電腦防火牆的相關知識介紹

　　今天小編要跟大家介紹下電腦防火牆的相關知識，下面就是小編為大家整理到的資料，請大家認真看看!

　　

　　防火牆 ***網路術語***

　　防火牆***Firewall***，也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際網際網路***US5606668***A***1993-12-15***。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統，依照特定的規則，允許或是限制傳輸的資料通過。

　　所謂防火牆指的是一個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全閘道器***Security Gateway***，從而保護內部網免受非法使用者的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用閘道器4個部分組成，防火牆就是一個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料包均要經過此防火牆。

　　在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網***如Internet***分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通訊。

　　什麼是防火牆

　　XP系統相比於以往的Windows系統新增了許多的網路功能***Windows 7的防火牆一樣很強大，可以很方便地定義過濾掉資料包***，例如Internet連線防火牆***ICF***，它就是用一段"程式碼牆"把電腦和Internet分隔開，時刻檢查出入防火牆的所有資料包，決定攔截或是放行那些資料包。防火牆可以是一種硬體、韌體或者軟體，例如專用防火牆裝置就是硬體形式的防火牆，包過濾路由器是嵌有防火牆韌體的路由器，而代理伺服器等軟體就是軟體形式的防火牆。

　　ICF工作原理

　　ICF被視為狀態防火牆，狀態防火牆可監視通過其路徑的所有通訊，並且檢查所處理的每個訊息的源和目標地址。為了防止來自連線公用端的未經請求的通訊進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通訊。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通訊和所有源自專用網路計算機的通訊。所有Internet傳入通訊都會針對於該表中的各項進行比較。只有當表中有匹配項時***這說明通訊交換是從計算機或專用網路內部開始的***，才允許將傳入Internet通訊傳送給網路中的計算機。

　　源自外部源ICF計算機的通訊***如Internet***將被防火牆阻止，除非在“服務”選項卡上設定允許該通訊通過。ICF不會向你傳送活動通知，而是靜態地阻止未經請求的通訊，防止像埠掃描這樣的常見黑客襲擊。

　　防火牆的種類

　　防火牆從誕生開始，已經歷了四個發展階段：基於路由器的防火牆、使用者化的防火牆工具套、建立在通用作業系統上的防火牆、具有安全作業系統的防火牆。常見的防火牆屬於具有安全作業系統的防火牆，例如NETEYE、NETSCREEN、TALENTIT等。

　　從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構，後一種結構如下所示：內部網路過濾器***Filter***路由器***Router***Internet

　　從原理上來分，防火牆則可以分成4種類型：特殊設計的硬體防火牆、資料包過濾型、電路層閘道器和應用級閘道器。安全效能高的防火牆系統都是組合運用多種型別防火牆，構築多道防火牆“防禦工事”。[1]

　　吞吐量

　　網路中的資料是由一個個資料包組成，防火牆對每個資料包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下，裝置能夠接受的最大速率。其測試方法是：在測試中以一定速率傳送一定數量的幀，並計算待測裝置傳輸的幀，如果傳送的幀與接收的幀數量相等，那麼就將傳送速率提高並重新測試;如果接收幀少於傳送幀則降低傳送速率重新測試，直至得出最終結果。吞吐量測試結果以位元/秒或位元組/秒錶示。

　　吞吐量和報文轉發率是關係防火牆應用的主要指標，一般採用FDT***Full Duplex Throughput***來衡量，指64位元組資料包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。

　　主要型別

　　網路層防火牆

　　網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆***病毒除外，防火牆不能防止病毒侵入***。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。

　　我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項“否定規則”就予以放行。作業系統及網路裝置大多已內建防火牆功能。

　　較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源埠號、目的 IP 地址或埠號、服務型別***如 HTTP 或是 FTP***。也能經由通訊協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

　　應用層防火牆

　　應用層防火牆是在 TCP/IP 堆疊的“應用層”上運作，您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包***通常是直接將封包丟棄***。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

　　防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜***軟體有千千百百種啊***，所以大部分的防火牆都不會考慮以這種方法設計。

　　XML 防火牆是一種新型態的應用層防火牆。

　　根據側重不同，可分為：包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。

　　資料庫防火牆

　　資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制，實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。

