㈠ 急!考試題:一般的防火牆分為哪幾類主要有哪些功能
一般情況下從防火牆的軟、硬體形式來分,防火牆可以分為軟體防火牆、硬體防火牆以及晶元級防火牆。
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
傳統硬體防火牆一般至少應具備三個埠,分別接內網,外網和DMZ區(非軍事化區),現在一些新的硬體防火牆往往擴展了埠,常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴展埠數目。
第三種:晶元級防火牆
晶元級防火牆基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
第一要素:防火牆的基本功能
防火牆系統可以說是網路的第一道防線,因此一個企業在決定使用防火牆保護內部網路的安全時,它首先需要了解一個防火牆系統應具備的基本功能,這是用戶選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能:
防火牆的設計策略應遵循安全防範的基本原則——「除非明確允許,否則就禁止」; 防火牆本身支持安全策略,而不是添加上去的;如果組織機構的安全策略發生改變,可以加入新的服務;有先進的認證手段或有掛鉤程序,可以安裝先進的認證方法;如果需要,可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理,以便先進的認證手段可以被安裝和運行在防火牆上;擁有界面友好、易於編程的IP過濾語言,並可以根據數據包的性質進行包過濾,數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP埠、TCP包的ACK位、出站和入站網路介面等。
如果用戶需要NNTP(網路消息傳輸協議)、XWindow、HTTP和Gopher等服務,防火牆應該包含相應的代理服務程序。防火牆也應具有集中郵件的功能,以減少SMTP伺服器和外界伺服器的直接連接,並可以集中處理整個站點的電子郵件。防火牆應允許公眾對站點的訪問,應把信息伺服器和其他內部伺服器分開。
防火牆應該能夠集中和過濾撥入訪問,並可以記錄網路流量和可疑的活動。此外,為了使日誌具有可讀性,防火牆應具有精簡日誌的能力。雖然沒有必要讓防火牆的操作系統和公司內部使用的操作系統一樣,但在防火牆上運行一個管理員熟悉的操作系統會使管理變得簡單。防火牆的強度和正確性應該可被驗證,設計盡量簡單,以便管理員理解和維護。防火牆和相應的操作系統應該用補丁程序進行升級且升級必須定期進行。
正像前面提到的那樣,Internet每時每刻都在發生著變化,新的易攻擊點隨時可能會產生。當新的危險出現時,新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力,因此防火牆的可適應性是很重要的。
第二要素:企業的特殊要求
企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的,這方面常會成為選擇防火牆的考慮因素之一,常見的需求如下:
1、網路地址轉換功能(NAT)
進行地址轉換有兩個好處:其一是隱藏內部網路真正的IP,這可以使黑客無法直接攻擊內部網路,這也是筆者之所以要強調防火牆自身安全性問題的主要原因;另一個好處是可以讓內部使用保留的IP,這對許多IP不足的企業是有益的。
2、雙重DNS
當內部網路使用沒有注冊的IP地址,或是防火牆進行IP轉換時,DNS也必須經過轉換,因為,同樣的一個主機在內部的IP與給予外界的IP將會不同,有的防火牆會提供雙重DNS,有的則必須在不同主機上各安裝一個DNS。
3、虛擬專用網路(VPN)
VPN可以在防火牆與防火牆或移動的客戶端之間對所有網路傳輸的內容加密,建立一個虛擬通道,讓兩者感覺是在同一個網路上,可以安全且不受拘束地互相存取。
4、掃毒功能
大部分防火牆都可以與防病毒軟體搭配實現掃毒功能,有的防火牆則可以直接集成掃毒功能,差別只是掃毒工作是由防火牆完成,或是由另一台專用的計算機完成。
5、特殊控制需求
有時候企業會有特別的控制需求,如限制特定使用者才能發送E�mail,FTP只能下載文件不能上傳文件,限制同時上網人數,限制使用時間或阻塞Java、ActiveX控制項等,依需求不同而定。
第三要素:與用戶網路結合
1、管理的難易度
防火牆管理的難易度是防火牆能否達到目的的主要考慮因素之一。一般企業之所以很少以已有的網路設備直接當作防火牆的原因,除了先前提到的包過濾,並不能達到完全的控制之外,設定工作困難、須具備完整的知識以及不易除錯等管理問題,更是一般企業不願意使用的主要原因。
