简要描述个人防火墙的主要功能和应用功能

全部展开

首先，防火墙可以做什么？

1. 数据包过滤

具有数据包筛选功能的防火墙？那就对了！根据防火墙的定义，可以有效防止网络上的非法连接的任何方法都被视为防火墙. 早期的防火墙通常使用设置条件来监视传递的数据包的特性，以决定是允许还是阻止它们. 数据包过滤是一项重要功能. 尽管防火墙技术得到了发展，但是已经提出了许多新概念，但是分组过滤仍然是非常重要的部分. 就像四层交换机一样，第一件事是具有交换机的基本功能，例如数据包的快速转发. 通过数据包过滤，防火墙可以阻止攻击，禁止对某些站点的内部/外部访问，并限制每个IP的流量和连接数.

2. 数据包的透明转发

实际上，因为防火墙通常安装在提供某些服务的服务器之前. 如果以表示，则为Server-FireWall-Guest. 用户访问服务器的请求和服务器反馈给用户的信息都需要通过防火墙转发. 因此，许多防火墙都具有网关功能.

3. 阻止外部攻击

如果防火墙设置不允许用户发送的信息，则防火墙将立即阻止它，以防止其进入防火墙后面的服务器.

4. 记录攻击

如果有必要，防火墙实际上可以记录攻击行为，但是出于效率方面的考虑，当前的攻击一般记录已移交给IDS完成，我们将在后面提及.

以上是所有防火墙都具有的基本功能. 尽管e799bee5baa6e79fa5e98193e58685e5aeb931333363363532非常简单，但防火墙技术是在此基础上逐步发展的.

第二，防火墙的优缺点是什么？

1. 防火墙可以阻止攻击，但不能消除攻击源.

“每个人都在自己家门口扫雪，而不管别人的霜”，是网络安全的当前状态. Internet上由病毒，木马，恶意诱惑等引起的攻击是无止境的. 正确配置的防火墙可以阻止它们，但不能清除攻击源. 即使防火墙设置正确，以致攻击无法穿透防火墙，各种攻击仍将继续尝试进入防火墙. 例如，以10M带宽连接到骨干网的站点平均每天有约512K的日流量作为攻击. 好吧，即使在成功设置防火墙之后，仍不会以任何方式减少这512K攻击流量.

2. 如果不设置策略，防火墙将无法抵御最新的攻击漏洞

像反病毒软件和病毒一样，病毒总是首先出现，并且反病毒软件可以在将签名添加到病毒之后分析并杀死病毒. 通过专家分析给出攻击方法的特征之后，还可以设置防火墙的各种策略. 如果发现世界上一个主机漏洞的黑客选择了您网络的第一个攻击目标，那么防火墙将无济于事.

3. 防火墙并发连接数的限制很可能导致拥塞或溢出

由于有必要判断和处理流经防火墙的每个数据包，因此防火墙在某些高流量和许多并发请求下可能会导致拥塞，这成为整个网络的瓶颈并影响性能. 当防火墙溢出时，整个防御过程就像一个假人，原始禁止的连接可以轻松通过.

4. 无法阻止防火墙对服务器合法打开的端口的攻击

在某些情况下，攻击者使用服务器提供的服务来进行漏洞攻击. 例如，使用开放端口3389获取尚未打补丁的win2k的超级权限，然后使用asp程序执行脚本攻击. 由于它的行为在防火墙级别上看起来“合理”和“合法”，因此就放手了.

5. 防火墙通常无法阻止内部发起的连接的攻击

“外紧内松”是一般局域网的特征. 处于受严格保护的防火墙内部的网络也许是混乱的并且可能的. 通过社交工程发送带有木马的电子邮件，带有木马的URL等，然后木马的计算机主动连接到攻击者，立即破坏了防火墙，就像铁墙一样. 另外，由于防火墙内部主机之间的攻击行为，防火墙只能像旁观者一样无奈地看不起它们.

6. 防火墙本身也会出现问题并受到攻击

防火墙也是操作系统，也具有其硬件系统和软件，因此仍然存在漏洞和错误. 因此，它也可能受到攻击并出现软件/硬件故障.