　　資料庫防火牆通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成資料庫的外圍防禦圈，實現SQL危險操作的主動預防、實時審計。

　　資料庫防火牆面對來自於外部的入侵行為，提供SQL注入禁止和資料庫虛擬補丁包功能。

　　基本特性

　　***一***內部網路和外部網路之間的所有網路資料流都必須經過防火牆

　　這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通訊的唯一通道，才可以全面、有效地保護企業網內部網路不受侵害。

　　根據美國國家安全域性制定的《資訊保障技術框架》，防火牆適用於使用者網路系統的邊界，屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處，比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的資料流，實現對進、出內部網路的服務和訪問的審計和控制。

　　典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連線企事業單位內部的區域網，而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。

　　***二***只有符合安全策略的資料流才能通過防火牆

　　防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一臺“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的***網路介面>=2***轉發裝置，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

　　***三***防火牆自身應具有非常強的抗攻擊免疫力

　　這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵，只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。

　　目前國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者瞭解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科***Cisco***、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網禦神州、聯想、方正等，它們都提供不同級別的防火牆產品。

　　***四***應用層防火牆具備更細緻的防護能力

　　自從Gartner提出下一代防火牆概念以來，資訊保安行業越來越認識到應用層攻擊成為當下取代傳統攻擊，最大程度危害使用者的資訊保安，而傳統防火牆由於不具備區分埠和應用的能力，以至於傳統防火牆僅僅只能防禦傳統的攻擊，基於應用層的攻擊則毫無辦法。

　　從2011年開始，國內廠家通過多年的技術積累，開始推出下一代防火牆，在國內從第一家推出真正意義的下一代防火牆的網康科技開始，至今包擴東軟，天融信等在內的傳統防火牆廠商也開始相互[3] 效仿，陸續推出了下一代防火牆，下一代防火牆具備應用層分析的能力，能夠基於不同的應用特徵，實現應用層的攻擊過濾，在具備傳統防火牆、IPS、防毒等功能的同時，還能夠對使用者和內容進行識別管理，兼具了應用層的高效能和智慧聯動兩大特性，能夠更好的針對應用層攻擊進行防護。

　　***五***資料庫防火牆針對資料庫惡意攻擊的阻斷能力

　　虛擬補丁技術：針對CVE公佈的資料庫漏洞，提供漏洞特徵檢測技術。

　　高危訪問控制技術：提供對資料庫使用者的登入、操作行為，提供根據地點、時間、使用者、操作型別、物件等特徵定義高危訪問行為。

　　SQL注入禁止技術：提供SQL注入特徵庫。

　　返回行超標禁止技術：提供對敏感表的返回行數控制。

　　SQL黑名單技術：提供對非法SQL的語法抽象描述。

　　代理服務

　　代理服務裝置***可能是一臺專屬的硬體，或只是普通機器上的一套軟體***也能像應用程式一樣迴應輸入封包***例如連線要求***，同時封鎖其他的封包，達到類似於防火牆的效果。

　　代理使得由外在網路竄改一個內部系統更加困難，並且一個內部系統誤用不一定會導致一個安全漏洞可從防火牆外面***只要應用代理剩下的原封和適當地被配置***被入侵。相反地，入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的;代理人然後偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。

　　防火牆經常有網路地址轉換***NAT***的功能，並且主機被保護在防火牆之後共同地使用所謂的“私人地址空間”，依照被定義在[RFC 1918] 。 管理員經常設定了這樣的情節：假裝內部地址或網路是安全的。

　　防火牆的適當的配置要求技巧和智慧。 它要求管理員對網路協議和電腦安全有深入的瞭解。 因小差錯可使防火牆不能作為安全工具。

　　主要優點

　　***1***防火牆能強化安全策略。

　　***2***防火牆能有效地記錄Internet上的活動。

　　***3***防火牆限制暴露使用者點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網路傳播。

　　***4***防火牆是一個安全策略的檢查站。所有進出的資訊都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

　　使用技巧

　　一、所有的防火牆檔案規則必須更改。

　　儘管這種方法聽起來很容易，但是由於防火牆沒有內建的變動管理流程，因此檔案更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改，那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改，會導致宕機嗎?這是一個相當高發的狀況。

