防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,能很大限度阻止網(wǎng)絡(luò)中的黑1客訪問你的網(wǎng)絡(luò)。是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的獨(dú)個(gè)出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
防火墻監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生懷疑動作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
防火墻的過濾技術(shù)一般只應(yīng)用于OSI7層的模型網(wǎng)絡(luò)層的數(shù)據(jù)中,其能夠完成對防火墻的狀態(tài)檢測,從而預(yù)先可以把邏輯策略進(jìn)行確定。邏輯策略主要針對地址、端口與源地址,通過防火墻所有的數(shù)據(jù)都需要進(jìn)行分析,如果數(shù)據(jù)包內(nèi)具有的信息和策略要求是不相符的,則其數(shù)據(jù)包就能夠順利通過,如果是完全相符的,則其數(shù)據(jù)包就被迅速攔截。計(jì)算機(jī)數(shù)據(jù)包傳輸?shù)倪^程中,一般都會分解成為很多由目的地址等組成的一種小型數(shù)據(jù)包,當(dāng)它們通過防火墻的時(shí)候,盡管其能夠通過很多傳輸路徑進(jìn)行傳輸,而終都會匯合于同一地方,在這個(gè)目地點(diǎn)位置,所有的數(shù)據(jù)包都需要進(jìn)行防火墻的檢測,在檢測合格后,才會允許通過,如果傳輸?shù)倪^程中,出現(xiàn)數(shù)據(jù)包的丟失以及地址的變化等情況,則就會被拋棄。
防火墻的NAT模式地址翻譯技術(shù)由防火墻對內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行地址翻譯,使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù);當(dāng)外部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)流量返回到防火墻后,防火墻再將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址。NAT模式能夠?qū)崿F(xiàn)外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址,進(jìn)一步增強(qiáng)了對內(nèi)部網(wǎng)絡(luò)的安全防護(hù)。同時(shí),在NAT模式的網(wǎng)絡(luò)中,內(nèi)部網(wǎng)絡(luò)可以使用私人網(wǎng)地址,可以解決IP地址數(shù)量受限的問題。
以上信息由專業(yè)從事思科防火墻的安徽振維于2024/9/13 22:17:30發(fā)布
轉(zhuǎn)載請注明來源:http://chevaliers-et-troubadours.com/qyzx/anhuizhenwei-2812981955.html