防火墙 (网络)
维基百科,自由的百科全书
在電腦運算中,防火墙是一块硬件或软件,在联网环境中发挥作用,以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。
網路安全分析人員之間區別:
一個個人防火牆, 通常軟件應用過濾資訊進入或留下一臺電腦; 和: 一個傳統防火牆, 通常跑在一臺專用的網路設備或電腦被安置在兩個或更多網路或DMZs (解除軍事管制區域) 界限。 這樣防火牆過濾所有資訊進入或留下被連接的網路。 後者定義對應於"防火牆" 的常規意思在網路, 和下面會談談這類型防火牆。 以下是兩個主要類別防火牆: 網路層防火牆和 應用層防火牆。 這兩類型防火牆也許重疊; 的確, 單一系統會兩個一起實施。
目录 |
[编辑] 防火牆的種類
[编辑] 網路層防火牆
網絡層防火牆運作在(比較低)水平的TCP/IP協定堆栈作為IP封包過濾器,不准許封包去通過防火牆除非它們符合規則。防火牆管理員可以規定一些規則,或者缺省固定規則也許實施(在一些不可改變的防火牆系統)。一個寬容的方案可以容許任何封包去通過過濾器只要它不匹配一個或多個「負面規則」或者「否定規則」。今日的網絡防火牆是建立在多數的電腦運作系統或網絡設備。
[编辑] 應用層防火牆
應用層防火牆應用水平研究在TCP/ IP的堆疊(即所有瀏覽器交通, 或所有telnet 或ftp 交通), 並且願攔截所有小包移動到或從應用。 他們阻攔其它小包(通常阻攔他們沒有由發令者承認) 。 原則上, 應用防火牆可能防止所有不需要的外部流量到達被保護的機器。 由檢查所有小包不正當的內容, 防火牆可能甚至防止像電腦病毒的傳播。 但是實踐上, 這成為因此全面防火牆設計一般不試圖這種方法的複合體和很難試圖(給應用品種和內容變化每個也許允許在它的小包流量) 。 XML 防火牆舉例證明一種最近應用層防火牆。
代理設備(運行或在熱忱的硬體或作為軟體在一個通用機器) 也許作為防火牆由反應輸入小包(連接請求, 例如) 以應用的方式, 阻攔其它小包。
代理由外在網路使竄改一個內部系統更加困難, 並且一個內部系統誤用不一定會導致一個安全漏洞可開採從防火牆外面(只要應用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的; 代理人然後偽裝作為那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。
防火牆經常有網路地址轉換(NAT) 的功能, 並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」, 依照被定義在[RFC 1918] 。 管理員經常設定了這樣情節在努力(無定論的有效率) 假裝內部地址或網路。
防火牆的適當的配置要求技巧和機智。 它要求對網路協議的可觀的理解和對電腦安全。 小差錯可能使防火牆不值得作為安全工具。
[编辑] 参看
- 计算机安全
