正文

防火墻策略是什么意思（防火墻策略在哪）

發(fā)布時間：2023-03-19 11:43:22 稿源：創(chuàng)意嶺閱讀： 857 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻策略是什么意思的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、什么是“防火墻”？
2、什么是防火墻？
3、防火墻策略表是什么意思?
4、什么是防火墻，為什么需要有防火墻

防火墻策略是什么意思（防火墻策略在哪）

一、什么是“防火墻”？

防火墻的概念

防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時還能讓司機(jī)繼續(xù)控制引擎。再電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

防火墻的功能

1.防火墻是網(wǎng)絡(luò)安全的屏障：

一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2.防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機(jī)上，而集中在防火墻一身上。

3.對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)：

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

4.防止內(nèi)部信息的外泄：

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機(jī)的域名和IP地址就不會被外界所了解。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。

防火墻的分類

根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)來進(jìn)行分類，可以有以下幾種類型的防火墻：

1.網(wǎng)絡(luò)級防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。

先進(jìn)的網(wǎng)絡(luò)級防火墻可以判斷這一點(diǎn)，它可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網(wǎng)絡(luò)級防火墻的訪問控制規(guī)則：

(1)允許網(wǎng)絡(luò)210.34.0.0使用FTP(21口)訪問主機(jī)192.168.1.1；

(2)允許IP地址為210.34.0.207的用戶Telnet(23口)到主機(jī)192.168.1.2上；

(3)允許任何地址的E-mail(25口)進(jìn)入主機(jī)192.168.1.5；

(4)允許任何WWW數(shù)據(jù)（80口）通過；

(5)不允許其他數(shù)據(jù)包進(jìn)入。

網(wǎng)絡(luò)級防火墻簡潔、速度快、費(fèi)用低，并且對用戶透明，但是對網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。很難準(zhǔn)確地設(shè)置包過濾器，缺乏用戶級的授權(quán)；包過濾判別的條件位于數(shù)據(jù)包的頭部，由于IPV4的不安全性，很可能被假冒或竊??；是基于網(wǎng)絡(luò)層的安全技術(shù)，不能檢測通過高層協(xié)議而實(shí)施的攻擊。

Linux上的ipchains就是這種類型的軟件。

2.應(yīng)用級網(wǎng)關(guān)

應(yīng)用級網(wǎng)關(guān)就是我們常常說的“代理服務(wù)器”，它能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率不如網(wǎng)絡(luò)級防火墻。

常用的應(yīng)用級防火墻已有了相應(yīng)的代理服務(wù)器，例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)，它們將通過網(wǎng)絡(luò)級防火墻和一般的代理服務(wù)。

應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏"透明度"。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。它和包過濾型防火墻有一個共同特點(diǎn)，就是它們僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過，一旦符合條件，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部網(wǎng)絡(luò)能直接了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這大大增加了實(shí)施非法訪問攻擊的機(jī)會。

SQUID就是這樣的軟件。

3.電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。

實(shí)際上電路級網(wǎng)關(guān)并非作為一個獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：代理服務(wù)器（ProxyServer），代理服務(wù)器是個防火墻，在其上運(yùn)行一個叫做"地址轉(zhuǎn)移"的進(jìn)程，來將所有你公司內(nèi)部的IP地址映射到一個"安全"的IP地址，這個地址是由防火墻使用的。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會話層工作的，它就無法檢查應(yīng)用層級的數(shù)據(jù)包。它起著一定的代理服務(wù)作用，監(jiān)視兩主機(jī)建立連接時的握手信息，判斷該會話請求是否合法。一旦會話連接有效后，該網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)。它在IP層代理各種高層會話，具有隱藏內(nèi)部網(wǎng)絡(luò)信息的能力，且透明性高。但由于其對會話建立后所傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析，因此安全性低。

Socks屬于這種類型的防火墻。

4.規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號，過濾進(jìn)出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。

規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個應(yīng)用級網(wǎng)關(guān)的是，它并不打破客戶機(jī)/服務(wù)機(jī)模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。它將動態(tài)記錄、維護(hù)各個連接的協(xié)議狀態(tài)，并在網(wǎng)絡(luò)層對通信的各個層次進(jìn)行分析、檢測，以決定是否允許通過防火墻。因此它兼?zhèn)淞溯^高的效率和安全性，

