前言
相信大多数第一次接触电脑的小白一听到防火墙,脑袋里跟我一样瞬间勾勒出了一幅画面。
不过这自然也不是我们计算机 络中所提到的防火墙了, 络中的防火墙是一种技术,通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机 络于其内、外 之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。
防火墙的简介
防火墙是一种抵御外部 络攻击的技术,其功能主要在于及时发现并处理计算机 络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机 络安全当中的各项操作实施记录与检测,以确保计算机 络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机 络使用体验。
防火墙的作用
对个人计算机的保护作用
可以防止外部的攻击,可以把任意的IP或IP段加入不信任区,从而使它们不能够连接到本地机,并拥有控制程序是否访问 络功能、邮件保护功能、实时的查杀木马及病毒的功能、个人隐私保护的功能。
对于游戏老玩家来说,这肯定不陌生了,小时候玩破解版游戏(支持正版!记得补票( $ _ $ ) ,有些破解版存在缺陷的是要关闭防火墙的,否则就会加载失败,这正是由于防火墙对于计算机的保护。
对服务器的保护作用
相信看过带你系统了解从浏览器中输入 址到显示出 页内容其间计算机 络经历了哪些过程这篇文章的人一定对 络中信息交互的流程不陌生了,但你可能并不了解其实 络包从互联 到达服务器的过程,是根据服务器部署地点的不同而改变的。以前的服务器直接部署在公司 络上,并且可以从互联 直接访问。这种情况下, 络包通过最近的互联 中的路由器、接入 以及服务器端路由器之后,就直接到达了服务器。
日志记录与事件通知
进出 络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供 络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行 警和通知,提供 络是否受到威胁的信息。
防火墙的结构和原理
包过滤方式
无论服务器部署在哪里,一般都会在前面部署一个防火墙,如果 络包无法通过防火墙,那么也就无法到达服务器,那么如何从 络中流动着的各种各样的包中分辨出哪些可以通过呢性能、价格等因素考虑,我们可以采用包过滤的方式。
由于 络包的头部中包含了用于控制通信操作的控制信息,所以只要检查这些信息,就可以起到过滤的作用了。一般通过接收方与发送方的IP地址判断包的起点和终点,接着通过端口 限定应用程序,通过控制位判断连接方向。
包过滤方式的防火墙不仅可以允许或者阻止 络包的通过,还具备地址转换功能,因为具备了包过滤方式的防护墙一般是下面这种结构,将开放给外 的服务器和公司内 分开部署,Web服务器所在的 络可以从外 直接访问。
所以根据这些规则判断是否允许通过还是阻止通过,如果结果为阻止,那么防火墙的日志记录功能就会派上用场,这个包会被丢弃并记录下来,通过分析这些被丢弃的包能够搞清楚入侵者使用的手法,从而帮助我们更好地防范非法入侵。
防火墙能够防范的威胁
| 威胁种类 | 说明 |
|---|---|
| 窃听 | 通过窃听 络数据获取信用卡卡 ,密码等重要信息 |
| 纂改 | 将 站主页、邮件等通信内容恶意修改 |
| 破坏 | 通过计算机病毒或DoS攻击等破坏系统的正常工作 |
| 冒充 | 冒充他人接收邮件、对通信对方实施钓鱼、诈骗等行为 |
| 信息泄露 | 个人计算机或服务器上重要的个人信息或文档泄露 |
| 攻击跳板 | 作为病毒部署或DoS攻击的跳板(中继处) |
| 垃圾邮件 | 以盈利为目的发送大量垃圾邮件 |
防火墙无法抵御的攻击
防火墙可以根据包的起点和终点来判断是否允许其通过,但仅凭起点和终点并不能筛选出所有有风险的包。比如,假设Web服务器在收到含有特定数据的包时会引起宕机。但是防火墙只关心包的起点和终点,因此即便包中含有特定数据,防火墙也无法发现,于是包就被放行了。然后当包到达Web服务器时,就会引发服务器宕机。所以只有检查包的内容才能识别这种风险,防火墙对这种情况也无能为力。
防火墙的分类
软件型防火墙
个人防火墙
