5068教学资源网 > 儿童教育 > 词句大全 > 词语解释 >

防火墙的名词解释_选购误区

2022-08-04 09:34:34
|羽彤2

  防火墙的名词解释:

  防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。也有以防火墙为名的电影。

防火墙的名词解释_选购误区

  防火墙的功能:

  一、主要功能

  防火墙具有很好的保护作用。 [5]入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等。

  防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

  例如:TCP/IPPort 135~139是Microsoft Windows的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件夹】公开到Internet,供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞(这里是指【共享文件夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览文件夹的需求)。

  防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

  网络安全的屏障

  一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

  强化网络安全策略

  通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。

  监控网络存取和访问

  如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

  防止内部信息的外泄

  通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。

  二、其他功能

  防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。

  防火墙的选购误区:

  误区一:太过于相信实验数据。

  在防火墙的产品说明中,往往会有一些性能、功能方面的参考数字。如吞吐量有6G, 抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。

  一方面,这些数字都是实验数据。也就是说,是在一个相对合理的、干扰因素比较少的情况下得出的数据。但是,说实话,任何一个企业的网络环境都不可能达到他们测试产品的那种水准。当企业主机数量比较多,若分段不合理,就会造成比较多的网络广播,那时也会影响到这个最终的有效吞吐量。所以,对于实验室出来的数据,我们往往要打个对折。

  另一方面,不能够光看某个指标。在选购防火墙的时候,有多大几十项的指标,若其中一个指标,如吞吐量,即使高达10G,但是,若其他指标跟不上去的话,那么一切都是白搭。有时候,厂商在测试产品的时候,往往会把某些功能关掉后再进行测试。在这种情况下,测试出来的数据,实用价值不会很大。因为若把其他功能关掉,就启用一项功能,则CPU等硬件资源就不会发生争夺。如此,某个指标的数字看起来就会好看许多。而在企业中部署防火墙的时候,不可能只用一项功能。把其他功能开起来的话,则这个数字就会打折扣了。

  总之,在防火墙选购的时候,不要太过于相信实验数据。对于他们从实验室得出来的数字,笔者往往会给他们打个对折。打折后的数据,可能水分会少一点。所以,实验数据只能拿来参考。在有条件的情况下,网络管理员要结合自己的公司网络环境,对防火墙产品进行测试。这测试出来的结果,对于我们防火墙选购才会有参考价值。

  网络管理员不要走入这个误区。否则的话,网络管理员只有自己消化由此带来的苦果了。

  误区二:功能花哨却不实用。

  信息化技术越来越复杂,而且防火墙的竞争也越来越激烈。所以,防火墙厂商为了提供自己产品的市场竞争力,就往往在自己的防火墙产品中集成比较多的功能,以增加市场的卖点。

  对于这些功能,我们要冷眼看待。

  另一方面,一些额外的功能会耗费防火墙的资源。上面笔者说过,在实验室中测试产品的时候,往往只是测试单一的功能。如测试吞吐量的话,会把其他功能关闭掉。若把防火墙的功能都启用起来的话,则某个指标的数字可能需要打个两折了。所以,花哨功能多了,就会大大影响防火墙的性能。这就好像一个巨无霸,网络管理员必须为他提供更好的硬件配置,才能够让其正常的运行 。

相关推荐

热门推荐

510210
|