流過濾防火牆優缺點

1. 包過濾防火牆和代理伺服器的優缺點

包過濾
是對穿透來的IP包進行檢測，符自合要求的過，否則丟。
比如現在的視頻會議或VOIP採用的H.323協議體系，防火牆可以檢測H.323特徵，對於H.323的包，不檢測，直接放過，而非H323包，按照普通防火牆檢測是否放過。
優：對於部分應用可以不進行檢測，不需進行額外埠或IP設置

代理
不檢測通過的是什麼，只要按照指定埠/制定IP/指定MAC的碼流都可以通過，也有部分可以限制諸如QQ、MSN等軟體

2. 思科防火牆的優缺點

思科防火牆的優缺點分別是：

優點：思科防火牆對每條傳入和傳出網路的包實行低水平控制。對每個IP包的欄位都被檢查，例如源地址、目的地址、協議、埠等。防火牆將基於這些信息應用過濾規則。

思科防火牆可以識別和丟棄帶欺騙性源IP地址的包。包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆，繞過是困難的。

包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特徵。

缺點：配置困難。因為包過濾防火牆很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配置了已有的規則，在防火牆上留下漏洞。

然而，在市場上，許多新版本的防火牆對這個缺點正在作改進，如開發者實現了基於圖形化用戶界面(GUI)的配置和更直接的規則定義。

思科防火牆策略是：

1、內網到外網：內網的數據到外網防火牆是放行的。外網的數據到內網防火牆是拒絕的。

配置策略使數據包能從外網進入防火牆：

ciscoasa(config)# access-list 110 extended permit ip any any。

ciscoasa(config)# access-group 110 in interface outside。

2、dmz到外網：DMZ的數據到外網防火牆是放行的。外網的數據到DMZ防火牆是拒絕的。

配置dmz到outside的策略：

ciscoasa(config)# access-list 119 extended permit ip any any。

ciscoasa(config)# access-group 119 in interface outside。

3. 什麼是防火牆，防火牆具有哪些優點

什麼是防火牆？
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。
主要優點：
（1）防火牆能強化安全策略。
（2）防火牆能有效地記錄Internet上的活動。
（3）防火牆限制暴露用戶點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網路傳播。
（4）防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

4. 防火牆的優點,缺點和功能是什麼

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN。通過VPN，將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

5. 防火牆的功效和弊端

防火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

6. 防火牆分為哪兩種類型比較它們在維護網路安全方面的優缺點

按傳統理論,防火牆可分為包過濾(Packetfiltering)和應用代理(ApplicationProxy)兩種類型。
1、包過濾型(Packet Filter):包過濾通常安裝在路由器上,並且大多數商用路由器都提供了包過濾的功能。另外, PC機上同樣可以安裝包過濾軟體。包過濾規則以IP包信息為基礎,對IP源地址、IP目標地址、封裝協議(TCP/UDP/ICMPIP Tunnel)、埠號等進行篩選。

2、代理服務型(Proxy Service):代理服務型防火牆通常由兩部分構成:伺服器端程序和客戶端程序。客戶端程序與中間節點(Proxy Server)連接,中間節點再與要訪問的外部伺服器實際連接。與包過濾型防火牆不同的是,內部網與外部網之間不存在直接的連接,同時提供日誌(Log)及審計(Audit)服務。

3、復合型(Hybrid)防火牆:把包過濾和代理服務兩種方法結合起來,可以形成新的防火牆,所用主機稱為堡壘主機(Bastion Host),負責提供代理服務。

4、其它防火牆:路由器和各種主機按其配置和功能可組成各種類型的防火牆。雙端主機防火牆(Dyal-Homed Host Firewall)堡壘主機充當網關,並在其上運行防火牆軟體。內部網與外部網之間不能直接進行通信,必須經過堡壘主機。屏蔽主機防火牆(Screened Host Firewall)一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的唯一節點,確保內部網不受外部非授權用戶的攻擊。加密路由器(Encrypting Router):加密路由器對通過路由器的信息流進行加密和壓縮,然後通過外部網路傳輸到目的端進行解壓縮和解密。