个人防火墙运行于个人计算机上,用于监控个人计算机与外部 络之间的通信信息,主要功能如下表所示:
| 功能 | 介绍 |
|---|---|
| 确认连接请求 | 向用户确认是否阻止特定的连接请求 |
| 安全日志 | 根据需要生成记录(安全日志),记录计算机正常连接与错误连接的信息。这些记录在做故障分析时会起到很大作用 |
| 反病毒(病毒对策)功能 | 阻止接收到计算机病毒和蠕虫通信 |
| 反间谍软件(间谍对策)功能 | 阻止接收到来自于以犯罪为目的的间谍软件或程序的通信 |
| 个人信息保护功能 | 设立对策以防止个人信息被窃取,浏览恶意 站以及钓鱼诈骗等 |
关刑防火墙
在计算机 络的 关中设置类似防火墙设备的功能,从而对 络中通信流量进行策略控制,这种类型的防火墙即为 关型防火墙。 关型防火墙分为两类,一类是在Windows、Linux等通用操作系统上安装并运FireWall-1软件的软件型 关防火墙,一类是使用专用设备的硬件型 关防火墙。
个人防火墙主要监控所有到达个人计算机的通信流量,而 关型防护墙则需要监控来自多数不特定终端设备的通信流量,并在它们通过 关时实施策略控制。
个人防火墙与 关型防火墙的主要区别
| 个人防火墙 | 关型防火墙 | |
|---|---|---|
| 安装位置 | 用户的个人计算机 | Windows或Linux等服务器上 |
| 络上的位置 | 终端处 | 关处 |
| 安全监测对象 | 流入终端的通信流量 | 流经 关的所有通信流量 |
| 加密通信 | 在终端上解密后检查 | 不能检查(有时也能够对SSL通信等进行解密) |
| 压缩文件检查 | 解压后检查 | 对解压方式、解压级别有限制 |
| 对附带口令文件的检查 | 输入口令后解压检查 | 不能检查 |
硬件型防火墙
硬件型防火墙是指通过硬件设备实现的防火墙,外形同路由器形状类似,但 络接口类型一般只支持以太 。
络信息安全的担忧
络信息安全主要是指 络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行, 络服务不中断。而防火墙作为一种抵御外部 络攻击的机制,也是最早出现的一种 络防御机制,防火墙为信息安全做出了不可磨灭的贡献。然而,现在已经出现了很多可以绕过防火墙的攻击方法,因此防火墙一般需要和反病毒、非法入侵检测、访问隔离等机制并用。
安全威胁人的类型
安全威胁一般分为人为因素和非人为因素(自然灾害等),防火墙面临的威胁一般来自于人为因素。
| 名称 | 说明 |
|---|---|
| 黑客(hacker) | 经常会听到“被黑客入侵了”的说法,但实际上黑客是指那些对计算机技术了如指掌的 人,而并非特指 络攻击者 |
| 破解者(cracker) | 对 络进行非法访问、窃听信息、纂改等新为的人 |
| 进攻者(attacker) | 以造成系统当机为目的、对系统施展DoS等攻击的人 |
| 妨碍者 | 发送大量垃圾邮件、在BBS中粘贴大量广告、发布大量无意义信息的人 |
| 普通用户 | 尽管不会有主动的攻击行为,但普通用户会在不知情的情况下使用了被病毒、蠕虫等感染的个人计算机,从而成为威胁 络安全的对象 |
| 僵尸(bot) | 作为攻击跳板的终端,经常被植入带有攻击程序的病毒,遭受感染的终端称为“僵尸”,由大量僵尸程序组成的 络则称为“僵尸 络” |
说实话,生活在这个信息井喷式增长的 会,个人信息的泄露可能已经见怪不怪了,我们手机当中每天充斥着各种垃圾短信与邮件、以及程序操控的人工智能语音系统带来的骚扰电话,给我们的生活带来了极大的困扰。
从苹果手机这几年主要的宣传卖点——个人隐私的保护就可以看出 络信息安全的发展愈发的重要与紧急。我们国家早已开始注重 络信息安全技术的发展,从2008年起,每年都会举办全国大学生信息安全竞赛,听说奖金很诱人哦(~ ̄▽ ̄)~。所以以后从事 络安全的工作也是一门非常不错的选择,欢迎有志向的青年投身其中,奔涌吧!后浪!!!
既然已经了解了防火墙的原理和作用,接受了学习的洗脑,是时候该休息一下了,最后向电影爱好者推荐一部06年的老片,有关 络中攻击防火墙犯罪的电影——《防火墙》导演是理查德·隆克瑞恩。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!