防火墙是指设置在不同网络或不同网络安全区域之间的一系列部件的总称,广泛地应用于专用网络与公用网络的互联环境之中,如企业网接入 Internet网络。防火墙本质上是一种隔离技术,作用是防止不希望的、未授权的通信进出被保护的网络。防火墙有各种具体的实现方法,如以软件形式运行在普通计算机之上的,或者以固件形式设计在路由器之中的等。
防火墙是指设置在不同网络或不同网络安全区域之间的一系列部件的总称,广泛地应用于专用网络与公用网络的互联环境之中,如企业网接入 Internet网络。防火墙本质上是一种隔离技术,作用是防止不希望的、未授权的通信进出被保护的网络。防火墙有各种具体的实现方法,如以软件形式运行在普通计算机之上的,或者以固件形式设计在路由器之中的等。一般的防火墙都可以达到以下目的:
◆允许网络管理员定义一个中心点来防止非法用户访问内部网络。
◆可以很方便地监视网络的安全性,并报警。
◆可以作为部署NAT( Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
◆可以提供对 Internet访问流量的审计和记录。
◆可以连接到一个单独的网段(即DMZ),从物理上和内部网段隔开,并在此部署WW和FTP等服务器,将其作为向外部发布信息的地点。
1.防火墙的优点
(1)防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响个网段的信息通过整个网络进行传播。
(4)防火墙是一个安全策略的检査站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2.防火墙的不足
(1)不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户
已经在防火墙内部,防火墙是无能为为的。内部 可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者 ーL,用白可以偷窃数据
破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理,如主机安全和用户教育等。
(2)不能防范不通过它的连接
防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行号入侵。
(3)不能防备全部的威胁
防火墙被用来防备已知的威,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁。
(4)防火墙不能防范病毒
防火墙一般不能消除网络上的病毒。
可能您还想看