7. 防火墙不能处理病毒

它是Funlove病毒还是CIH. 当内部网络用户在外部网络上下载有毒文件时，防火墙不会移动（这里的防火墙指的是独立/企业级防病毒软件中的实时监视功能，尽管其中许多被称为“病毒防火墙”） ”.

看到这一点，也许您所想到的防火墙已被我从深泰撤下. 是的，防火墙是网络安全的重要组成部分，但这并不意味着防火墙可以确保网络安全. “真正的安全是一种意识，而不是技术！”请记住这一点.

无论如何，防火墙仍然有其积极的一面. 在构建任何网络防御工事时，除了物理隔离和新提议的网守概念之外，主要选择肯定是防火墙. 那么，如何选择所需的防火墙？

防火墙的分类

首先，让我们谈谈防火墙的分类. 就防火墙的结构而言（本文中的防火墙均指商用网络防火墙，个人不使用的防火墙），它们可以分为以下三种类型:

第一个: 软件防火墙

软件防火墙在特定计算机上运行. 它需要客户预先安装的计算机操作系统的支持. 一般来说，该计算机是整个网络的网关. 像其他软件产品一样，软件防火墙也需要在计算机上安装和配置后才能使用. 在防火墙制造商中，Checkpoint以制作网络版本的软件防火墙而闻名. 要使用这种类型的防火墙，网络管理需要熟悉操作系统平台.

第二: 硬件防火墙

此处提到的硬件防火墙是指所谓的硬件防火墙. 之所以加上“所谓的”一词，是出于芯片级防火墙的原因. 最大的区别在于它们是否基于专用的硬件平台. 目前，市场上大多数防火墙都是这种所谓的硬件防火墙. 它们全部基于PC架构，也就是说，它们与普通家用PC并没有太大区别. 这些PC体系结构计算机运行一些经过定制和简化的操作系统，最常用的是Unix，Linux和FreeBSD系统的旧版本. 值得注意的是，由于这种类型的防火墙仍使用其他内核，因此仍然会受到os本身安全性的影响. 许多家用防火墙产品属于此类别，因为它们使用的平台已被切断核心和自定义组件. 因此，一些家用防火墙的销售人员经常吹嘘他们的产品是“专用操作系统”等等. 我们下面提到的第三种防火墙是真正的专用操作系统.

第三: 芯片级防火墙

它们基于专用的硬件平台，没有操作系统. 专用ASIC芯片使它们比其他类型的防火墙更快，并具有更大的处理能力和更高的性能. 此类防火墙最著名的制造商是NetScreen. 其他品牌包括FortiNet，它是后起之秀. 因为这种类型的防火墙是专用操作系统，所以防火墙本身具有较少的漏洞，但是价格相对较高，因此通常仅在“真正需要”时才考虑使用它.

在这里，特别是纠正一些不正确的概念:

1. 在性能方面，芯片级防火墙>硬件防火墙>软件防火墙.

就价格而言，确实是这样的关系. 但是性能并不一定. 防火墙的“好”取决于它支持的并发数量，最大流量等的性能，而不是区分软件和硬件. 实际上，除了芯片级防火墙之外，软件防火墙和硬件防火墙在硬件上基本相同. 目前，大多数国内防火墙制造商使用硬件防火墙而不是软件防火墙. 原因1是考虑到用户网络管理员的素质和其他原因. “软件不值钱”是为了迎合这种错误观点. 许多硬件防火墙制造商诽谤了软件防火墙的性能，但是只有使他们的普通PC带有外壳+修改后的内核+一套防火墙软件才能卖出好价钱. 为什么不建立芯片级防火墙？坦白说，没有一家国内公司具有技术实力. 而且在中国市场上，一些国内所谓的硬件防火墙的硬件质量无法与DIY兼容机器相提并论. 看一下家用XX硬件防火墙的较差的硬盘驱动器和网卡，使用过它的任何人都可以猜出是哪一个，而我不会命名. 要真正查看防火墙，我们应该查看其稳定性和性能，而不是区分硬和软. 至少，如果作者自己购买，我会选择购买CheckPoint而不是购买某些所谓的硬件防火墙.

2. 实际上，芯片防火墙要比其他两个防火墙好

这也不公平. 实际上，由于硬件的独立性，芯片防火墙确实很少有机会在OS本身中造成漏洞，但是由于其固化，它无法及时对某些新兴的攻击方法做出响应. 虽然另外两个防火墙很简单，但通过升级操作系统的内核以获得新的系统功能和灵活的策略设置以满足不断变化的需求，其操作系统中出现漏洞的可能性相对较高.

