多防火牆的審計和日誌功能很弱,這一點在那些以DOM、DOC等電子盤(並且不提供網路資料庫支持)為存儲介質的防火牆中體現得尤為明顯,有些甚至沒有區分事件日誌和訪問日誌。如果需要豐富的審計和日誌功能,就需要考察防火牆的存儲方式,如果是DOM、DOC等Flash電子盤的存儲方式,將可能限制審計和日誌的功能效果。 目前絕大多數防火牆審計日誌採用硬碟存儲的方式,這種方式的優點是可以存儲大量的日誌(幾個G到幾十個G),但是在某些極端的情況下,如異常掉電,硬碟受到的損壞往往要比電子盤的損壞嚴重。 好的防火牆應該提供多種存儲方式,便於用戶靈活選擇和使用。 五、如何區分包過濾和狀態監測 一些小公司為了推銷自己的防火牆產品,往往宣稱採用的是狀態監測技術; 從表面上看,我們往往容易被迷惑。這里給出區分這兩種技術的小技巧。 1. 是否提供實時連接狀態查看? 狀態監測防火牆可以提供查看當前連接狀態的功能和界面,並且可以實時斷掉當前連接,這個連接應該具有豐富的信息,包括連接雙方的IP、埠、連接狀態、連接時間等等,而簡單包過濾卻不具備這項功能。 2. 是否具備動態規則庫? 某些應用協議不僅僅使用一個連接和一個埠,往往通過一系列相關聯的連接完成一個應用層的操作。比如FTP協議,用戶命令是通過對21埠的連接傳輸,而數據則通過另一個臨時建立的連接(預設的源埠是20,在PASSIVE模式下則是臨時分配的埠)傳輸。對於這樣的應用,包過濾防火牆很難簡單設定一條安全規則,往往不得不開放所有源埠為20的訪問。 狀態監測防火牆則可以支持動態規則,通過跟蹤應用層會話的過程自動允許合法的連接進入,禁止其他不符合會話狀態的連接請求。對於FTP來說,只需防火牆中設定一條對21埠的訪問規則,就可以保證FTP傳輸的正常,包括PASSIVE方式的數據傳輸。
⑺ 防火牆和路由器有何區別
一、兩種設備產生和存在的背景不同 ①兩種設備產生的根源不同
路由器的產生是基於對網路數據包路由而產生的。路由器需要完成的是將不同網路的數據包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網路造成危害。
②根本目的不同
路由器的根本目的是:保持網路和數據的「通」。
防火牆根本的的目的是:保證任何非允許的數據包「不通」。
二、核心技術的不同
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的應用級信息流過濾。
簡單應用介紹:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的埠為tcp 1455)。為了保證安全性,在路由器上需要配置成:外->內只允許client訪問 server的tcp 1455埠,其他拒絕。
針對現在的配置,存在的安全脆弱性如下: 1、IP地址欺騙(使連接非正常復位) 2、TCP欺騙(會話重放和劫持)
三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
雖然,路由器的「Lock-and-Key」功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的埠為黑客創造了機會)。 三、安全策略制定的復雜程度不同
路由器的默認配置對安全性的考慮不夠,需要一些高級配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較復雜,配置出錯的概率較高。
NetEye防火牆的默認配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。 四、對性能的影響不同
路由器是被設計用來轉發數據包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和內存的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。
NetEye防火牆的硬體配置非常高(採用通用的INTEL晶元,性能高且成本低),其軟體也為數據包的過濾進行了專門的優化,其主要模塊運行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行數據包過濾的性能非常高。
由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而NetEye防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。
五、審計功能的強弱差異巨大
路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌伺服器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃描等操作不能夠產生准確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、准確的響應。 NetEye防火牆的日誌存儲介質有兩種,包括本身的硬碟存儲,和單獨的日誌伺服器;針對這兩種存儲,NetEye防火牆都提供了強大的審計分析工具,使管理員可以非常容易分析出各種安全隱患;NetEye防火牆對安全事件的響應的及時性,還體現在他的多種報警方式上,包括蜂鳴、trap、郵件、日誌;NetEye防火牆還具有實時監控功能,可以在線監控通過防火牆的連接,同時還可以捕捉數據包進行分析,非分析網路運行情況,排除網路故障提供了方便。 六、防範攻擊的能力不同
對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟體的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高級安全功能。可以得出:
☆具有防火牆特性的路由器成本——防火牆 + 路由器 ☆具有防火牆特性的路由器功能 ☆具有防火牆特性的路由器可擴展性
綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與復雜、用戶應用程序的難易程度不是決定是否應該使用防火牆的標准,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!
