Ⅰ 網路安全以及防火牆
你得說說你們的網路情況啊,比如什麼網路,幾個區域,怎麼連外面,什麼線路,要不怎麼給清單啊。
硬體防火牆一個,埠一般三個以上,看你的要求。三個的話是標准結構。需要選擇一下介面類型,速率,如果光纖介面,就看提供什麼介面,如果是Combo口,需要再買模塊。
最好再加裝同一廠家的一個IDS,帶聯動機制的,要求保准率高,誤報率低。
差不多了。
樓上此言差矣,軟體防火牆本身的操作系統自身的漏洞就是個問題,如果你是高手,應該使用Linux,用iptables做防火牆軟體,自己簡化、加固內核,剔除多餘服務,這樣才好,這也確實是目前國內的防火牆公司原先的工作方式。也很夠用。
但作為公司來說,這樣並不可行,維護就是問題。
你看看Cisco的Pix,根本不是Linux
華為的SecPath,這個不太清楚是不是Linux內核
天融信的防火牆,清華的得實,還有清華的防火牆 這是Linux內核,但是現在從命令行根本看不出了,改進很大的。
Ⅱ 防火牆主要分為哪兩大體系
從結構上來分,防火牆有兩種:即代理主機結構和路由器+過濾器結構,後一種為內部網路過濾器(Filter)路由器(Router)Internet
從原理上來分,防火牆則可以分成4種類型:特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆,構築多道防火牆「防禦工事」。
防火牆
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。
在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
Ⅲ 防火牆主要有哪幾類體系結構,分別說明其優缺點
防火牆主要的體系結構:
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被屏蔽主機防火牆
4、被屏蔽子網防火牆
5、其他防火牆體系結構
優缺點:
1、包過濾型防火牆
優點:
(1)處理數據包的速度較快(與代理伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對用戶和應用來說是透明的。
缺點:
(1)包過濾防火牆的維護較困難;(2)只能阻止一種類型的IP欺騙;(3)任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險,一些包過濾路由器不支持有效的用戶認證,僅通過IP地址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)IP包過濾器可能無法對網路上流動的信息提供全面的控制。
2、雙宿/多宿主機防火牆
優點:
(1)可以將被保護的網路內部結構屏蔽起來,增強網路的安全性;(2)可用於實施較強的數據流監控、過濾、記錄和報告等。
缺點:
(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。
3、被屏蔽主機防火牆
優點:
(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(代理服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。
缺點:路由器不被正常路由。
4、被屏蔽子網防火牆
優點:
安全性高,若入侵者試圖破壞防火牆,他必須重新配置連接三個網的路由,既不切斷連接,同時又不使自己被發現,難度系數高。
缺點:
(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦數據驅動的攻擊:防火牆不能防禦基於數據驅動的攻擊。
Ⅳ 防火牆是什麼
防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網(US5606668(A)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。 防火牆的發明者是吉爾·舍伍德。
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。
在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
什麼是防火牆
XP系統相比於以往的Windows系統新增了許多的網路功能(Windows 7的防火牆一樣很強大,可以很方便地定義過濾掉數據包),例如Internet連接防火牆(ICF),它就是用一段"代碼牆"把電腦和Internet分隔開,時刻檢查出入防火牆的所有數據包,決定攔截或是放行那些數據包。防火牆可以是一種硬體、固件或者軟體,例如專用防火牆設備就是硬體形式的防火牆,包過濾路由器是嵌有防火牆固件的路由器,而代理伺服器等軟體就是軟體形式的防火牆。
ICF工作原理
ICF被視為狀態防火牆,狀態防火牆可監視通過其路徑的所有通訊,並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網路內部開始的),才允許將傳入Internet通信傳送給網路中的計算機。
源自外部源ICF計算機的通訊(如Internet)將被防火牆阻止,除非在「服務」選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像埠掃描這樣的常見黑客襲擊。
防火牆的種類防火牆從誕生開始,已經歷了四個發展階段:基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆,例如NETEYE、NETSCREEN、TALENTIT等。
從結構上來分,防火牆有兩種:即代理主機結構和路由器+過濾器結構,後一種結構如下所示:內部網路過濾器(Filter)路由器(Router)Internet
從原理上來分,防火牆則可以分成4種類型:特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆,構築多道防火牆「防禦工事」。
Ⅳ 說明分組過濾防火牆的基本原理
防火牆技術可根據防範的方式和側重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應用代理!----分組過濾(Packet filtering):作用在網路層和傳輸層,它根據分組包頭源地址,目的地址和埠號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其餘數據包則被從數據流中丟棄。
------應用代理型防火牆是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作 用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。--
-- --應用代理(Application Proxy):也叫應用網關(Application Gateway),它作用在應用層,其特點是完全阻隔了網路通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現!---分組過濾的優點是不用改動客戶機和主機上的應用程序,因為它工作在網路層和傳輸層,與應用層無關。但其弱點也是明顯的:據以過濾判別的只有網路層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由於缺少上下文關聯信息,不能有效地過濾如UDP、RPC一類的協議;另外,大多數過濾器中缺少審計和報警機制,且管理方式和用戶界面較差;對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火牆系統.
Ⅵ 防火牆怎麼組成的
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Interne
t與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成, 防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。