網絡安全」安全設備篇（1）——防火牆

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。主要特點是由於缺乏對應用層協議的深度檢測功能，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4、完全內容檢測技術

完全內容檢測技術防火牆綜合狀態檢測與應用代理技術，並在此基礎上進一步基於多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火牆裡，其中還包括IPS功能，多單元融為一體，在網絡界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網絡與信息安全的新思路，(因此也被稱為“下一代防火牆技術”)。

它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣佈署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火牆可以檢查整個數據包內容，根據需要建立連接狀態表，網絡層保護強，應用層控制細等優點，但由於功能集成度高，對產品硬件的要求比較高。

防火牆作用

• 保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

• 控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

• 集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

• 增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

• 記錄和統計網絡利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網絡通訊，提供關於網絡使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

• 策略執行

Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決於每臺主機的用戶。

---

分享到:

---

閱讀更多 網事如煙釋然 的文章

關鍵字: 軟件 美好，一直在身邊 網絡安全

---