简述个人防火墙的主要功能及应用特点
一、防火墙能够作到些什么? 1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。 早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。 通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。 2.包的透明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。 如果用示意图来表示就是Server—FireWall—Guest。 用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。 4.记录攻击 如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。 以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。 二、防火墙有哪些缺点和不足? 1.防火墙可以阻断攻击,但不能消灭攻击源。 “各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。 互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。 设置得当的防火墙能够阻挡他们,但是无法清除攻击源。 即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。 例如接主干网10M网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。 那么,即使成功设置了防火墙后,这512K的攻击流量依然不会有丝毫减少。 2.防火墙不能抵抗最新的未设置策略的攻击漏洞 就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。 防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。 如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。 3.防火墙的并发连接数限制容易导致拥塞或者溢出 由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。 而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。 4.防火墙对服务器合法开放的端口的攻击大多无法阻止 某些情况下,攻击者利用服务器提供的服务进行缺陷攻击。 例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。 由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。 5.防火墙对待内部主动发起连接的攻击一般无法阻止 “外紧内松”是一般局域网络的特点。 或许一道严密防守的防火墙内部的网络是一片混乱也有可能。 通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。 另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。 6.防火墙本身也会出现问题和受到攻击 防火墙也是一个os,也有着其硬件系统和软件,因此依然有着漏洞和bug。 所以其本身也可能受到攻击和出现软/硬件方面的故障。 7.防火墙不处理病毒 不管是funlove病毒也好,还是CIH也好。 在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。 看到这里,或许您原本心目中的防火墙已经被我拉下了神台。 是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。 “真正的安全是一种意识,而非技术!”请牢记这句话。 不管怎么样,防火墙仍然有其积极的一面。 在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。 那么,怎么选择需要的防火墙呢? 防火墙的分类 首先大概说一下防火墙的分类。 就防火墙(本文的防火墙都指商业用途的网络版防火墙,非个人使用的那种)的组成结构而言,可分为以下三种: 第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。 软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 第二种:硬件防火墙 这里说的硬件防火墙是指所谓的硬件防火墙。 之所以加上"所谓"二字是针对芯片级防火墙说的了。 它们最大的差别在于是否基于专用的硬件平台。 目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。 在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到os本身的安全性影响。 国内的许多防火墙产品就属于此类,因为采用的是经过裁减内核和定制组件的平台,因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等,其实是一个概念误导,下面我们提到的第三种防火墙才是真正的os专用。 第三种:芯片级防火墙 它们基于专门的硬件平台,没有操作系统。 