Firewall
简介:
在计算机科学领域中,防火墙(英语:Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。
功能:
防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
类型:
针对普通用户的个人防火墙,通常是在一部电脑上具有数据包过滤功能的软件,如ZoneAlarm及Windows XP SP2后内置的防火墙程序。而专业的防火墙通常为网络设备,或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层和应用层。
网络层(数据包过滤型)防火墙:
运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则,只允许匹配规则的数据包通过。网络层防火墙可分为:状态感知(stateful)与无状态感知(stateless)
状态感知(stateful)
状态感知防火墙会针对活动中的连接维护前后传输的脉络,并使用这些状态信息来加速数据包过滤处理。根据需求,现行的网络连接由各种性质描述,包括:来源端IP位置,目的端IP位置、UDP或TCP端口口号码,以及连接所处的状态阶段(连接初始化、交握中,数据传输中、或完成连接)。如果有数据包与现存连接不符,防火墙会根据规则来评估此数据包是否该属于另外一个新连接。如果数据包匹配现存连接,防火墙会根据自己所创建的状态表完成比对,该数据包就不必额外处理,即可通过两端网络。
无状态感知(stateless)
无状态感知防火墙所需较少的存储器,针对欲通过的数据包,作比较简易与快速的过滤。如此,相较于查询对话工作期间(sesssion),无状态感知防火墙所耗的时间也较少。这种防火墙可处理无状态网络通信协议,这种协议并没有对话工作期间(sesssion)的概念。反之,这种防火墙无法根据沟通的两端所处的状态阶段作出复杂的决策。我们也能以另一种较宽松的角度来制定防火墙规则,只要数据包不匹配任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用数据包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的域名或网段...等属性来进行过滤。
应用层防火墙:
防火墙的视察软件接口示例,纪录IP进出的情况与对应事件。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包,并且封锁其他的数据包(通常是直接将数据包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。防火墙借由监测所有的数据包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。实际上,这个方法繁复(因软件种类极多),所以大部分防火墙都不会考虑以这种方法设计。截至2012年,所谓的下一代防火墙(NGFW)都只是“拓宽”并“深化”了在应用栈检查的能力。例如,现有支持深度分组检测的现代防火墙均可扩展成入侵预防系统(IPS),用户身份集成(用户ID与IP或MAC地址绑定),和Web应用防火墙(WAF)。
迪浮科技课程服务承诺:
1、免费重修:
学员缺课或者学校效果不理想,可以免费重修,确保课程内容完全掌握。重修过程中绝对不收取任何费用!
2、单独辅导:
如果学生在学习过程中,因各种原因无法跟班级进度同步,公司安排专家讲师一对一辅导,手把手带你成为IT精英!
3、自由实验:
清默网络有先进完善的实验中心,全天开放,实验机时不限,不断提高动手操作能力!
4、考试辅导:
学员考试前先通过清默内部模拟考试,技术确定达到考试要求并提供考前辅导及考试技巧讲解。
如果模拟考试未能通过,专家讲师会给予建议和辅导,合格后再参加正式考试,确保学员能高分通过认证考试。
5、企业实战项目:
即通过先进的设备完全搭建和企业项目完全一致的网络环境,把学习内容融会贯通并在实际项目中加以应用,以达到学员迅速掌握实际技能并弥补经验不足的目的,让学员的学习内容不再纸上谈兵,理论与实战完全吻合
咨询老师:郭老师
咨询电话:15056089769
咨询Q Q :1027831018
