网管心得——常用防火墙配置
防火墙技术是建立在通信网络技术和信息安全技术基础上的应用性安全技术,越来越多的应用于专用网络与公用网络的互联环境中,例如Internet网络。
因特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏。要使一个防火墙有效,所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须具有免穿透功能。防火墙系统一旦被攻击者突破,就不能提供任何保护了。一个好的防火墙系统应具有以下五方面的特性:
所有在内部网络和外部网络之间传输的数据都必须通过防火墙
只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙
防火墙本身不受各种攻击的影响
使用目前新的信息安全技术,比如现代密码技术、一次口令系统、智能卡等
人机界面良好,用户配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者、访问协议以及访问方式进行控制
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界的点上,因特网防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它更是安全策略的一部分。安全策略建立了全方位的防御体系来保护机构的信息资源;安全策略应告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有能受到网络攻击的地方都必须以同样安全级别加以保护。只设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
麻雀徐碧城结局
为实现以上功能,在防火墙产品的开发中,人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段,纵观防火墙产品近年内的发展,可将其分为四个阶段:
1.基于路由器的防火墙
由于多数路由器中本身就包含有分组过滤的功能,所以网络访问控制功能可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
一句话签名励志利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤
过滤判决的依据可以是:地址、端口号、IP旗标(Flag)及其它网络特征
只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙
2.用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户化防火墙工具套的出现。作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
针对用户需求,提供模块化的软件包
软件可通过网络发送,用户可自己动手构造防火墙
与第一代防火墙相比,提高了安全性且降低了成本
由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
徐峥主演的电影配置和维护过程复杂、费时
对用户的技术要求高
全软件实现、安全性和处理速度均有局限
实践表明,使用中出现差错的情况很多
3.基于通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可用的就是这一代产品,它具有以下特点:
是批量上市的专用防火墙产品
包括分组过滤或者借用路由器的分组过滤功能
装有专用的代理系统,监控所有协议的数据和指令
保护用户编程空间和用户可配置内核参数的设置
安全性和速度大为提高
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,已得到广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证
由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责
从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击
妇女节祝福语句
4.具有安全操作系统的防火墙
防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。
具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性,由此建立的防火墙系统具有以下特点:
防火墙厂商具有操作系统的源代码,并可实现安全内核
对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护
对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁
如何开淘宝网店在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能
透明性好,易于使用
白晓燕惨死照片