防火墙(讲解)

目录

1.防火墙是什么?

2.防火墙设备

3.防火墙功能

1)出色的控制能力,过滤掉不安全服务

2)过滤非法用户和访问特殊站点

3)它能够对网络存取和访问进行监控审计

4.防火墙的局限

(1)防火墙有可能是可以绕过的

(2)防火墙不能防止内部出卖性攻击或者内部误操作

(3)防火墙不能防止对开放端口或服务的攻击

(4)防火墙可以阻断攻击,但是不能消灭攻击源

(5)防火墙本身也会出现问题,也会遭到攻击


大家在上网的过程中应该都见过这样一个安全提示:windows防火墙已阻止此程序。

1.防火墙是什么?

在古代建筑中,防火墙(Fire Wall)是用来防止火灾蔓延的防护构筑物。而在计算机网络中,防火墙是设置在可信任的内部网络不可信任的外界(如因特网)之间的一道保 护屏障,用来保护内部网免受外部网上非法用户的入侵,这是目前实现网络安全最有效的 措施之一。

安装防火墙以后,所有内部网络和外部网络之间传输的数据必须通过防火墙,防火墙 允许授权“同意”的用户和数据进入到内部网络中,同时将“不同意”的用户和数据拒之 门外,最大限度地阻止网络中的黑客来访问内部网络。

在电影《防火墙》中,盗匪利用绑架电脑专家杰克的家人,威胁杰克利用自己的电脑 强项,来突破杰克自己编写的防火墙程序,以达到从银行的账户上窃取客户资料、获得金钱的非法目的。如果杰克不帮助盗匪通过防火墙,盗匪就无法访问银行内部的网络。

2.防火墙设备

防火墙的发展历经三代:简单包过滤、应用代理、状态检测防火墙,目前最新的主流技术是具有数据流过滤功能的防火墙。

早期的防火墙一般是直接安装在计算机上的一套软件,是一个应用软件,代表的产品 有checkpoint公司的防火墙,还有一些用于个人计算机的防火墙,如瑞星、360ARP,金山网盾等。

后来采用PC硬件结构,基于Unix、LINUX等操作系统内核开发安全防护的一些基本特性所构成的硬件防火墙,是软件和硬件的结合体,如天融信公司的早期防火墙产品。

现在则是采用独立设计的asic芯片,基于专门的硬件平台,没有操作系统,在CPU, 电源、风扇、总线、扩展插卡等方面优化结构,保证防火墙产品得到最优的处理性能,比 较有名的是华为、思科、H3C、juniper等公司的防火墙产品

3.防火墙功能

在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,入侵者必须首先穿越防 火墙的安全防线,才能接触目标计算机。

1)出色的控制能力,过滤掉不安全服务

防火墙作为一个阻塞点、控制点,能封锁所有的信息流,通过服务控制(确定哪些服 务可以被访问)、方向控制(对于特定的服务,可以确定允许哪个方向能够通过防火 墙)、用户控制(根据用户来控制对服务的访问)、行为控制(控制一个特定的服务的行 为),对希望提供的安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼 杀在萌芽之中,从而极大地提高内部网络的安全性。

2)过滤非法用户和访问特殊站点

通过以防火墙为中心的网络安全方案配置,能将所有安全软件(口令、加密、身份认 证、审计等)配置在防火墙上,以强化网络安全策略。如是否允许所有用户和站点对内部 网络进行访问,是否按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。

3)它能够对网络存取和访问进行监控审计

所有的外部访问都经过防火墙时,防火墙就能记录下这些访问,为网络使用情况提供统 计数据。当发生可疑信息时防火墙能发出报警,并提供网络是否受到监测和攻击的详细信息。

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。

4.防火墙的局限

防火墙并不是万能的

(1)防火墙有可能是可以绕过的

防火墙一旦被攻击者击穿或者绕过,防火墙就失去作用了。实际上由于防火墙依赖于口 令,所以防火墙不能防范黑客对口令的攻击。几年前,两个在校学生编了一个简单程序, 通过对波音公司的口令字的排列组合试出了开启内部网的要求,从内部网中搞到了一张授 权的波音公司的口令表,将口令一一出卖。所以美国马里兰州的一家计算机安全咨询机构 负责人诺尔.马切特说:“防火墙不过是一道较矮的篱笆墙”。黑客像耗子一样,能从这 道篱笆墙上的窟窿中自由出入。

