2023年电脑防火墙有什么作用.docx

防火墙有什么作用 篇一：防火墙的作用是什么 防火墙的作用是什么 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络平安域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、构造和运转情况， 以此来实现网络的平安保护。 在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的平安。 保护脆弱的效劳 通过过滤不平安的效劳，Firewall能够极大地提高网络平安和减少子网中主机的风险。例如， Firewall能够禁止NIS、NFS效劳通过，Firewall同时能够回绝源路由和ICMP重定向封包。 操纵对系统的访咨询 Firewall能够提供对系统的访咨询操纵。好似意从外部访咨询某些主机，同时禁止访咨询另外的主机。例如， Firewall同意外部访咨询特定的Mail Server和Web Server。 集中的平安治理 Firewall对企业内部网实现集中的平安治理，在Firewall定义的平安规那么能够运转于整个内部网络系统， 而无须在内部网每台机器上分别设立平安策略。Firewall能够定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要通过一次认证即可访咨询内部网。 加强的保密性 使用Firewall能够阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall能够记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，同时，Firewall能够提供统计数据， 来推断可能的攻击和探测。 策略执行 Firewall提供了制定和执行网络平安策略的手段。未设置Firewall时，网络平安取决于每台主机的用户。 防火墙总体上分为包过滤、应用级网关和代理效劳器等几大类型。 数 据 包 过 滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进展选择，选择的依照是系统内设置的过滤逻辑， 被称为访咨询操纵表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等要素，或它们的组合来确定是否同意该数据包通过。 数据包过滤防火墙逻辑简单，价格廉价，易于安装和使用， 网络功能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因而在原有网络上增加如此的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访咨询一旦打破防火墙，即可对主机上的软件和配置破绽进展攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，特别有可能被窃听或假冒。 应 用 级 网 关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用效劳协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进展 必要的分析、 登记和统计，构成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，确实是它们仅仅依托特定的逻辑断定是否同意数据包通过。 一旦满足逻辑，那么防火墙内外的计算机系统建立直截了当联络， 防火墙外部的用户便有可能直截了当理解防火墙内部的网络构造和运转状态，这有利于施行非法访咨询和攻击。 代 理 服 务 代理效劳(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通讯链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理效劳器上的 链接来实现，外部计算机的网络链路只能到达代理效劳器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理效劳也对过往的数据包进展分析、注册登记， 构成报告，同时当觉察被攻击迹象时会向网络治理员发出警报，并保存攻击痕迹。 网络策略 阻碍Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义同意和禁止的效劳以及如何使用效劳， 低级的网络策略描绘Firewall如何限制和过滤在高级策略中定义的效劳。 效劳访咨询策略 效劳访咨询策略集中在Internet访咨询效劳以及外部网络访咨询（如拨入策略、SLIP/PPP连接等）。 效劳访咨询策略必须是可行的和合理的。可行的策略必须在阻止已经知道的网络风险和提供用户效劳之间获得平衡。 典型的效劳访咨询策略是：同意通过加强认证的用户在必要的情况下从 Internet访咨询某些内部主机和效劳； 同意内部用户访咨询指定的Internet主机和效劳。 防火墙设计策略 防火墙设计策略基于特定的Firewall，定义完成效劳访咨询策略的规那么。通常有两种根本的设计策略： 同意任何效劳除非被明确禁止；禁止任何效劳除非被明确同意。第一种的特点是平安但不好用， 第二种是好用但不平安，通常采纳第二品种型的设计策略。 而多数防火墙都在两种之间采取折衷。 加强的认证 许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜想和破译口令， 尽管如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。加强的认证机制包含智能卡， 认证令牌，生理特征（指纹）以及基于软件（RSA）等技术，来克服传统口令的弱点。尽管存在多种认证技术， 它们均使用加强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的加强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。 