专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。 做这类防火墙最出名的厂商莫过于Screen.其他的品牌还有Forti,算是后起之秀了。 这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少,不过价格相对比较高昂,所以一般只有在“确实需要”的情况下才考虑。 在这里,特别纠正几个不正确的观念: 1.在性能上,芯片级防火墙》硬件防火墙》软件防火墙。 在价格上看来,的确倒是如此的关系。 但是性能上却未必。 防火墙的“好”,是看其支持的并发数、最大流量等等性能,而不是用软件硬件来区分的。 事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是完全一样的。 目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙,原因1是考虑到用户网络管理员的素质等原因,还有就是基于我国大多数民众对“看得见的硬件值钱,看不到的软件不值钱”这样一种错误观点的迎合。 不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让自己那加上了外壳的普通pc+一个被修改后的内核+一套防火墙软件能够卖出一个好价钱来而已。 而为什么不作芯片级防火墙呢?坦白说,国内没有公司有技术实力。 而且在中国市场上来看,某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。 看看国内XX的硬件防火墙那拙劣的硬盘和网卡,使用过的人都能猜到是哪家,我就不点名了。 真正看防火墙,应该看其稳定性和性能,而不是用软、硬来区分的。 至少,如果笔者自己选购,我会选择购买CheckPoint而非某些所谓的硬件防火墙的。 2.在效果上,芯片防火墙比其他两种防火墙好 这同样也是一种有失公允的观点。 事实上芯片防火墙由于硬件的独立,的确在OS本身出漏洞的机会上比较少,但是由于其固化,导致在面对新兴的一些攻击方式时,无法及时应对;而另外两种防火墙,则可以简单地通过升级os的内核来获取系统新特性,通过灵活地策略设置来满足不断变化的要求,不过其OS出现漏洞的概率相对高一些。 3.唯技术指标论 请以“防火墙买来是使用的”为第一前提进行购买。 防火墙本身的质量如何是一回事,是否习惯使用又是另一回事。 如果对一款产品的界面不熟悉,策略设置方式不理解,那么即使用世界最顶级的防火墙也没有多大作用。 就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到,肯定也敌不过乔峰赤手的少林长拳是一般道理。 防火墙技术发展至今,市场已经很成熟了,各类产品的存在,自然有其生存于市场的理由。 如何把产品用好,远比盲目地比较各类产品好。 IDS 什么是IDS呢?早期的IDS仅仅是一个监听系统,在这里,你可以把监听理解成窃听的意思。 基于目前局网的工作方式,IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。 再后来,由于IDS的记录太多了,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录,这一点上跟目前windows所用的策略审核上很象;目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加;而更新一代的IDS,就颇有“路见不平,拔刀相助”的味道了,配合上防火墙进行联动,将IDS分析出有敌意的地址阻止其访问。 就如理论与实际的区别一样,IDS虽然具有上面所说的众多特性,但在实际的使用中,目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前行为,并且IDS的阻断范围也很小,只能阻断建立在TCP基础之上的一些行为,如Tel、FTP、HTTP等,而对于一些建立在UDP基础之上就无能为力了。 因为防火墙的策略都是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全,所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度。 接下来,我简单介绍一下IDS与防火墙联动工作原理 入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。 一般来说,很多情况下,不少用户的防火墙与IDS并不是同一家的产品,因此在联动的协议上面大都遵从opsec或者topsec协议进行通信,不过也有某些厂家自己开发相应的通信规范的。 目前总得来说,联动有一定效果,但是稳定性不理想,特别是攻击者利用伪造的包信息,让IDS错误判断,进而错误指挥防火墙将合法的地址无辜屏蔽掉。 因为诸多不足,在目前而言,IDS主要起的还是监听记录的作用。 用个比喻来形容:网络就好比一片黑暗,到处充满着危险,冥冥中只有一个出口;IDS就象一支手电筒,虽然手电筒不一定能照到正确的出口,但至少有总比没有要好一些。 称职的网管,可以从IDS中得到一些关于网络使用者的来源和访问方式,进而依据自己的经验进行主观判断(注意,的确是主观判断。 例如用户连续ping了服务器半个小时,到底是意图攻击,还是无意中的行为?这都依据网络管理员的主观判断和网络对安全性的要求来确定对应方式。 )对IDS的选择,跟上面谈到的防火墙的选择类似,根据自己的实际要求和使用习惯,选择一个自己够用的,会使用的就足够了。 最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。 ”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。