3. 只有技术指标理论

请在“购买并使用防火墙”的前提下进行购买. 防火墙本身的质量如何是一回事，是否习惯了另一回事. 如果您不熟悉产品的界面并且不了解策略设置方法简述防火墙的基本功能，即使使用世界顶级的防火墙也无济于事. 就像小说中的武术家们向往的小说中的“一天剑”和“屠龙刀”一样，我明白了，这绝对不是乔峰赤手的对手. 随着防火墙技术的发展，市场已经非常成熟，各种产品的存在自然有其在市场中生存的原因. 善于使用产品远胜于盲目比较各种产品.

IDS

什么是IDS？早期的IDS只是一个监视系统. 在这里，您可以将监视理解为. 根据本地网络的当前工作模式，IDS可以记录用户对与IDS位于同一交换机/集线器中的服务器的访问和操作，以供分析和使用简述防火墙的基本功能，类似于我们常用的Windows操作系统的事件查看器. 后来，由于IDS中的记录太多，因此新一代IDS可以对记录的数据进行分析，并且仅列出一些危险的记录. 这与当前窗口使用的策略审查非常相似. 新的第一代IDS增加了分析应用程序层数据的功能，从而大大提高了其容量. 新一代的IDS具有“不同的道路，互相帮助”的味道. 敌对地址会阻止其访问.

就像理论和实践之间的区别一样，尽管IDS具有上面提到的许，但在实际使用中，当前大多数用于入侵检测的访问方法都使用传递来侦听网络Internet上的数据流，因此这限制了IDS本身的阻止功能. IDS仅通过发送阻止数据包来阻止当前行为，IDS的阻止范围也很小，只能基于TCP进行阻止. 上面的某些行为，例如Telnet，FTP，HTTP等，但是对于某些基于UDP的行为，则没有任何关系. 由于防火墙策略是预先设置的，因此无法动态设置，缺乏攻击所需的灵活性并且不能更好地保护网络的安全性，因此IDS与防火墙之间的链接的目的是更有效地阻止正在发生的事情. 攻击事件，从而将网络风险降低到更低的水平.

接下来，我将简要介绍IDS与防火墙之间的链接的工作原理

入侵检测系统捕获攻击事件后，将根据策略进行检查. 如果在策略中为攻击事件设置了防火墙，则入侵检测系统将向防火墙发送相应的动态阻止策略. 防火墙将根据动态策略中的设置执行相应的阻止. 阻塞时间，阻塞间隔，源端口，目的端口，源IP和目的IP均根据入侵检测系统发布的动态策略来实现. 通常，在许多情况下，许多用户的防火墙和IDS不是同一产品. 因此，大多数链接协议遵循opsec或topsec协议进行通信，但是一些制造商已经制定了自己的通信规范. 目前，这种联动具有一定的作用，但稳定性尚不理想，特别是攻击者利用虚假的报文信息对IDS做出错误的判断，然后错误地指示防火墙无辜地屏蔽了合法地址.

由于存在许多缺陷，IDS目前主要充当监视记录的角色. 用一个比喻来描述: 互联网就像一片漆黑，到处都是危险，世界上只有一个出口. IDS就像一个手电筒，虽然手电筒可能无法照亮正确的出口，但至少有些总比没有好. 称职的网络管理员可以从IDS获取一些网络用户的资源和访问方法，然后根据自己的经验做出主观判断（请注意，这确实是主观判断. 例如，如果用户连续半个小时对服务器进行ping操作， ，这是有意攻击还是无意行为？这是基于网络管理员的主观判断和网络安全要求来确定相应的方法. ）IDS的选择类似于上面讨论的防火墙的选择. 根据您的实际需求和使用习惯，选择一种足以满足您自己的需求，就可以使用它.

最后，我仍然要说一句“世界上没有任何技术能够真正保证绝对的安全性”. 安全问题从设备到人员，从服务器上的每个服务程序到防火墙，IDS和其他安全性，都是产品的综合性问题. 在任何环节中工作都只是迈向安全的一步.

参考: TechTarget中国网络

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-207630-1.html