(2)防火墙不能防止内部出卖性攻击或者内部误操作

显然,当内部人员将敏感数据或者文件复制到U盘等移动设备上提供给外部攻击者时,防 火墙是无能为力的。当内部一个带有木马的机器主动和攻击者连接,这时像铁壁一样的防 火墙瞬间就会被破坏掉。此外,内部网中各个主机之间的攻击行为,防火墙也只有如旁观 者一样冷视而爱莫能助。

(3)防火墙不能防止对开放端口或服务的攻击

如WEB服务要开放80端口,MAIL服务要开放25端口,这时防火墙不能防止对80端口、25端 口的攻击。

(4)防火墙可以阻断攻击,但是不能消灭攻击源

防火墙是一种被动防卫机制,不是主动安全机制。因特网上的各种攻击源源不断,设置得 当的防火墙可以阻挡他们,但是无法消除这些攻击源,这些攻击仍然会源源不断的向防火 墙发出攻击尝试。

(5)防火墙本身也会出现问题,也会遭到攻击

防火墙不能干涉还没有到达防火墙的数据包,如果这个数据包是攻击防火墙的,只有已经 发生了攻击,防火墙才可以对抗。并且防火墙也是一个系统,也有自己的缺陷,也会受到 攻击,这是许多防御措施就会失灵的。

是的,防火墙是网络安全的重要一环,但不代表设置了防火墙,就一定能保证网络绝 对安全,但是设置得当的防火墙,至少会使得网络更为坚固一些,并能提供更多的攻击信息供分析用。

“真正的安全是一种意识,而非技术!”     请牢记这句话。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/764151.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue的优缺点有那些 组件常用的有那些?

优点: 组件化开发,提升效率,方便复用,便于协同开发单页面路由易于结合其他的第三方库丰富的api方法轻量高效,虚拟DOMMVVM,数据驱动视图轻量级的框架 缺点: 缺少高阶教程和文档生态环境不如angular和re…

javascript 获取本机ip chrome 谷歌浏览器 extension 谷歌扩展

代码一: if (typeof window ! undefined) {var RTCPeerConnection window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection;if (RTCPeerConnection)(() > {var rtc new RTCPeerConnection()rtc.createDataChannel(); //创…

Vscode初建Vue时几个需要注意的问题

首先放图 注意点1.打开文件夹时,可以是VUE2 或者其他,但不能是VUE,会报错 注意点2.终端输入命令“npm init -y" npm init -y -y 的含义:yes的意思,在init的时候省去了敲回车的步骤,生成的默认的packag…

AI智能分析网关V4在非煤矿山安全生产视频智能监管场景中的应用

近年来,全国非煤矿山((含金属非金属矿山、尾矿库,以及矿泉水等其他矿山)安全生产工作取得明显成效,但安全基础仍然薄弱,事故总量仍然较大,重特大事故尚未得到根本遏制,安…

Clickhouse异常:Exception: No operation equals between Decimal(X, X) and Float64

在使用clickhouse中的Decimal类型存储数字时,使用Decimal类型字段作为查询条件时,比如: SELECT COUNT(*) AS total FROM table WHERE ( my_number10.2) 会报错如下:Exception: No operation equals between Decimal(X, X) and F…

linux之sed编辑器指令练习

目录 一、sed编辑器 二、sed使用案例 1.1 s命令(substitute替换) 一、sed编辑器 sed编辑器比交互式编辑器快的多,可以简化数据处理任务,sed编辑器并不会修改文件,只会将修改后的数据,输出。 二、sed使用案例 首先…

Carla 自动驾驶挑战赛 搭建环境

1. 系统设置 1.1 下载CARLA排行榜包 下载打包的CARLA 排行榜版本。 将包解压到一个文件夹中,例如 CARLA。 在以下命令中,更改${CARLA_ROOT}变量以对应于您的 CARLA 根文件夹。 为了使用 CARLA Python API,您需要在您喜欢的环境中安装一些…

Python:类和对象

注意:本文引用自专业人工智能社区Venus AI 更多AI知识请参考原站 ([www.aideeplearning.cn]) 面向对象编程 VS 面向过程编程 在使用计算机语言进行代码编写时,常见的两种思路是面向对象编程和面向过程编程: &#xf…