依照网络系统的平安需要，能够在如下位置部署防火墙： 局域网内的VLAN之间操纵信息流向时。 Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。 在广域网系统中，由于平安的需要，总部的局域网能够将各分支机构的局域网看成不平安的系统， （通过公网ChinaPac，ChinaDDN，Frame Relay等连接）在总部的局域网和各分支机构连接时采纳防火墙隔离， 并利用VPN构成虚拟专网。 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。 在远程用户拨号访咨询时，参加虚拟专网。 ISP可利用NetScreen的负载平衡功能在公共访咨询效劳器和客户端间参加防火墙进展负载分担、 存取操纵、用户认证、流量操纵、日志纪录等功能。 两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射（MAP）， 网络隔离（DMZ）, 存取平安操纵，消除传统软件防火墙的瓶颈咨询题。 防火墙能有效地防止外来的入侵，它在网络系统中的作用是： 操纵进出网络的信息流向和信息包； 提供使用和流量的日志和审计； 隐藏内部IP地址及网络构造的细节； 篇二：路由器里的防火墙有什么作用 防火墙已经成为企业网络建立中的一个关键组成局部。 但有特别多用户，认为网络中已经有了路由器，能够实现一些简单的包过滤功能，因而，为什么还要用防火墙呢以下我们针对防火墙与业界应用最多、最具代表性的路由器在平安方面的比照，来阐述为什么用户网络中有了路由器还需要防火墙。 一、两种设备产生和存在的背景不同 1、两种设备产生的根源不同 路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进展有效的路由，至于为什么路由、是否应该路由、路由过后是否有咨询题等根本不关心，所关心的是:能否将不同的网段的数据包进展路由从而进展通讯。 防火墙是产生于人们关于平安性的需求。数据包是否能够正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 2、根本目的不同 路由器的根本目的是:保持网络和数据的“通〞。 防火墙根本的的目的是:保证任何非同意的数据包“不通〞。 二、核心技术的不同 Cisco路由器核心的ACL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。 一个最为简单的应用:企业内网的一台主机，通过路由器对内网提供效劳(假设提供效劳的端口为tcp1455)。为了保证平安性，在路由器上需要配置成:外-〉内只同意client访咨询 server的tcp1455端口，其他回绝。 针对如今的配置，存在的平安脆弱性如下: 1、IP地址欺骗(使连接非正常复位) 2、TCP欺骗(会话重放和劫持) 存在上述隐患的缘故是，路由器不能监测TCP的状态。假设在内网的client和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，同时能够重新随机生成TCP的序列号，那么 能够完全消除如此的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实如今对应用完全透明的情况下，实现对用户的访咨询操纵，其认证支持标准的Radius协议和本地认证数据库，能够完全与第三方的认证效劳器进展互操作，并能够实现角色的划分。尽管，路由器的Lock-and-Key功能能够通过动态访咨询操纵列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet效劳，用户在使用使也需要先Telnet到路由器上，使用起来不特别方便，同时也不够平安(开放的端口为黑客制造了时机)。 三、平安策略制定的复杂程度不同 路由器的默认配置对平安性的考虑不够，需要一些高级配置才能到达一些防范攻击的作用，平安策略的制定绝大多数都是基于命令行的，其针对平安性的规那么的制定相比照拟复杂，配置出错的概率较高。 防火墙的默认配置既能够防止各种攻击，到达既用既平安，平安策略的制定是基于全中文的GUI的治理工具，其平安策略的制定人性化，配置简单、出错率低。 四、对功能的阻碍不同 路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，因而用于进展包过滤时，需要进展的运算特别大，对路由器的CPU和内存的需要都特别大，而路由器由于其硬件本钱比拟高，其高功能配置时硬件的本钱都比拟大。 防火墙的硬件配置特别高(采纳通用的INTEL芯片，功能高且本钱低)，其软件也为数据包的过滤进展了专门的优化，其主要模块运转在操作系统的内核形式下，设计之时特别考虑了平安咨询题，其进展数据包过滤的功能特别高。 由于路由器是简单的包过滤，包过滤的规那么条数的增加，NAT规那么的条数的增加，对路由器功能的阻碍都相应的增加，而防火墙采纳的是状态包过滤，规那么条数，NAT的规那么数对功能的阻碍接近于零。 五、审计功能的强弱差异宏大 路由器本身没有日志、事件的存储介质，只能通过采纳外部的日志效劳器(如syslog，trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具，对日志、事件的描绘采纳的是不太容易理解的语言;路由器对攻击等平安事件的相应不完好，关于特别多的攻击、等操作不能够产生精确及时的事件。审计功能的弱化，使治理员不能够对平安事件进展及时、精确的响应。 六、防范攻击的才能不同 关于像Cisco如此的路由器，其一般版本不具有应用层的防范功能，不具有入侵实时检测等功能，假设需要具有如此的功能，就需要生级晋级IOS为防火墙特性集，如今不单要承担软件的晋级费用，同时由于这些功能都需要进展大量的运算，还需要进展硬件配置的晋级， 进一步增加了本钱，而且特别多厂家的路由器不具有如此的高级平安功能。能够得出: ·具有防火墙特性的路由器本钱 防火墙 + 路由器 ·具有防火墙特性的路由器功能 lt; 防火墙 + 路由器 ·具有防火墙特性的路由器可扩展性 lt; 防火墙 + 路由器 综上所述，