瑞星个人防火墙安装与使用
在瑞星防毒软体2004版中除了防毒软体外,还有瑞星个人防火墙软体;瑞星个人防火墙为我们的计算机提供全面的保护,有效地监控任何网路连线。下面是我跟大家分享的是,欢迎大家来阅读学习~
一、应用环境及语言支援
软体环境
Windows作业系统:Windows 95/98/Me/NT/2000/XP/2003
硬体环境
CPU:奔腾166MMX以上
记忆体:64MB以上
显示卡:标准VGA,24位真彩色
其它:光碟机、软碟机、滑鼠
语言支援
支援简体中文、繁体中文、英语和日语四种语言,其中英语可以在所有语言Windows平台上工作。瑞星个人防火墙将来还会支援更多的语言。
二、安装瑞星个人防火墙
第一步:启动计算机并进入中文Windows***95/98/Me/NT/2000/XP/2003***系统;
第二步:
***1***从光碟安装:将瑞星防毒软体光碟放入光碟机,系统会自动显示安装介面***如图1***,选择【安装瑞星个人防火墙】。
图1
***2***从下载的安装包安装:执行Rfw.exe,则开始执行瑞星安装程式。
第三步:安装程式弹出语言选择框,选择您需要安装的语言版本***如图2***,按【确定】进入安装程式欢迎介面***如图3***;
图2
相关文章:1.瑞星个人防火墙安装过程
2.瑞星个人防火墙“安装包”安装过程
3.怎么安装瑞星个人防火墙
4.瑞星个人防火墙如何下载
5.如何制作瑞星个人防火墙2017版安装包
6.瑞星个人防火墙怎么解除安装
个人用户所使用的防火墙产品主要是以什么存在
个人用户所使用的防火墙产品主要是以软、硬件存在。
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
基本定义:
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大;
在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。
个人用户所使用的防火墙产品主要是以什么的形式存在
个人用户所使用的防火墙产品主要是以软、硬件的形式存在。
个人用户防火墙从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。从防火墙技术分为“包过滤型”和“应用代理型”两大类。
从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。按防火墙性能分为百兆级防火墙和千兆级防火墙两类。
防火墙的类型
1、网络防火墙
网络防火墙的产品特点是部署在不同安全域之间,解析和过滤经过防火墙的数据流,具备网络层访问控制及过滤功能的网络安全产品。
2、Web应用防火墙
Web应用防火墙的产品特点是根据预先定义的过滤规则和安全防护规则,对所有访问Web服务器的HTTP请求和服务器响应进行HTTP协议和内容过滤,并对Web服务器和Web应用提供安全防护的网络安全产品。
3、数据库防火墙
数据库防火墙的产品特点是基千数据库协议分析与控制技术,可实现对数据库的访问行为控制和危险操作阻断的网络安全产品。
怎么开启个人防火墙
问题一:怎样改变个人防火墙设置啊 启动瑞星个人防火墙软件主程序有两种方法: 第一种方法: 进入【开始】/【程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动(如图10); 第二种方法: 用鼠标双击桌面上的【瑞星个人防火墙】快捷图标 即可启动。( 四、界面及菜单说明 1、防火墙主界面 瑞星个人防火墙主界面包括【日志】、【选项】和【帮助】等选项,此外,还有方便快捷的操作按钮(如图12): 菜单栏:用于进行菜单操作的窗口,包括【日志】、【选项】和【帮助】三个菜单; 设置标签:【当前日志】、【应用程序】、【游戏保护】通过选择标签,列表将显示具体的设定记录或程序列表; 操作按钮:防火墙的基本操作按钮,包括【断开连接】/【连接网络】,【启动】/【停止】,【选项】按钮。 状态栏:在此状态栏中显示了当前防火墙的状态; 网络状态显示:『拒收』、『收到』、『拒发』、『发出』,4种网络连接的状态的显示。 在主界面中,按下【断开连接】按钮,那么您的计算机将完全与网络断开,就好象拔掉了网线或是关掉了Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法(譬如有人频繁的变换形式对您的计算机进行攻击时,这样做往往是最直接有效的办法)。 注意:改变规则设置后,只有重新启动服务才能使最新的防火墙规则生效。重新启动服务的方法是:在主界面中,先选择【停止】,再选择【启动】。 (1)【日志】菜单(如图13) 【显示】:显示日志; 【清除】:清除日志; 【导出】:导出日志; (2)【选项】菜单 【设置】:可进行安全级别设置、IGMP设置、警告设置、以及普通选项和启动选项的设置; 【规则设置】:选择此项后可进行防火墙规则的添加和修改; 【恢复缺省规则】:选择此项可将现有的规则恢复到初始规则。 【日志设置】:可进行日志记录自动保存设置 【语言设置】:可选择中文简体、日本语、English和中文繁体四种界面语言; 【外观设置】:考虑到不同用户使用的计算机的差异,以及不同的使用习惯,此功能为用户提供了多种界面; 问题二:如何设置WINDOWS防火墙或者个人防火墙 win个人防火墙设置方法一 1.常规选项卡 在Windows防火墙控制台“常规”选项卡中有两个主选项:启用(推荐)和关闭(不推荐),一个子选项“不允许例外”。