即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較復雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
⑻ 如何提高防火牆的可靠性
防火牆是系統的第一道防線,其作用是防止非法用戶的進入。在工業環境中,對串聯在網路中的設備的穩定性、健壯性以及安全性的要求非常高,從而對部署在工業網路中的防火牆有了更多的要求。
傳統是一台物理設備上部署一個防火牆系統,並以單個進程或多個進程的運行形態方式,一旦因為設備軟體bug或外部攻擊導致防火牆系統奔潰,會導致業務中斷。此外不同的業務特徵,對安全性的要求也不同,故而對防火牆安全處理的要求也不同。傳統提高網路健壯性、減少業務中斷概率的方法是雙機熱備或多機部署。而解決不同業務安全性的通用做法,是部署不同的安全設備。這種方式弊端在於:需要一次性買兩台或多台防火牆,對於業務流量帶寬不高而業務多樣化的應用場景下,會造成資源浪費;而且組網和管理維護復雜,兩個物理防火牆之間一旦備份不及時,也會導致業務中斷問題,此外對網管人員要求也較高。
因此,在用戶對帶寬需要不高,且業務靈活多樣性的情況以及工業等網路中對防火牆設備要求高穩定、可靠性的應用場合的需求,由目前解決方案導致的前期投入大和維護成本高,而且會造成資源浪費。
技術實現要素:
發明提供的實現高可靠安全性的防火牆系統,其主要目的在於克服現有由目前解決方案導致的前期投入大和維護成本高,而且會造成資源浪費的問題。
為解決上述技術問題,發明採用如下技術方案:
一種實現高可靠安全性的防火牆系統,包括配置於一台物理設備上的管理子防火牆和至少兩個業務子防火牆;所述物理設備具有多核cpu;
每個子防火牆均單獨與cpu核進行綁定,且相互之間的進程獨自運行;
每個所述業務子防火牆,與所述管理子防火牆連接,啟用進程處理業務,並根據預設的安全檢測樹控制業務的數據包進出;
所述管理子防火牆,通過心跳機制對每個業務子防火牆進行管理;在監控到某個業務子防火牆的CPU使用率高於第一閾值時,將該業務子防火牆的進程調度到CPU使用率低於第二閾值的業務子防火牆中運行。
作為一種可實施方式,所述管理子防火牆還用於,在監控到某個業務子防火牆奔潰時,將該業務子防火牆的進程調度到CPU使用率低於第二閾值的業務子防火牆中運行。
作為一種可實施方式,所述安全檢測樹是由與每個子防火牆進程配置的安全規則在內存中編譯創建的。
作為一種可實施方式,每兩個所述業務子防火牆組成一個備份組;備份組中的業務子防火牆採用相同的安全檢測樹。
作為一種可實施方式,在一個備份組中,每個業務子防火牆均會創建共享內存用於存儲對應的轉發表數據。
作為一種可實施方式,所述轉發表數據包括路由表、arp表以及會話表。
作為一種可實施方式,所述業務子防火牆包括第一防護防火牆、第二防護防火牆以及第三防護防火牆;
所述第一防護防火牆,與工業報文的網卡連接;
所述第二防護防火牆,與資料庫的網卡連接;
所述第三防護防火牆,與企業辦公上網的網卡連接。
作為一種可實施方式,所述第一防護防火牆為備份組的防火牆。
作為一種可實施方式,所述管理子防火牆,與管理報文的網卡連接。