第八讲:防火墙基本知识 A:什么是防火墙 英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全 性。英特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内 部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被 窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可 以访问内部的那些可以访问的服务,以及哪些外部服务可以被内部人员访 问。要使一个防火墙有效,所有来自和去往英特网的信息都必须经过防火 墙,接受防火墙的检査。防火墙必须只允许授权的数据通过,并且防火墙 本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能 提供任何的保护了
第八讲: 防火墙基本知识 A: 什么是防火墙 英特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全 性。英特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内 部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被 窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可 以访问内部的那些可以访问的服务,以及哪些外部服务可以被内部人员访 问。要使一个防火墙有效,所有来自和去往英特网的信息都必须经过防火 墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙 本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能 提供任何的保护了
从总体上看,防火墙应具有以下五大基本功能: 1.过滤进出网络的数据包 2.管理进出网络的访问行为 3.封堵某些禁止的访问行为 4.记录通过防火墙的信息内容和活动; 5.对网络攻击进行检测和告警。 防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全 技术、软件技术、安全协议、网络标准化组织(ⅠSO)的安全规范以及 安全操作系统等多方面。作为一种有效解决网络之间访问控制的有效方 法,国际上在这方面的研究很多。 在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断
从总体上看,防火墙应具有以下五大基本功能: 1. 过滤进出网络的数据包; 2. 管理进出网络的访问行为; 3. 封堵某些禁止的访问行为; 4. 记录通过防火墙的信息内容和活动; 5. 对网络攻击进行检测和告警。 防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全 技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及 安全操作系统等多方面。作为一种有效解决网络之间访问控制的有效方 法,国际上在这方面的研究很多。 在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断
有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽 然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身 份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健 全,实用效果并不十分理想。从1991年6月ANS公司的第一个防火墙 产品 ANs Interlock Service防火墙上市以来,到目前为止,世界上至少有 几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网 络厂商也都开始了防火墙产品的开发或者OEM别的防火墙厂商的防火墙 产品,如 Sun Microsystems公司的Su unscreen、 Check point公司的 Firewal-1 Milkyway公司的 Black hole等。 国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功 了国内首套PC机防火墙系统。此外,还有北京天融信公司的网络防火墙 系统—— Talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的 SED-08路由器、北大青鸟的内部网保密网关防火墙、电子部30所的SS
有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽 然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身 份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健 全,实用效果并不十分理想。从 1991 年 6 月ANS公司的第一个防火墙 产品 ANS Interlock Service 防火墙上市以来,到目前为止,世界上至少有 几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网 络厂商也都开始了防火墙产品的开发或者 OEM 别的防火墙厂商的防火墙 产品,如 Sun Microsystems 公司的 Sunscreen、Check Point 公司的 Firewall-1、Milkyway 公司的 Black Hole 等。 国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功 了国内首套 PC 机防火墙系统。此外,还有北京天融信公司的网络防火墙 系统——Talentit 防火墙、深圳桑达公司的具有包过滤防火墙功能的 SED-08 路由器、北大青鸟的内部网保密网关防火墙、电子部 30 所的SS
R型安全路由器、东北大学软件中心的具有信息过滤功能的 Neteye防火 墙、邮电部数据所的SJW04防火墙及 Proxy98等也都先后开发成功。 防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思 想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种 想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了 如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要、 直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的 特性 1.所有在内部网络和外部网络之间传输的数据都必须通过防火墙 2.只有被授权的合法数据,即防火墙系统中安全策略允许的数据, 以通过防火墙; 3.防火墙本身不受各种攻击的影响; 4.使用目前新的信息安全技术,比如现代密码技术、一次口令系统
-R型安全路由器、东北大学软件中心的具有信息过滤功能的 NetEye 防火 墙、邮电部数据所的 SJW04 防火墙及 Proxy98 等也都先后开发成功。 防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思 想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种 想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了 如何对网络数据设计路由。从这个意义上讲,构造一个好的防火墙需要、 直觉、创造和逻辑的共同作用。一个好的防火墙系统应具有以下五方面的 特性: 1. 所有在内部网络和外部网络之间传输的数据都必须通过防火墙; 2. 只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可 以通过防火墙; 3. 防火墙本身不受各种攻击的影响; 4. 使用目前新的信息安全技术,比如现代密码技术、一次口令系统
智能卡等; 5.人机界面良好,用户配置使用方便,易管理。系统管理员可以方便 地对防火墙进行设置,对 Internet的访问者、被访问者、访问协议以及访 问方式进行控制 防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内 部网和外部网交界的点上。英特防火墙不仅仅是路由器、堡垒主机、或任 何提供网络安全的设备的组合,它更是安全策略的一个部分。安全策略建 立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有 的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入 和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受 到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略,那么防火墙就形同虚设
智能卡等; 5. 人机界面良好,用户配置使用方便,易管理。系统管理员可以方便 地对防火墙进行设置,对 Internet 的访问者、被访问者、访问协议以及访 问方式进行控制。 防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内 部网和外部网交界的点上。英特防火墙不仅仅是路由器、堡垒主机、或任 何提供网络安全的设备的组合,它更是安全策略的一个部分。安全策略建 立了全方位的防御体系来保护机构的信息资源。安全策略应告诉用户应有 的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入 和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受 到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统, 而没有全面的安全策略,那么防火墙就形同虚设