国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。

　　防火墻的五大功能

　　一般來說，防火墻具有以下幾種功能：

　　1.允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)。

　　2.可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警。

　　3.可以作為部署NAT(Network Address Translation，網(wǎng)絡(luò)地址變換)的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。

　　4.是審計和記錄Internet使用費用的一個最佳地點。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。

　　兩種防火墻技術(shù)的對比

　　包過濾防火墻

　　優(yōu)點

　　價格較低

　　性能開銷小，處理速度較快

　　缺點

　　定義復(fù)雜，容易出現(xiàn)因配置不當帶來問題

　　允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險

　　代理防火墻

　　內(nèi)置了專門為了提高安全性而編制的Proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對來往的數(shù)據(jù)包進行安全化處理

　　速度較慢，不太適用于高速網(wǎng)(或千兆位以太網(wǎng)等)之間的應(yīng)用

　　5.可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW和服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講，就是所謂的?；饏^(qū)(DMZ)。

　　防火墻的兩大分類

　　盡管防火墻的發(fā)展經(jīng)過了上述的幾代，但是按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和代理防火墻(應(yīng)用層防火墻)。前者以以色列的Checkpoint防火墻和公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　1.包過濾防?

　　第一代：靜態(tài)包過濾

　　這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。