试简述防火墙的基本特性,急!
一、数据必经之地
内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙,只有符合安全策略的数据流才能通过防火墙。
二、网络流量的合法性
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
三、抗攻击免疫力
防火墙自身应具有非常强的抗攻击免疫力:这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
当然这些安全性也只能说是相对的。国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。
而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、联想、方正等,它们都提供不同级别的防火墙产品。
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构。
通用CPU架构:通用CPU架构最常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的喜爱。
由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。
国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构:ASIC(Application Specific Integrated Circuit,专用集成电路)技术是国外高端网络设备几年前广泛采用的技术。
由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
ASIC技术的性能优势主要体现网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
由于该技术有较高的技术和资金门槛,主要是国内外知名厂商在采用,国外主要代表厂商是Netscreen,国内主要代表厂商为天融信。网络处理器架构:由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
随着网络处理器的主要供应商Intel、Broadcom、IBM等相继出售其网络处理器业务,该技术在网络安全产品中的应用已经走到了尽头。
扩展资料:
防火墙架构:
一、主机型防火墙
此防火墙需有两张网卡,一张与互联网连接,另一张与内部网连接,如此互联网与内部网的通道无法直接接通,所有数据包都需要透过主机发送。
二、双闸型防火墙
此防火墙除了主机型防火墙的两张网卡外,另安装应用服务转送器的软件,所有网络数据包都须经过此软件检查,此软件将过滤掉不被系统所允许的数据包。
三、屏障单机型防火墙
此防火墙的硬件设备除需要主机外,还需要一个路由器,路由器需具有数据包过滤的功能,主机则负责过滤及处理网络服务要求的数据包,当互联网的数据包进入屏障单机型防火墙时,路由器会先检查此数据包是否满足过滤规则,再将过滤成功的数据包,转送到主机进行网络服务层的检查与发送。
四、屏障双闸型防火墙
将屏障单机型防火墙的主机换成双闸型防火墙。
五、屏障子网域型防火墙
此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网,数据包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络数据包更有效率。
若一数据包通过第一过滤器数据包,会先在屏障子网域进行服务处理,若要进行更深入内部网的服务,则要通过第二路由器过滤。
参考资料:百度百科-防火墙
1、数据必经之地
内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的通道,才可以全面、有效地保护企业网部网络不受侵害。
2、网络流量的合法性
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
3、抗攻击免疫力
防火墙自身应具有非常强的抗攻击免疫力:这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
扩展资料:
计算机信息传输的过程中,借助防火墙还能够有效的实现信息的加密,通过这种加密技术,相关人员就能够对传输的信息进行有效的加密,其中信息密码是信息交流的双方进行掌握,对信息进行接受的人员需要对加密的信息实施解密处理后,才能获取所传输的信息数据。
在防火墙加密技术应用中,要时刻注意信息加密处理安全性的保障。在防火墙技术应用中,想要实现信息的安全传输,还需要做好用户身份的验证,在进行加密处理后,信息的传输需要对用户授权。
然后对信息接收方以及发送方要进行身份的验证,从而建立信息安全传递的通道,保证计算机的网络信息在传递中具有良好的安全性,非法分子不拥有正确的身份验证条件,因此,其就不能对计算机的网络信息实施入侵。
