防火墙与网络信息安全
随着网络的不断发展,网络越来越深入到人们日常生活及工作的各个角落,信息安全问题也逐渐受到人们的关注,网络防火墙在网络与信息安全方面扮演了越来越重要的角色,各种软件、硬件防火墙逐渐走入寻常百姓的工作与生活应用中。本文将向您介绍网络防火墙的一些基本知识。
l 防火墙的概念
防火墙的本义,是指古代使用木制结构的房屋,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为 “防火墙”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访,以保护内部网络。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
l 防火墙的定义
防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。
传统意义上的定义:一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
广泛意义定义:防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙因为价格昂贵,家庭用的很少),该计算机流入流出的所有网络通信均要经过此防火墙并接受其控制。
l 防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中;防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙;最后,直接连在因特网的机器可以使用个人防火墙。
l 防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(一)防火墙的网络安全屏障功能
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
(二)网络安全策略强化功能
通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
(三)对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(四)防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务,这样一台主机的用户注册名、最后登录时间、使用shell类型、域名和IP地址等就不会被外界所了解。
(五)虚拟专用网功能
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
l 防火墙的三个基本特性
典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
(二)只有符合安全策略的数据流才能通过防火墙
(三)防火墙自身应具有非常强的抗攻击免疫力
l 为什么使用防火墙?
防火墙具有很好的保护作用,合理正确的配置与使用防火墙,可以大大降低您的系统受到黑客攻击、病毒感染、木马控制、间谍软件窃取隐私和机密信息的威胁。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流、网络游戏等,但至少这是你自己的保护选择。
l 防火墙的应用
企业一般应配置硬件级防火墙,以保证性能和稳定;企业内网用户可有选择性的安装各类软件防火墙,主要应对内部的病毒木马和蠕虫感染传播,以及过滤网页恶意代码。
个人或家庭用户,安装Windows XP SP2、Windows Vista或以上版本的,可以开启系统自带的网络防火墙,也可以选择安装天网防火墙个人版等。大部分杀毒、安全软件产品,现在基本都可选购网络防火墙功能模块,如金山毒霸、瑞星、卡巴斯基等,安装时应附带安装网络防火墙(包括网页防火墙、邮件防火墙、文件防火墙等等),并将防火墙等级配置为高或学习模式,以确保所有网络出、入应用和流量,都是受您控制和许可的。