　　防火牆管理產品的中央控制檯能全面可視所有的防火牆規則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發現並修理故障，讓整個協議管理更加簡單和高效。

　　二、以最小的許可權安裝所有的訪問規則。

　　另一個常見的安全問題是許可權過度的規則設定。防火牆規則是由三個域構成的：即源***IP地址***，目的地***網路/子網路***和服務***應用軟體或者其他目的地***。為了確保每個使用者都有足夠的埠來訪問他們所需的系統，常用方法是在一個或者更多域內指定打來那個的目標物件。當你出於業務持續性的需要允許大範圍的IP地址來訪問大型企業的網路，這些規則就會變得許可權過度釋放，因此就會增加不安全因素。服務域的規則是開放65535個TCP埠的ANY。防火牆管理員真的就意味著為黑客開放了65535個攻擊向量?

　　三、根據法規協議和更改需求來校驗每項防火牆的更改。

　　在防火牆操作中，日常工作都是以尋找問題，修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題，應用新產品和業務部門的過程中，我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新稽核來確保它能符合安全協議和任何法規協議的內容和精神，而不僅是一篇法律條文。

　　四、當服務過期後從防火牆規則中刪除無用的規則。

　　規則膨脹是防火牆經常會出現的安全問題，因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們瞭解這些新規則，卻從來不會讓防火牆團隊知道他們不再使用某些服務了。瞭解退役的伺服器和網路以及應用軟體更新週期對於達成規則共識是個好的開始。執行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。

　　五、每年至少對防火牆完整的稽核兩次。

　　如果你是名信用卡活動頻繁的商人，那麼除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業標準1.1.6規定至少每隔半年要對防火牆進行一次稽核。

　　相關功能

　　防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視訊流等。

　　防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通訊，與建築中的防火牆功能相似。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路***一個沒有信任的區域***和一個內部網路***一個高信任的區域***。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。

　　例如：TCP/IPPort 135~139是Microsoft Windows的【網路上的芳鄰】所使用的。如果計算機有使用【網路上的芳鄰】的【共享資料夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享資料夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的Windows有【網路上的芳鄰】系統溢位的無密碼保護的漏洞***這裡是指【共享資料夾】有設密碼，但可經由此係統漏洞，達到無須密碼便能瀏覽資料夾的需求***。

　　防火牆對流經它的網路通訊進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通訊，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通訊。

　　網路安全

　　一個防火牆***作為阻塞點、控制點***能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

　　強化網路安全策略

　　通過以防火牆為中心的安全方案配置，能將所有安全軟體***如口令、加密、身份認證、審計等***配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火牆一身上。

　　監控網路存取和訪問

　　如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

　　防止內部資訊的外洩

　　通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊，這樣一臺主機的域名和IP地址就不會被外界所瞭解。

　　資料庫安全

　　實現資料庫安全的實時防護

　　資料庫防火牆通過SQL 協議分析，根據預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規操作，形成資料庫的外圍防禦圈,實現SQL 危險操作的主動預防、實時審計。

　　資料庫防火牆面對來自於外部的入侵行為，提供SQL 注入禁止和資料庫虛擬補丁包功能。

　　其他功能

　　除了安全作用，防火牆還支援具有Internet服務特性的企業內部網路技術體系***虛擬專用網***。

　　防火牆的英文名為“FireWall”，它是目前一種最重要的網路防護裝置。從專業角度講，防火牆是位於兩個***或多個***網路間，實施網路之間訪問控制的一組元件集合。

　　相關知識

　　防火牆在網路中經常是以兩種圖標出現的。一種圖示非常形象，真正像一堵牆一樣。而另一種圖示則是從防火牆的過濾機制來形象化的，在圖示中有一個二極體圖示。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是隻對外部進來的通訊進行過濾，而對內部網路使用者發出的通訊不作限制。當然防火牆在過濾機制上有所改變，不僅對外部網路發出的通訊連線要進行過濾，對內部網路使用者發出的部分連線請求和資料包同樣需要過濾，但防火牆仍只對符合安全策略的通訊通過，也可以說具有“單向導通”性。

　　防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢?當火災發生時，這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通訊，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

　　我們通常所說的網路防火牆是借鑑了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網***LAN***網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。