二、什么是防火墻？

防火墻（Firewall）是指在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施總稱。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，它能允許“被同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將“不被同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。互聯(lián)網(wǎng)上的防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以使企業(yè)內(nèi)部局域網(wǎng)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)目的。

概述

以“防火墻”這個來自建筑行業(yè)的名稱，來命名計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)，顯得非常恰當(dāng)，因?yàn)閮烧咧g有許多相似之處。首先，從建筑學(xué)來說，防火墻必須用磚石材料、鋼筋混凝土等非可燃材料建造，并且應(yīng)直接砌筑在建筑物基礎(chǔ)或鋼筋混凝土的框架梁上。如開門窗時，必須用非燃燒體的防火門窗，以切斷一切燃燒體。而在計(jì)算機(jī)系統(tǒng)上，防

火墻本身需要具有較高的抗攻擊能力，應(yīng)設(shè)置于系統(tǒng)和網(wǎng)絡(luò)協(xié)議的底層，訪問與被訪問的端口必須設(shè)置嚴(yán)格的訪問規(guī)則，以切斷一切規(guī)則以外的網(wǎng)絡(luò)連接。其次，在建筑學(xué)上，建筑物的防火安全性，是由各相關(guān)專業(yè)和相應(yīng)設(shè)備共同保證的。而在計(jì)算機(jī)系統(tǒng)上，防火墻的安全防護(hù)性能是由防火墻、用戶設(shè)置的規(guī)則和計(jì)算機(jī)系統(tǒng)本身共同保證的。另外在建筑學(xué)上，原有的材料和布置的變化，將使防火墻失去作用，隨著時間的推移，一些經(jīng)過阻燃處理的材料，其阻燃性也逐步喪失。在計(jì)算機(jī)系統(tǒng)上也是如此，計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)的變化，系統(tǒng)軟硬件環(huán)境的變化，也將使防火墻失去作用，而隨著時間的推移，防火墻原有的安全防護(hù)技術(shù)開始落后，防護(hù)功能也就慢慢地減弱了。它是根據(jù)訪問安全策略對兩個或者更多網(wǎng)絡(luò)之間的通信進(jìn)行限制的軟件或硬件。

功能

防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

為什么使用防火墻

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

類型

正在加載防火墻

防火墻有不同類型。一個防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個人防火墻。

從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

(1) 軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺計(jì)算機(jī)就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。例如Sygate Fireware、天網(wǎng)防火墻等。

(2) 硬件防火墻

硬件防火墻基于硬件平臺的網(wǎng)絡(luò)防預(yù)系統(tǒng)，與芯片級防火墻相比并不需要專門的硬件。目前市場上大多數(shù)防火墻都是這種硬件防火墻，他們基于PC架構(gòu)。

(3) 芯片級防火墻

芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。例如NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），防火墻本身的漏洞比較少，不過價格相對比較高昂。

從防火墻的技術(shù)來分的話，防火墻可以分為包過濾型、應(yīng)用代理型

(1) 包過濾（Packet filtering）型

包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。

(2) 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

目前防火墻已經(jīng)在Internet上得到了廣泛的應(yīng)用。但是，防火墻并不能解決所有的網(wǎng)絡(luò)安全問題，而只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分，但了解防火墻技術(shù)并學(xué)會在實(shí)際操作中應(yīng)用防火墻技術(shù)，對于維護(hù)網(wǎng)絡(luò)安全具有非常重要的意義。

功能

防火墻是網(wǎng)絡(luò)安全的屏障

正在加載防火墻

三、防火墻策略表是什么意思?

你說的是訪問控制列表嗎？？

access-list？？

四、什么是防火墻，為什么需要有防火墻

防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。系統(tǒng)會自動設(shè)置防火墻，但也可以自己設(shè)置、更改（不要隨便設(shè)置、更改，這樣可能會造成錯誤）。

有些電腦病毒會通過網(wǎng)絡(luò)漏洞來入侵電腦，防火墻可阻止電腦病毒感染和傳播。

以上就是關(guān)于防火墻策略是什么意思相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會為您講解更多精彩的知識和內(nèi)容。