如果选择了不允许例外,Windows防火墙将拦截所有的连接用户计算机的网络请求 包括在例外选项卡列表中的应用程序和系统服务。另外,防火墙也将拦截文件和打印机共享,还有网络设备的侦测。使用不允许例外选项的Windows防火墙简直就完全“闭关”了,比较适用于“高危”环境,如餐馆、宾馆和机场等场所连接到公共网络上的个人计算机。 2.例外选项卡 某些程序需要对外通讯,就可以把它们添加到“例外”选项卡中,这里的程序将被特许可以提供连接服务,即可以监听和接受来自网络上的连接。 在“例外”选项卡界面下方有两个添加按钮,分别是:“添加程序”和“添加端口”,可以根据具体的情况手工添加例外项。如果不清楚某个应用程序是通过哪个端口与外界通信,或者不知道它是基于UDP还是TCP的,可以通过“添加程序”来添加例外项。例如要允许Windows Messenger通信,则点击“添加程序”按钮,选择应用程序“C:\Program Files\ Messenger\Messenger\m *** sgs.exe”,然后点击“确定”把它加入列表。 如果对端口号以及TCP/UDP比较熟悉,则可以采用后一种方式,即指定端口号的添加方式。对于每一个例外项,可以通过“更改范围”指定其作用域。对于家用和小型办公室应用网络,推荐设置作用域为可能的本地网络。当然,也可以自定义作用域中的IP范围,这样只有来自特定的IP地址范围的网络请求才能被接受。 3.高级选项卡 在“高级”选项卡中包含了网络连接设置、安全记录、ICMP设置和还原默认设置四组选项,可以根据实际情况进行配置。 网络连接设置 这里可以选择Windows防火墙应用到哪些连接上,当然也可以对某个连接进行单独的配置,这样可以使防火墙应用更灵活。 安全记录 新版Windows防火墙的日志记录与ICF大同小异,日志选项里面的设置可以记录防火墙的跟踪记录,包括丢弃和成功的所有事项。在日志文件选项里,可以更改记录文件存放的位置,还可以手工指定日志文件的大小。系统默认的选项是不记录任何拦截或成功的事项,而记录文件的大小默认为4MB。 ICMP设置 Internet控制消息协议(ICMP)允许网络上的计算机共享错误和状态信息。在ICMP设置对话框中选定某一项时,界面下方会显示出相应的描述信息,可以根据需要进行配置。在缺省状态下,所有的ICMP都没有打开。 默认设置 如果要将所有Windows防火墙设置恢复为默认状态,可以单击右侧的“还原为默认值”按钮。 win个人防火墙设置方法(端口)二 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。 关闭/开启端口 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的2......》》 问题三:电脑连不上网,说是设置了个人防火墙,应该怎么取消掉 打开网络设置,在控制面板那里 问题四:如何开启个人防火墙的私人信息提交功能? 用瑞星防火墙・ 问题五:你的电脑上所安装的个人防火墙软件拦截了你的验证信息,系统无法验证你是否合法! 请开启个人防火墙的私 20分 电脑的防火墙打开方法(以WIN7为例): 1、打开控制面板,打开防火墙点击; 2、防火墙页面中左边,点击打开或关闭防火墙; 3、选择开启防火墙即可; 问题六:手机上怎样开启个人防火墙的私人信息提交功能或者暂时屏蔽防火墙 在短信拦截选项的设置中禁用即可。 问题七:网吧防火墙怎么开启 网吧防火墙是网络安全的重要保证,出现故障问题也是在所难免的事情,windows防火墙无法启动的情况时有发生。作为网吧热点,如何解决网吧windows防火墙无法启动的问题,具体的方法如下。 1、安全中心被关闭: 防火墙启用的选项变成灰色,无法启用,并用提示“由于安全考虑,某些设置由组策略控制” 运行services.msc打开“服务” 将SecurityCenter设为自动,并且启用。 将WindowsFirewall/InternetConnectionSharing(ICS)设为自动并且启用。 将ApplicationLayerGatewayService设为自动并且启用。 如果仍然不能启用防火墙,执行以下步骤: 运行regedit.exe打开注册表,删除下面两项:HKEY_LOCAL_MACHINE\SOFTWARE \Policies\Microsoft\WindowsFirewall HKEY_CURRENT_USER\ SOFTWARE\Policies\Microsoft\WindowsFirewall 在服务中重启WindowsFirewall/InternetConnectionSharing(ICS),如果继续提示“由于安全考虑,某些设置由组策略控制”,不会影响使用。 2、系统文件丢失: 要解决此问题,方法:调用“安装APIInstallHinfSection”函数以安装Windows防火墙,要安装Windows防火墙,请按照下列步骤: 1.单击开始,单击运行,类型cmd然后单击确定。 2.在命令提示符下,键入以下命令行,回车: Rundll32setupapi,InstallHinfSectionNdi-Steelhead132%windir%\inf\netrass.inf 3.重新启动计罚机 4.单击开始-运行(快捷键Windows+R),输入cmd,确定。 5.在命令提示符,键入以下命令:Netshfirewallreset,回车。 6.单击开始-运行,输入firewall.cpl,回车。 7.在Windows防火墙对话框中单击On(推荐),确定。 