电脑防火墙根底学问防火墙能增加机构内部网络的平安性。防火墙系统确定了哪些内部效劳可以被外界访问;外界的哪些人可以访问内部的效劳以及哪些外部效劳可以被内部人员访问。防火墙必需只允许授权的数据通过,而且防火墙本身也必需能够免于渗透。 防火墙的五大功能 一般来说,防火墙具有以下几种功能: 1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2.可以很便利地监视网络的平安性,并报警。 3.可以作为部署 NAT〔Network Address Translation,网络地址变换〕的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。 4.是审计和记录 Internet 使用费用的一个最正确地点。网络管理员可以在此向管理部门供应 Internet 连接的费用状况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式供应部门级的计费。 两种防火墙技术的比照 包过滤防火墙 优点 价格较低 性能开销小,处理速度较快缺点 定义冗杂,简洁消灭因配置不当带来问题 允许数据包直接通过,简洁造成数据驱动式攻击的潜在危险 代理防火墙 内置了特地为了提高平安性而编制的 Proxy 应用程序,能够透彻地理解相关效劳的指令,对来往的数据包进展平安化处理 速度较慢,不太适用于高速网〔ATM 或千兆位以太网等〕之间的应用 5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署效劳器和 FTP 效劳器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区〔DMZ〕。 防火墙的两大分类 尽管防火墙的进展经过了上述的几代,但是依据防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙〔应用层网关防火墙〕。前者以以色列的 Checkpoint 防火墙和 Cisco 公司的 PIX 防火墙为代表,后者以美国 NAI 公司的 Gauntlet 防火墙为代表。 1.包过滤防? 第一代:静态包过滤 这种类型的防火墙依据定义好的过滤规那么审查每个数据包,以便确定其是否与某一条包过滤规那么匹配。过滤规那么基于数据包的报头信息进展制订。报头信息中包括 IP 源地址、IP 目标地址、传输协议(TCP、UDP、ICMP 等等)、TCP/UDP 目标端口、ICMP 消息类型等。包过滤类型的防火墙要遵循的一条根本原那么是“最小特权原那么〞,即明确允许那些管理员期望通过的数据包,制止其他的数据包。 图 4 自适应代理防火墙 在自适...