SQLiteC/C++接口详细介绍sqlite3_stmt类(十一)

返回:SQLite—系列文章目录 上一篇:SQLiteC/C接口详细介绍sqlite3_stmt类(十) 下一篇: SQLiteC/C接口详细介绍sqlite3_stmt类(十二) 43、sqlite3_reset sqlite3_reset 函数用于重置已经编…

uniapp安装axios

先npm安装 npm i axios然后在项目里面建一个utils文件,再建一个index.js 以下是index.js代码: import axios from axios; const service axios.create({baseURL: //xxxx.xxxxx.com///你的请求接口域名, timeout: 6000, // request timeoutcrossDomai…

【C++】1599. 米老鼠偷糖果

问题:1599. 米老鼠偷糖果 类型:基本运算、整数运算 题目描述: 米老鼠发现了厨房放了 n 颗糖果,它一次可以背走 a 颗,请问米老鼠背了 x 次之后还剩多少颗?(假设 x 次之后一定有糖果剩下&#x…

Redis中的缓存击穿

缓存击穿 缓存击穿问题也叫热点key问题,就是一个被高并发访问并且缓存重建业务较复杂的key突然失效了,无数的请求访问会在瞬间给数据库带来巨大压力。 🤔现象分析: 当线程1查询缓存时,未命中,于是从数据…

transformer的自注意力模型如何实现自注意力

Transformer | 鲁老师 所有参考来自以上的文章,简单来说,要实现自注意力,就得去完成 自己点乘自己的操作,然后得到的结果就能够通过调整矩阵参数完成训练了。 简单来说,构造了三个矩阵 ,这三个矩阵就是为…

界面控件DevExpress ASP.NET Ribbon组件 - 完美复刻Office 365体验!

无论用户是喜欢传统工具栏菜单外观、样式,还是想在下一个项目中复制Office 365 web UI,DevExpress ASP.NET都提供了所需要的工具,帮助用户打造更好的应用程序界面。 P.S:DevExpress ASP.NET Web Forms Controls拥有针对Web表单&a…

基于python+vue的O2O生鲜食品订购flask-django-nodejs-php

近年来互联网络的迅猛发展和电子终端设备的普及,赋予了各行业充足的发展空间。微信小程序的O2O生鲜食品订购相比于传统信息技术,时效性是它最大的特色,已经在电子娱乐、经济等中发挥着举足轻重的作用。短时间内迅速扩大了线上管理系统的规模。…

【PHP】通过PHP实时监控Apache、MySQL服务运行状态

一、前言 有些时候我们需要监控一些服务的运行状态,比如说Apach或MySQL的运行状态,最近工作中也开发了这方面的功能,记录下来怎样使用PHP语言来实时监控Apache、MySQL服务的运行状态。 如果想一键开启Apache或MySQL等其他服务可以看这篇文章…

CSS color-mix() 函数

CSS color-mix() 函数是近年来CSS色彩模块新增的一项强大功能,允许开发者在样式表中直接混合两种或多种颜色。这一特性为设计师和开发者带来了更多创作空间,让网页的颜色设计变得更加生动和丰富。本文将带你了解 color-mix() 函数的使用方法及其在实际项…

计网--网络层个人笔记

网络层的IP分组由路由器转发,而每一个路由器有很多接口,那么从哪一个接口转发便需要转发表。 一、网络层基本功能 二、SDN基本概念 2.1 路由器 数据平面:转发的过程。一个分组如何从一个端口到达另一个端口。 控制平面:路由选择…

JAVA 8 新特性 Lamdba表达式(二)

一、Lamdba的语法 (参数类型1 参数1,参数类型2 参数2,…) -> { 方法体 }; Lambda表达式就是一个匿名函数,不关注方法名,只关注参数和方法体。 Lambda表达式组成三要素:括号(),箭头->,代码…

ES 8.x的多实例集群搭建与角色规划

ES 8 多实例集群搭建与角色规划 ES 8版本与之前版本存在较大改变,第一个区别就是启动时默认开启了安全模式,也就是即便是测试环境也需要用户名密码和https传输层安全证书。此外,集群节点的角色也与之前不同,除了新增角色外在配置…