问题八:如何设置允许软件通过防火墙 1、Windows2008R2系统防火墙在,控制面板里面去找(还可以到服务器管理器里面找) 2、点击进入08防火墙设置选项卡,注意一下【高级设置】里面去设置 3、在防火墙设置右上方,有【创建规则】 4、入站规则 进入规则向导页面,如图选择【端口】类型 5、本案例以开放webmail自定义端口为例,选择特定端口如8008 6、操作设置 然后在操作设置里面,选择【允许连接】 7、安全域选择 接下来就是重点了,需要允许应用到的规则域区域。建议全部选择, 8、然后是规则的名称,可以任意取名。建议加上备注,比如XX服务器XX应用 9、检查配置(出站和入站的区别就是端口的指向) 设置好之后,如图点击入站规则里面查看。可以看到刚刚的配置设置 10、出站规则 出站规则设置方法是一样的,注意一下。协议类型,有TCP. UDP 你可以选择所有及 ALL类型 11、测试端口 设置好服务器防火墙端口开放之后,再内网的还需要在路由器上设置映射。可以通过站长工具在线测试 问题九:电脑连不上网,说是设置了个人防火墙,应该怎么取消掉 防火墙开关位置:开始--控制面板--windows防火墙--打开或关闭防火墙 我估计这跟防火墙没什么关系,应该是你的网络连接问题。 问题十:如何设置电脑防火墙 控制面板/安全中心/Windows防火墙/点选“启用”按确定就可以了,不用特殊设置,就是默认设置,如果设置不对容易出现错误,这样你可以按“高级”,按场面的还原默认设置按确定即可。
win10系统下怎样卸载瑞星个人防火墙|win10系统卸载瑞星个人防火墙的两种方法
不少windows10系统用户都反馈自己电脑中的瑞星个人防火墙防护性太强了,常常会影响到日常使用,因此就希望能够对其进行卸载,这该如何操作呢?下面,就让小编给大家介绍下瑞星个人防火墙的具体卸载方法吧。推荐:win10系统下载32位方法一:1、点击开始菜单,找到修复瑞星个人防火墙这个软件的功能选项;2、启动该程序,在软件界我们选择第三个选项:“卸载”;3、点击“卸载”,然后点击下一步,下一步,输入验证码;4、瑞星个人防火墙软件已成功卸载,建议大家一定要注意重新启动计算机,这样就可以保证软件的残余信息被彻底删除。方法二:我们从电脑的控制面板进行删除1、单击“开始”菜单,然后再单击“控制面板”;2、在“控制面板”窗口,单击“添加或删除程序”图标;3、在“添加或删除程序”窗口,从右边的列表中找到“瑞星个人防火墙”,单击“更改/删除”按钮;4、在“瑞星个人防火墙”窗口,确保“卸载(U)”项被选中,再单击“下一步(N)”按钮;5、在“安装信息”窗口,确定“保留用户配置文件”项是否需要选择,然后再点“下一步(N)”按钮;6、在“请输入验证码”窗口,输入验证码,然后再点“下一步(N)”按钮;7、在“结束”窗口,建议不选中“重新启动电脑(R)”,然后按“完成(F)”按钮。这样就完成了“瑞星个人防火墙”的卸载操作。win10系统卸载瑞星个人防火墙的两种方法就为大家介绍到这里了。这个方法并不复杂,相信知道只要操作一遍,就能很快学会!
防火墙的分类与优缺点知识
网路安全成为当今最热门的话题之一,很多企业为了保障自身伺服器或资料安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。欢迎大家阅读
一、防火墙的基本分类
1.包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网路包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网路介面卡或介面。例如,作为防火墙的装置可能有两块网络卡NIC,一块连到内部网路,一块连到公共的Internet。防火墙的任务,就是作为“通讯警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,检视包中可用的基本资讯源地址和目的地址、埠号、协议等。然后,将这些资讯与设立的规则相比较。如果已经设立了阻断telnet连线,而包的目的埠是23的话,那么该包就会被丢弃。如果允许传入Web连线,而目的埠为80,则包就会被放行。
多个复杂规则的组合也是可行的。如果允许Web连线,但只针对特定的伺服器,目的埠和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:
对来自专用网路的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部资讯。这条规则可以防止网路内部的任何人通过欺骗性的源地址发起攻击。而且,如果黑客对专用网路内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网路内部发起攻击。
在公共网路,只允许目的地址为80埠的包通过。这条规则只允许传入的连线为Web连线。这条规则也允许与Web连线使用相同埠的连线,所以它并不是十分安全。
丢弃从公共网路传入的包,而这些包都有你的网路内的源地址,从而减少IP欺骗性的攻击。
丢弃包含源路由资讯的包,以减少源路由攻击。要记住,在源路由攻击中,传入的包包含路由资讯,它覆盖了包通过网路应采取得正常路由,可能会绕过已有的安全程式。通过忽略源路
2.状态/动态检测防火墙
状态/动态检测防火墙,试图跟踪通过防火墙的网路连线和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通讯。它是在使用了基本包过滤防火墙的通讯上应用一些技术来做到这点的。