其實目前防火牆產品非常之多，劃分的標准也比較雜。 主要分類如下：
1. 從軟、硬體形式上分為 軟體防火牆和硬體防火牆以及晶元級防火牆。
2.從防火牆技術分為 「包過濾型」和「應用代理型」兩大類。
3.從防火牆結構分為 < 單一主機防火牆、路由器集成式防火牆和分布式防火牆三種。
4. 按防火牆的應用部署位置分為 邊界防火牆、個人防火牆和混合防火牆三大類。
5. 按防火牆性能分為 百兆級防火牆和千兆級防火牆兩類。

7. 包過濾型防火牆和代理伺服器防火牆的優缺點

包過濾防火牆工作在網路協議IP層，它只對IP包的源地址、目標地址及相應埠進行處理，因此速度比較快，能夠處理的並發連接比較多，缺點是對應用層的攻擊無能為力。

代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據，比如http連接信息，因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢，能夠處理的並發數比較少。

代理伺服器是防火牆技術的發展方向，眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。

8. 防火牆主要有哪幾類體系結構，分別說明其優缺點

防火牆主要的體系結構：
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被屏蔽主機防火牆
4、被屏蔽子網防火牆
5、其他防火牆體系結構
優缺點：
1、包過濾型防火牆
優點：
（1）處理數據包的速度較快（與代理伺服器相比）；（2）實現包過濾幾乎不再需要費用；（3）包過濾路由器對用戶和應用來說是透明的。
缺點：
（1）包過濾防火牆的維護較困難；（2）只能阻止一種類型的IP欺騙；（3）任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險，一些包過濾路由器不支持有效的用戶認證，僅通過IP地址來判斷是不安全的；（4）不能提供有用的日者或者根本不能提供日誌；（5）隨著過濾器數目的增加，路由器的吞吐量會下降；（6）IP包過濾器可能無法對網路上流動的信息提供全面的控制。
2、雙宿/多宿主機防火牆
優點：
（1）可以將被保護的網路內部結構屏蔽起來，增強網路的安全性；（2）可用於實施較強的數據流監控、過濾、記錄和報告等。
缺點：
（1）使訪問速度變慢；（2）提供服務相對滯後或者無法提供。
3、被屏蔽主機防火牆
優點：
（1）其提供的安全等級比包過濾防火牆系統要高，實現了網路層安全（包過濾）和應用層安全（代理服務）；（2）入侵者在破壞內部網路的安全性之前，必須首先滲透兩種不同的安全系統；（3）安全性更高。
缺點：路由器不被正常路由。
4、被屏蔽子網防火牆
優點：
安全性高，若入侵者試圖破壞防火牆，他必須重新配置連接三個網的路由，既不切斷連接，同時又不使自己被發現，難度系數高。
缺點：
（1）不能防禦內部攻擊者，來自內部的攻擊者是從網路內部發起攻擊的，他們的所有攻擊行為都不通過防火牆；（2）不能防禦繞過防火牆的攻擊；（3）不能防禦完全新的威脅：防火牆被用來防備已知的威脅；（4）不能防禦數據驅動的攻擊：防火牆不能防禦基於數據驅動的攻擊。

9. 防火牆的優缺點是什麼

防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。目前市場上的防火牆基本大同小異，瑞星、天網等都可以用的。
不過目前的很多遠程監控程序都是採用反向鏈接方式，這樣一來防火牆基本上就形同虛設了，防止非法遠程監控最簡單有效的方法是安裝媲西伊遮斯。媲西伊遮斯是遠程式控制制軟體的剋星，是一款採用全新技術、唯一專門從根本上阻斷遠程監控的軟體。它能從根本上徹底阻斷非法屏幕監控、非法鍵盤和滑鼠記錄，阻斷密碼大盜和文檔資料的竊取，是一款全新概念的防阻非法監控的軟體。只要一出現四大非法監控，媲西伊遮斯馬上自動切斷。尤其對於那些未流行病毒、黑客自己製作的木馬以及某些所謂的正當監控軟體作用更明顯，因為這些是殺毒軟體無法查到無法殺掉的