一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。防火墻可以有效地防護外部的侵擾與影響。長寧區國內防火墻系統方案
若站點正處于防火墻保護之下,對它的訪問也是被禁止的,用戶不得不先登陸防火墻后在進入Internet,這時便需要代理服務器了。因此,為了使防火墻有效,必須超越其概念設計。防火墻的設計列有好幾種,但都可分為兩類:網絡級防火墻及應用級防火墻。它們采用不同的方式提供相同的功能,任何一種都能適合站點防火墻的保護需要。而且現在有些防火墻產品具有雙重性能。 網絡級防火墻,這一類型的防火墻,通常使用簡單的路由器,采用包了過濾技術,檢查個人的IP包并決定允許或不允許基于資源的服務、目的地址及時用端口。新式的防火墻較之以前更為復雜,它能監控通過防火墻的聯接狀態等等。這是一類快速且透明的防火墻,易于實現。楊浦區企業防火墻規范網絡防火墻、主機防火墻和管理中心是分布式防火墻的構成組件。
我們也能以另一種較寬松的角度來制定防火墻規則,只要封包不符合任何一項“否定規則”就予以放行?,F在的操作系統及網絡設備大多已內建防火墻功能。較新的防火墻能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬于這一層。應用層防火墻可以攔截進出某應用程式的所有封包,并且封閉其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的資料流進到受保護的機器里。
防火墻可以極大的增強Web站點的安全。根據不同的需要,防火墻在網絡中配置有很多方式。根據防火墻和Web服務器所處的位置,總可以分為3種配置:Web服務器置于防火墻之內、Web服務器置于防火墻之外和Web服務器置于防火墻之上。將Web服務器裝在防火墻內的好處是它得到了安全保護,不容易被黑技術闖入,但不易被外界所用。當Web站點主要用于宣傳企業形象時,顯然這不是好的配置,這時應當將Web服務器放在防火墻之外。事實上,為了保證組織內部網絡的安全,將Web服務器完全置于防火墻之外使比較合適的。在這種模式中,Web服務器不受保護,但內部網則處于保護之下,即使黑技術進入了你的Web站點,內部網仍是安全的。代理支持在此十分重要,特別是在這種配置中,防火墻對Web站點的保護幾乎不起作用。防火墻可以集成到其他安全措施中,如入侵檢測系統和安全信息和事件管理系統。
防火墻可以強化網絡安全策略:通過以防火培為中心的安全方案配置,能將所有安全軟件(如令、加密、身份認證、審計等)配晉在防火墻上。與將網絡安全問題分散到各個主機上相比。防火的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火海能進行適當的報普,并提供網終是否受到監燈和攻擊的詳細信息。防火墻可以使用防病毒和反間諜軟件保護網絡。浦東新區本地防火墻價格
防火墻的目的就是在網絡連接之間建立一個安全控制點。長寧區國內防火墻系統方案
IP包了過濾的一個重要的局限是它不能分辨好的和壞的用戶,只能區分好的飽和壞的包。包了過濾只能工作在由黑白分明安全策略的網中,即內部是好的,外部是可疑的。對于FTP協議,IP包了過濾就不十分有效。FTP允許聯接外部服務器并使聯接返回到端口20,這幾乎毫不費力的通過那些過濾器。防火墻/應用網關(Application Gateways)還有一種常見的防火墻是應用代理防火墻(有時也稱為應用網關)。這些防火墻的工作方式和過濾數據報的防火墻、以路由器為基礎的防火墻的工作方式稍有不同。它是基于軟件的;當某遠程用戶想和一個運行應用網關的網絡建立聯系時,此應用網關會阻塞這個遠程聯接,然后對聯接請求的各個域進行檢查。長寧區國內防火墻系統方案