当包过滤防火墙见到一个网路包,包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的资讯,如源地址、目的地址、埠号等。包中没有包含任何描述它在资讯流中的位置的资讯,则该包被认为是无状态的;它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的资讯。为了跟踪包的状态,防火墙还记录有用的资讯以帮助识别包,例如已有的网路连线、资料的传出请求等。
例如,如果传入的包包含视讯资料流,而防火墙可能已经记录了有关资讯,是关于位于特定IP地址的应用程式最近向发出包的源地址请求视讯讯号的资讯。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通讯,而允许所有传出的通讯。因为防火墙跟踪内部出去的请求,所有按要求传入的资料被允许通过,直到连线被关闭为止。只有未被请求的传入通讯被截断。
如果在防火墙内正执行一台伺服器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。例如,可以将防火墙配置成只允许从特定埠进入的通讯,只可传到特定伺服器。如果正在执行Web伺服器,防火墙只将80埠传入的通讯发到指定的Web伺服器。
状态/动态检测防火墙可提供的其他一些额外的服务有:
将某些型别的连线重定向到稽核服务中去。例如,到专用Web伺服器的连线,在Web伺服器连线被允许之前,可能被发到SecutID伺服器用一次性口令来使用。
拒绝携带某些资料的网路通讯,如带有附加可执行程式的传入电子讯息,或包含ActiveX程式的Web页面。
跟踪连线状态的方式取决于包通过防火墙的型别:
TCP包。当建立起一个TCP连线时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连线企图,除非已经建立起某条特定规则来处理它们。对内部的连线试图连到外部主机,防火墙注明连线包,允许响应及随后再两个系统之间的包,直到连线结束为止。在这种方式下,传入的包只有在它是响应一个已建立的连线时,才会被允许通过。
UDP包。UDP包比TCP包简单,因为它们不包含任何连线或序列资讯。它们只包含源地址、目的地址、校验和携带的资料。这种资讯的缺乏使得防火墙确定包的合法性很困难,因为没有开启的连线可利用,以测试传入的包是否应被允许通过。可是,如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连线请求匹配,该包就被允许通过。和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包,情况和UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的型别,然后对照储存过的资讯核对传入的包,以确保这些包是被请求的。
由资讯,防火墙可以减少这种方式的攻击。
3.应用程式代理防火墙
应用程式代理防火墙实际上并不允许在它连线的网路之间直接通讯。相反,它是接受来自内部网路特定使用者应用程式的通讯,然后建立于公共网路伺服器单独的连线。网路内部的使用者不直接与外部的伺服器通讯,所以伺服器不能直接访问内部网的任何一部分。
另外,如果不为特定的应用程式安装代理程式程式码,这种服务是不会被支援的,不能建立任何连线。这种建立方式拒绝任何没有明确配置的连线,从而提供了额外的安全性和控制性。
例如,一个使用者的Web浏览器可能在80埠,但也经常可能是在1080埠,连线到了内部网路的HTTP代理防火墙。防火墙然后会接受这个连线请求,并把它转到所请求的Web伺服器。
这种连线和转移对该使用者来说是透明的,因为它完全是由代理防火墙自动处理的。
代理防火墙通常支援的一些常见的应用程式有:
HTTP
HTTPS/SSL
SMTP
POP3
IMAP
NNTP
TELNET
FTP
IRC
应用程式代理防火墙可以配置成允许来自内部网路的任何连线,它也可以配置成要求使用者认证后才建立连线。要求认证的方式由只为已知的使用者建立连线的这种限制,为安全性提供了额外的保证。如果网路受到危害,这个特征使得从内部发动攻击的可能性大大减少。
4.NAT
讨论到防火墙的主题,就一定要提到有一种路由器,尽管从技术上讲它根本不是防火墙。网路地址转换NAT协议将内部网路的多个IP地址转换到一个公共地址发到Internet上。
NAT经常用于小型办公室、家庭等网路,多个使用者分享单一的IP地址,并为Internet连线提供一些安全机制。
当内部使用者与一个公共主机通讯时,NAT追踪是哪一个使用者作的请求,修改传出的包,这样包就像是来自单一的公共IP地址,然后再开启连线。一旦建立了连线,在内部计算机和Web站点之间来回流动的通讯就都是透明的了。
当从公共网路传来一个未经请求的传入连线时,NAT有一套规则来决定如何处理它。如果没有事先定义好的规则,NAT只是简单的丢弃所有未经请求的传入连线,就像包过滤防火墙所做的那样。
可是,就像对包过滤防火墙一样,你可以将NAT配置为接受某些特定埠传来的传入连线,并将它们送到一个特定的主机地址。
5.个人防火墙
现在网路上流传着很多的个人防火墙软体,它是应用程式级的。个人防火墙是一种能够保护个人计算机系统安全的软体,它可以直接在使用者的计算机上执行,使用与状态/动态检测防火墙相同的方式,保护一台计算机免受攻击。通常,这些防火墙是安装在计算机网路介面的较低级别上,使得它们可以监视传入传出网络卡的所有网路通讯。
一旦安装上个人防火墙,就可以把它设定成“学习模式”,这样的话,对遇到的每一种新的网路通讯,个人防火墙都会提示使用者一次,询问如何处理那种通讯。然后个人防火墙便记住响应方式,并应用于以后遇到的相同那种网路通讯。
