防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。
定義所謂防火牆指的是乙個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使internet與intranet之間建立起乙個安全閘道器(security gateway),從而保護內部網免受非法使用者的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用閘道器4個部分組成,防火牆就是乙個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料報均要經過此防火牆。[2]
作用分類
網路層防火牆
網路層防火牆[3]可視為一種 ip 封包過濾器(允許或拒絕封包資料通過的軟硬結合裝置),運作在底層的 tcp/ip 協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:** ip 位址、**埠號、目的 ip 位址或埠號、服務型別(如 www 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱或網段…等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
xml 防火牆是一種新型態的應用層防火牆。
根據側重不同,可分為:包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。
策略配置與優化
防火牆策略優化與調整是網路維護工作的重要內容,策略是否優化將對裝置執行效能產
生顯著影響。考慮到企業中業務流向複雜、業務種類往往比較多,因此建議在設定策略時盡量
保證統一規劃以提高設定效率,提高可讀性,降低維護難度。
策略配置與維護需要注意地方有:
試執行階段最後一條 策略定義為所有訪問允許並記錄日誌,以便在不影響業務的情況下
找漏補遺;當確定把所有的業務流量都調查清楚並放行後,可將最後-條定義為所有訪問禁止
並記錄8志,以便在試執行階段觀察非法流量行蹤。試執行階段結束後,再將最後一條「禁止
所有訪問」策略刪除。
防火牆按從上至下順序搜尋策略表進行策略匹配,策略順序對連線建立速度會有影響,
建議將流量大的應用和延時敏感應用放於策略表的頂部,將較為特殊的策略定位在不太特殊的
策略上面。
策略配置中的log(記錄日誌)選項可以有效進行記錄、排錯等工作,但啟用此功能會耗用
部分資源。建議在業務量大的網路上有選擇採用,或僅在必要時採用。
簡化的策略表不僅便於維護,而且有助於快速匹配。盡量保持策略表簡潔和簡短,規則
越多越容易犯錯誤。通過定義位址組和服務組可以將多個單一策略合併到一條組合策略中。
策略用於區域間單方向網路訪問控制。如果源區域和目的區域不同,則防火牆在區域間
策略表中執行策略查詢。如果源區域和目的區域相同並啟用區域內阻斷,則防火牆在區域內部
策略表中執行策略查詢。如果在區域間或區域內策略表中沒有找到匹配策略,則安全裝置會檢
查相關區域的預設訪問許可權以查詢匹配策略。
策略變更控制。組織好策略規則後,應寫上注釋並及時更新。注釋可以幫助管理員了解
每條策略的用途,對策略理解得越全面,錯誤配置的可能性就越小。如果防火牆有多個管理員,
建議策略調整時,將變更者、變更具體時間、變更原因加入注釋中,便於後續跟蹤維護。
攻擊防禦
防火牆利用入侵防護功能抵禦網際網路上流行的dos/ddos的攻擊,
些流行的攻擊手法
有synflood, udpflood, smurf, ping of death, land attack等,當網路確實存在這些型別的
攻擊資料流時,我們可以適當開啟這些抗攻擊選項,可以有效的保護各種應用伺服器。如果希
望開啟其它選項,在開啟這些防護功能前有幾個因素需要考慮:
自行開發的一:些應用程式中,可能存在部分不規範的資料報格式;
如果因選擇過多的防攻擊選項而大幅降低了防火牆處理能力,則會影響正常網路處理的
效能;如果自行開發的程式不規範,可能會被ip資料報協議異常的攻擊選項遮蔽;非常規的
網路設計也會出現合法流量被遮蔽問題。
要想有效發揮防火牆的攻擊防禦功能,需要對網路中流量和協議型別有比較充分的認識,
同時要理解每乙個防禦選項的具體含義,避免引發無謂的網路故障。防攻擊選項的啟用需要採
用逐步逼近的方式,-次僅啟用乙個防攻擊選項,然後觀察裝置資源占用情況和防禦結果,在
確認執行正常後再考慮按需啟用另乙個選項。建議採用以下順序漸進實施防攻擊選項:
根據掌握的正常執行時的網路流量、會話數量以及資料報傳輸量的值,在防範ddos的
選項_上新增20%的餘量作為閥值。
如果要設定防範ip協議層的選項,需在深入了解網路環境後,再將ip協議和網路層{ c
下你主詵而諑牛詵中
防火牆 系統安全防護和優化
防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。防火牆具有很...
防火牆和系統安全防護和優化
啟動 root izbp1f0xuq9rc815r5u5b0z systemctl start firewalld 關閉 root izbp1f0xuq9rc815r5u5b0z systemctl stop firewalld 檢視狀態 root izbp1f0xuq9rc815r5u5b0z s...
防火牆和系統安全防護和優化
1 firewalld的基本使用 啟動 systemctl start firewalld root instance rrkkmshy systemctl start firewalld關閉 root instance rrkkmshy systemctl stop firewalld 檢視狀態 ...