2、自身的安全性
大多數人在選擇防火牆時都將注意力放在防火牆如何控制連接以及防火牆支持多少種服務,但往往忽略了一點,防火牆也是網路上的主機之一,也可能存在安全問題,防火牆如果不能確保自身安全,則防火牆的控制功能再強,也終究不能完全保護內部網路。
大部分防火牆都安裝在一般的操作系統上,如Unix、NT系統等。在防火牆主機上執行的除了防火牆軟體外,所有的程序、系統核心,也大多來自於操作系統本身的原有程序。當防火牆主機上所執行的軟體出現安全漏洞時,防火牆本身也將受到威脅。此時,任何的防火牆控制機制都可能失效,因為當一個黑客取得了防火牆上的控制權以後,黑客幾乎可為所欲為地修改防火牆上的訪問規則,進而侵入更多的系統。因此防火牆自身應有相當高的安全保護。
3、完善的售後服務
我們認為,用戶在選購防火牆產品時,除了從以上的功能特點考慮之外,還應該注意好的防火牆應該是企業整體網路的保護者,並能彌補其它操作系統的不足,使操作系統的安全性不會對企業網路的整體安全造成影響。防火牆應該能夠支持多種平台,因為使用者才是完全的控制者,而使用者的平台往往是多種多樣的,它們應選擇一套符合現有環境需求的防火牆產品。由於新產品的出現,就會有人研究新的破解方法,所以好的防火牆產品應擁有完善及時的售後服務體系。
4、完整的安全檢查
好的防火牆還應該向使用者提供完整的安全檢查功能,但是一個安全的網路仍必須依靠使用者的觀察及改進,因為防火牆並不能有效地杜絕所有的惡意封包,企業想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火牆可以限制唯有合法的使用者才能進行連接,但是否存在利用合法掩護非法的情形仍需依靠管理者來發現。
5、結合用戶情況
在選購一個防火牆時,用戶應該從自身考慮以下的因素:
網路受威脅的程度;
若入侵者闖入網路,將要受到的潛在的損失;
其他已經用來保護網路及其資源的安全措施;
由於硬體或軟體失效,或防火牆遭到「拒絕服務攻擊」,而導致用戶不能訪問Internet,造成的整個機構的損失;
機構所希望提供給Internet的服務,希望能從Internet得到的服務以及可以同時通過防火牆的用戶數目;
網路是否有經驗豐富的管理員;
今後可能的要求,如要求增加通過防火牆的網路活動或要求新的Internet服務。
㈡ 防火牆可分為兩種類型,即 ( )和( )。
按傳統理論,防火牆可分為包過濾(Packetfiltering)和應用代理(ApplicationProxy)兩種類型。
㈢ 以下關於包過濾防火牆和代理服務防火牆敘述中,正確是( )
【答案】:B
包過濾技術是一種基於網路層、傳輸層安全技術,優點是簡單實用,實現成本較低同時,包過濾操作對於應用層來說是透明,它不要求客戶與伺服器程序做任何修改。但包過濾技術無法識別基於應用層惡意入侵,如惡意Java小程序以及電子郵件中附帶病毒。代理服務技術基於應用層,需要檢查數據包內容,能夠對基於高層協議攻擊進行攔截,安全性較包過濾技術要好。缺點是處理速度比較慢,不適用於高速網之間應用。另外,代理使用一個客戶程序與特定中間節點連接,然後中間節點與代理伺服器進行實際連接。因此,使用這類防火牆時外部網路與內部網路之間不存在直接連接,即使防火牆發生了問題,外部網路也無法與被保護網路連接。
㈣ 包過濾型防火牆原理是基於什麼進行分析的技術
包過濾型防火牆原理是基於網路層的數據包進行過濾和分析的技術。
包過濾型防火牆工作在網路層,通過對每個數據包進行過濾和分析,來判斷是否允許該數據包通過防火牆。具體來說,包過濾型防火牆會根據預先設定的規則,對每個數據包進行檢查,包括源IP地址、目標IP地址、埠號、協議類型等信息。如果數據包符合規則,則允許通過,否則將被攔截。
包過濾型防火牆的優點在於處理速度快,因為只檢查數據包頭信息,不需要對整個數據包進行深度分析。此外,包過濾型防火牆可以根據需要靈活配置規則,以滿足不同的安全需求。然而,包過濾型防火牆也存在一些缺點,例如無法識別應用層協議,從而無法對應用層攻擊進行有效防範。
為了克服包過濾型防火牆的缺點,一些現代的防火牆採用了更為先進的技術,如狀態檢測技術和應用層網關技術等。狀態檢測技術通過跟蹤每個連接的狀態,來判斷數據包是否合法,從而有效防範了IP欺騙和埠掃描等攻擊。而應用層網關技術則可以識別應用層協議,對應用層攻擊進行有效防範。
總的來說,包過濾型防火牆是一種基於網路層數據包進行過濾和分析的技術,具有處理速度快和規則配置靈活的優點。但是,它也存在一些缺點,如無法識別應用層協議等。因此,在選擇防火牆時需要根據實際需求和安全威脅來選擇適合的技術。