例如,如果使用者已经安装了一台个人Web伺服器,个人防火墙可能将第一个传入的Web连线作上标志,并询问使用者是否允许它通过。使用者可能允许所有的Web连线、来自某些特定IP地址范围的连线等,个人防火墙然后把这条规则应用于所有传入的Web连线。
基本上,你可以将个人防火墙想象成在使用者计算机上建立了一个虚拟网路介面。不再是计算机的作业系统直接通过网络卡进行通讯,而是以作业系统通过和个人防火墙对话,仔细检查网路通讯,然后再通过网络卡通讯。
二、各类防火墙的优缺点
1.包过滤防火墙
使用包过滤防火墙的优点包括:
防火墙对每条传入和传出网路的包实行低水平控制。
每个IP包的栏位都被检查,例如源地址、目的地址、协议、埠等。防火墙将基于这些资讯应用过滤规则。
防火墙可以识别和丢弃带欺骗性源IP地址的包。
包过滤防火墙是两个网路之间访问的唯一来源。因为所有的通讯必须通过防火墙,绕过是困难的。
包过滤通常被包含在路由器资料包中,所以不必额外的系统来处理这个特征。
使用包过滤防火墙的缺点包括:
配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化使用者介面GUI的配置和更直接的规则定义。
为特定服务开放的埠存在着危险,可能会被用于其他传输。例如,Web伺服器预设埠为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连线到RealAudio伺服器的埠,而不管这个埠是否被其他协议所使用,RealPlayer正好是使用80埠而搜寻的。就这样无意中,RealPlayer就利用了Web伺服器的埠。
可能还有其他方法绕过防火墙进入网路,例如拨入连线。但这个并不是防火墙自身的缺点,而是不应该在网路安全上单纯依赖防火墙的原因。
2.状态/动态检测防火墙
状态/动态检测防火墙的优点有:
检查IP包的每个栏位的能力,并遵从基于包中资讯的过滤规则。
识别带有欺骗性源IP地址包的能力。
包过滤防火墙是两个网路之间访问的唯一来源。因为所有的通讯必须通过防火墙,绕过是困难的。
基于应用程式资讯验证一个包的状态的能力, 例如基于一个已经建立的FTP连线,允许返回的FTP包通过。
基于应用程式资讯验证一个包状态的能力,例如允许一个先前认证过的连线继续与被授予的服务通讯。
记录有关通过的每个包的详细资讯的能力。基本上,防火墙用来确定包状态的所有资讯都可以被记录,包括应用程式对包的请求,连线的持续时间,内部和外部系统所做的连线请求等。
状态/动态检测防火墙的缺点:
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网路连线的某种迟滞,特别是在同时有许多连线启用的时候,或者是有大量的过滤网路通讯的规则存在时。可是,硬体速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。
3.应用程式代理防火墙
使用应用程式代理防火墙的优点有:
指定对连线的控制,例如允许或拒绝基于伺服器IP地址的访问,或者是允许或拒绝基于使用者所请求连线的IP地址的访问。
通过限制某些协议的传出请求,来减少网路中不必要的服务。
大多数代理防火墙能够记录所有的连线,包括地址和持续时间。这些资讯对追踪攻击和发生的未授权访问的事件事很有用的。
使用应用程式代理防火墙的缺点有:
必须在一定范围内定制使用者的系统,这取决于所用的应用程式。
一些应用程式可能根本不支援代理连线。
4.NAT
使用NAT的优点有:
所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网路之外没有人可以通过指定IP地址的方式直接对网路内的任何一台特定的计算机发起攻击。
如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网路共享一个IP地址。
可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网路的计算机就不可能直接访问外部网路。
使用NAT的缺点:
NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网路的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程式可以通过NAT做外部连线,就像它可以穿过包过滤防火墙一样的容易。
注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,除了它们应该具有的功能之外也提供了NAT的功能。
5.个人防火墙
个人防火墙的优点有:
增加了保护级别,不需要额外的硬体资源。
个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。
个人防火墙是对公共网路中的单个系统提供了保护。例如一个家庭使用者使用的是Modem或ISDN/ADSL上网,可能一个硬体防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为使用者隐蔽暴露在网路上的资讯,比如IP地址之类的资讯等。
个人防火墙的缺点:
个人防火墙主要的缺点就是对公共网路只有一个物理介面。要记住,真正的防火墙应当监视并控制两
个或更多的网路介面之间的通讯。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网路通讯可以绕过防火墙的规则。
好了,在上面我们已经介绍了几类防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网路通讯或者是资料传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,资料和通讯以及Web站点就会更有安全保障。
