首页 >
防火墙
✍ dations ◷ 2025-04-03 17:01:44 #防火墙
防火墙(英语:Firewall)在计算机科学领域中是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是当前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是:根据最少特权原则,在不同水平的信任区域,通过连通安全政策的运行,提供受控制的连通性。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果电脑有使用【网上邻居】的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件夹】公开到Internet,供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞(这里是指【共享文件夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览文件夹的需求)。防火墙的本义,是指古代构筑和使用木制结构房屋时,为防止火灾发生及蔓延,人们将坚固石块堆砌在房屋周围做为屏障,这种防护结构建筑就被称为防火墙。现代网络时代引用此喻意,指隔离本地网络与外界网络或是局域网间与互联网或互联网的一道防御系统,借由控制过滤限制消息来保护内部网数据的安全。针对普通用户的个人防火墙,通常是在一部电脑上具有数据包过滤功能的软件,如ZoneAlarm及Windows XP SP2后内置的防火墙程序。而专业的防火墙通常为网络设备,或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层和应用层。运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则,只允许符合规则的数据包通过。网络层防火墙可分为:状态感知(stateful)与无状态感知(stateless)。状态感知(stateful)状态感知防火墙会针对活动中的连线维护前后传输的脉络,并使用这些状态信息来加速数据包过滤处理。根据需求,现行的网络连线由各种性质描述,包括:来源端IP位置,目的端IP位置、UDP或TCP端口口号码,以及连线所处的状态阶段(连线初始化、交握中,数据传输中、或完成连线)。如果有数据包与现存连线不符,防火墙会根据规则来评估此数据包是否该属于另外一个新连线。如果数据包符合现存连线,防火墙会根据自己所创建的状态表完成比对,该数据包就不必额外处理,即可通过两端网络。无状态感知(stateless)无状态感知防火墙所需较少的存储器,针对欲通过的数据包,作比较简易与快速的过滤。如此,相较于查询对话工作期间(sesssion),无状态感知防火墙所耗的时间也较少。这种防火墙可处理无状态网络通信协议,这种协议并没有对话工作期间(sesssion)的概念。反之,这种防火墙无法根据沟通的两端所处的状态阶段作出复杂的决策。我们也能以另一种较宽松的角度来制定防火墙规则,只要数据包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用数据包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的域名或网段...等属性来进行过滤。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包,并且屏蔽其他的数据包(通常是直接将数据包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。防火墙借由监测所有的数据包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。实际上,这个方法繁复(因软件种类极多),所以大部分防火墙都不会考虑以这种方法设计。截至2012年,所谓的下一代防火墙(NGFW)都只是“拓宽”并“深化”了在应用栈检查的能力。例如,现有支持深度分组检测的现代防火墙均可扩展成入侵预防系统(IPS),用户身份集成(用户ID与IP或MAC地址绑定),和Web应用防火墙(WAF)。代理(Proxy)服务器(可以是一台专属的网络设备,或是在一般电脑上的一套软件)采用应用程序的运作方式,回应其所收到的数据包(例:连线要求)来实现防火墙的功能,而屏蔽/抛弃其他数据包。代理服务器用来连接一个网络(例:互联网)到另一个特定子网(例:企业内网)的转送者。代理会使从外部网络窜改一个内部系统更加困难,且只要对于代理有良好的设置,即使内部系统出现问题也不一定会造成安全上的漏洞。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途增加安全,破坏者也许仍然使用方法譬如IP欺骗(IP spoofing)试图通过数据包对目标网络。防火墙经常有网络地址转换(NAT) 的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,定义在RFC 1918。防火墙的适当的配置要求技巧和智能,它要求管理员对网络协议和电脑安全有深入的了解,因小差错可使防火墙不能作为安全工具。此防火墙需有两张网卡,一张与互联网连接,另一张与内部网连接,如此互联网与内部网的通道无法直接接通,所有数据包都需要透过主机发送。此防火墙除了主机型防火墙的两张网卡外,另安装应用服务转送器的软件,所有网络数据包都须经过此软件检查,此软件将过滤掉不被系统所允许的数据包。此防火墙的硬件设备除需要主机外,还需要一个路由器,路由器需具有数据包过滤的功能,主机则负责过滤及处理网络服务要求的数据包,当互联网的数据包进入屏障单机型防火墙时,路由器会先检查此数据包是否满足过滤规则,再将过滤成功的数据包,转送到主机进行网络服务层的检查与发送。将屏障单机型防火墙的主机换成双闸型防火墙。此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网,数据包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络数据包更有效率。若一数据包通过第一过滤器数据包,会先在屏障子网域进行服务处理,若要进行更深入内部网的服务,则要通过第二路由器过滤。正常状况下,所有互联网的数据包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性数据包出现时,攻击者会不时寄出数据包,让防火墙疲于过滤数据包,而使一些合法数据包软件亦无法正常进出防火墙。
相关
- 荧光淬灭荧光淬灭(英语:Quenching)猝灭是当常温物质经射线照射(通常为紫外线或X射线)所发出会萤光强度降低的任何过程。淬灭受压力和温度的影响很大,许多过程都可导致淬灭,例如激发态反应,能
- 硼中子俘获治疗(BNCT)中子俘获疗法(NCT)是用于治疗局部侵入性恶性肿瘤如原发性脑肿瘤和复发性头颈部癌的一种非侵入性治疗方法。NCT分两个步骤进行,首先是给病人注射一种含有对慢中子具有俘获倾向性
- 日本环境省环境省(日语:環境省/かんきょうしょう,英语:Ministry of the Environment)是日本中央省厅之一。负责地球环境保全、防止公害、废弃物对策、自然环境的保护及整备环境。以下是各部
- QJ51ATC代码J(抗感染药)是解剖学治疗学及化学分类系统的一个分类,这是由世界卫生组织药物统计方法整合中心(The WHO Collaborating Centre for Drug Statistics Methodology)所制定的
- 数词数词就是表示数目和次序的词。表示确定的数目,多放在事物前面。例如:一、十、千、亿等。表示计算或排行事物的次序。例如:第一、初二等。表示大概的数目。例如:几、二十上下、五
- 登革热病毒登革热(法語:La fièvre de la dengue ; 英語:dengue fever),也称为骨痛热症、断骨热、天狗热,是一种由登革热病毒引起的由蚊媒热带病(英语:tropical disease)。患者大约会在感染后3
- HNO次硝酸,化学式为HNO,人们较为了解它在气相中的性质。与之对应的共轭碱为NO−,(pKa = 11.4)。NO−在氧化还原反应中对应的氧化产物为一氧化氮(NO),与氧气互为等电子体。次硝酸常作
- 半生期半衰期(英语:Half-life)是指某种特定物质的浓度经过某种反应降低到剩下初始时一半所消耗的时间,半衰期是研究反应动力学的一个容易测定的重要参数,数学上可以证明,只有一级反应的
- Nsub4/subHsub4/sub四氮烯是一种氮的氢化物,分子式为N4H4。在IUPAC命名法中,该化合物及其衍生物被统称为“四氮烯”。最常见的衍生物是四氮烯炸药,用作敏感的混合点火药。
- MgSOsub3/sub亚硫酸镁是亚硫酸的镁盐,化学式MgSO3。其最常见的水合形式有6个水分子,使其成为六水合物MgSO3 ·6H2O。加热到40 °C(104 °F)以上时,将脱水成三水合亚硫酸镁(MgSO3 ·3H2O)。 无水