防火牆與入侵防禦系統
防火牆可以有效地保護本地系統或網絡免受基於網絡的威脅,同時支持經過廣域網或Internet訪問外部世界。安全
防火牆的必要性
企業,政府部分和其餘一些機機構的信息系統都經歷了一個穩定的發展過程:服務器
集中式數據處理系統,包括一個可支持多終端與其直接鏈接的中央大型機系統。網絡
-
局域網(LAN)將我的計算機和終端鏈接,並與大型機系統互聯
-
駐地網(premises network)由許多局域網組成,將我的計算機,服務器以及一臺或者兩臺大型機相互鏈接起來。
-
企業級網絡(enterprise-wide network),由經過專用廣域網(wide area network)鏈接起來的的多個不一樣地理分佈的駐地網組成。
-
Internet連通性(Internet connectivity),其中多個駐地網都鏈接到Internet,各個駐地網能夠經過專用廣域網鏈接,也能夠不經過專用廣域網鏈接。
當發現一個安全缺陷時,全部受到潛在影響的系統都必須升級以修補這個缺陷。這要求適當的配置管理和積極的修補以保證運行的效率。若是僅使用基於主機的安全措施。儘管很困難,但也是可行並且必要的。一種被人們普遍接受的代替方法,或者至少說是對基於主機的安全服務的一種補充,就是防火牆。防火牆設置在駐地網和Internet之間,以創建兩者之間的可控鏈路,構築一道外部安全壁壘或者說安全周界。這個安全周界的目的是保護駐地網不受基於Internet的攻擊,提供一個能增強安全的和審計的遏制點(choke point)。防火牆能夠是單機系統,也能夠是協做完成防火牆功能的兩個或者更多系統。ide
防火牆還建立一個附加的防護層,將內部系統和外部系統隔離開來。這遵循"縱深防護"(defense in depth)的經典軍事理論,該思想偏偏也適用於IT安全。spa
防火牆特徵
【BELL94b】列出瞭如下防火牆涉及目標:操作系統
-
全部入站和出站的網絡流量都必須經過防火牆。這能夠經過物理阻斷全部避開防火牆訪問內部網絡的企圖來實現。多種配置方式都是可行的,將在本章的後續部分進行解釋。
-
只有通過受權道德網絡流量,例如,服務本地安全策略定義的流量,防火牆才容許經過。可使用不一樣類型的防火牆實現不一樣的安全策略。
-
防火牆自己不能滲透。這意味着防火牆應該運行在有安全操做系統的可信系統上。
【SMIT97】列出了防火牆用來控制訪問和執行站點安全策略的四種通用技術。最初的防火牆都側重於服務控制(service control),隨着防火牆的發展,如今的防火牆提供如下四種機制:代理
服務控制(service control):肯定能夠訪問的Internet服務類型,這種控制是雙向的。防火牆能夠基於IP地址,協議和TCP端口號對流量進行過濾;也能夠提供代理軟件,對收到的每一個服務請求進行解釋,而後才容許經過;防火牆自身也能夠做爲服務軟件,好比Web或郵件服務器。rem
方向控制(directio control):肯定特定服務請求發起和容許經過防火牆的方向it
用戶控制(user control):根據試圖訪問服務器的用戶來控制服務器的訪問權限。一般,這個功能應用與在防火牆周邊之內的用戶(即本地用戶)。也能夠應用於來自外部用戶的流量。後者須要某種形式的安全認證技術。io
行爲控制(behavior control):控制特定服務的使用方法。例如,防火牆能夠經過過濾電子郵件來清除垃圾郵件,或者控制外部用戶只能對本地Web服務器上的部分信息進行訪問。