如何建立安全防火墙相关文章:1. 例项讲解如何建立安全防火墙
2. Web应用防火墙基础知识
3. 用组策略部署Windows防火墙
4. WIN7防火墙在哪里设定
5.
6. 快速解决 Windows系统防火墙的配置问题
7. 安装防毒软体与设定防火墙 保障电脑安全
个人防火墙的实际功能是什么
分类: 电脑/网络 》》 反病毒 问题描述: 有人说防火墙是个摆设,检测到以后又不能彻底根除问题,它究竟能起到什么关键性的作用? 解析: 防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙的功能 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。为什么使用防火墙 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 防火墙的类型 防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。 他只是防止 并不能杀毒 呵呵 杀毒只杀 不防 两个要配合使用
win10系统瑞星个人防火墙卸载不了如何解决
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,保护电脑安全。win10正式版系统自带有防火墙功能,之前安装的瑞星个人防火墙酒可以卸载了,节省内存空间。但是一些用户和小编说win10系统瑞星个人防火墙卸载不了怎么办?这是不少小白用户所不了解,下面一起看看解决方法。瑞星个人防火墙怎么卸载?首先确认电脑中安装了瑞星防火墙,安装了的用户,可以在桌面右下角的任务栏中,看到瑞星个人防火墙图标,如下图所示:下面以Win7系统为例,教大家如何卸载瑞星个人防火墙。具体方法为,进入开始菜单,然后找到修复瑞星个人防火墙这个软件的功能选项,如下图所示(用户也可以进入电脑控制面板,然后进入卸载程序界面进行操作,此方法也适合Win8)。接下来会进入瑞星个人防火墙卸载界面,我们这里选择“卸载”选项,然后点击“下一步”继续操作。最后按照提示,一路下一步,即可完成瑞星个人防火墙的卸载工作了,如下图所示:瑞星个人防火墙卸载完成卸载完成后,需要重启电脑生效。瑞星个人防火墙卸载不了怎么办?理论上,按照以上方法均可以卸载瑞星个人防火墙,极少情况下,以上操作,如果无法完成卸载的话,大家可以试试以下方法。1、电脑中安装一个优化大师,然后进入系统清理维护软件智能卸载,如果瑞星防火墙不在程序组,就点其他,找到它的安装目录,选中.exe那个文件,按确定开始分析,最后卸载即可。2、360安全卫士中的软件强力卸载模式也可以强制卸载一些卸载不了的软件,感兴趣的朋友,也可以安装360安全卫士,然后借助强力卸载软件工具,完成卸载即可。如果你还在为win10系统瑞星个人防火墙卸载不了问题苦恼,直接参考教程设置即可。
防火墙都有几种类型
分类: 电脑/网络 》》 反病毒 问题描述: 麻烦了!很着急!!谢谢! 解析: 你看看这个 防火墙分类1 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 第二种:硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 第三种:芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。 在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。 ●第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 ●第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 (2). 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。 在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙 这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。 防火墙分类3 从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。 这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。 随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。 原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。 分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。 防火墙分类4 如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。 边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。 个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。 防火墙分类5 如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。 因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
