① 汽車上的防火牆是什麼
是前圍板內外的防火材料。
② 請問防火牆的作用是什麼呢它是怎麼用的呢初學者,請指教!!
所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆?
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
③ 防火牆是干什麼的
編輯本段防火牆的定義 所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成, 防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。編輯本段防火牆的功能 防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。編輯本段為什麼使用防火牆? 防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。編輯本段防火牆的類型 防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。編輯本段防火牆的概念 當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。編輯本段防火牆的功能 防火牆是網路安全的屏障: 一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。 防火牆可以強化網路安全策略: 通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。 對網路存取和訪問進行監控審計: 如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。 防止內部信息的外泄: 通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。 除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。 防火牆的英文名為「FireWall」,它是目前一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組組件集合。 防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象,真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的,在圖標中有一個二極體圖標。而二極體我們知道,它具有單向導電性,這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的,而對外部網路卻總是不信任的,所以最初的防火牆是只對外部進來的通信進行過濾,而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變,不僅對外部網路發出的通信連接要進行過濾,對內部網路用戶發出的部分連接請求和數據包同樣需要過濾,但防火牆仍只對符合安全策略的通信通過,也可以說具有「單向導通」性。 防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這里所講的防火牆的「安全策略」,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的「單向導通性」。 我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性: (一)內部網路和外部網路之間的所有網路數據流都必須經過防火牆 這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網部網路不受侵害。 根據美國國家安全局制定的《信息保障技術框架》,防火牆適用於用戶網路系統的邊界,屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處,比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網路的服務和訪問的審計和控制。 典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連接企事業單位內部的區域網,而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。 (二)只有符合安全策略的數據流才能通過防火牆 防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台「雙穴主機」,即具備兩個網路介面,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多埠的(網路介面>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。如下圖: (三)防火牆自身應具有非常強的抗攻擊免疫力 這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵,只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。 目前國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。 防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構,他們各自的特點分別如下: 通用CPU架構 通用CPU架構最常見的是基於Intel X86架構的防火牆,在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞;由於採用了PCI匯流排介面,Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際應用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。 國內安全設備主要採用的就是基於X86的通用CPU架構。 ASIC架構 ASIC(Application Specific Integrated Circuit,專用集成電路)技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術, ASIC架構防火牆解決了帶寬容量和性能不足的問題,穩定性也得到了很好的保證。 ASIC技術的性能優勢主要體現在網路層轉發上,而對於需要強大計算能力的應用層數據的處理則不佔優勢,而且面對頻繁變異的應用安全問題,其靈活性和擴展性也難以滿足要求。 由於該技術有較高的技術和資金門檻,主要是國內外知名廠商在採用,國外主要代表廠商是Netscreen,國內主要代表廠商為天融信。 網路處理器架構 由於網路處理器所使用的微碼編寫有一定技術難度,難以實現產品的最優性能,因此網路處理器架構的防火牆產品難以佔有大量的市場份額。編輯本段防火牆的三種配置 防火牆配置有三種:Dual-homed方式、Screened- host方式和Screened-subnet方式。 Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。 Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。 Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。 參考資料: http://ke..com/view/3067.htm
④ 汽車防火牆的作用
汽車在長時間的行駛過程中,汽車發動機必然會產生高溫,很容易造成汽車自燃等,給汽車乘客造成安全隱患,那麼汽車防火牆的誕生就大大增加了汽車乘客以及駕駛員的安全,很多司機都不是非常了解關於汽車防火牆的一些相關問題,下面就是小編給車友們整理的一些關於汽車防火牆的一些相關介紹,希望車友們能夠多多了解這方面的相關問題。
(不斷點擊圖片可調整大小)
關於防火牆其實在技術專題中,我們有專門的介紹,只是內容比較散,因此我們在這里從比較簡單的講起,由淺入深的來了解一下防火牆。
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信
⑤ 防火牆的作用是什麼
關於防火牆其實在技術專題中,我們有專門的介紹,只是內容比較散,因此我們在這里從比較簡單的講起,由淺入深的來了解一下防火牆。
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。
防火牆的分類
根據防火牆的分類標准不同,防火牆可以分為N多種類型,這里我們遵循的,當然是根據網路體系結構來進行的分類了,按這樣的標准,可以有以下幾種類型的防火牆:
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1;
(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.應用級網關
應用級網關就是我們常常說的「代理伺服器」,它能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,並做精細的注冊和稽核。但每一種協議需要相應的代理軟體,使用時工作量大,效率不如網路級防火牆。
常用的應用級防火牆已有了相應的代理伺服器, 例如: HTTP、 NNTP、 FTP、Telnet、rlogin、X-Windows等,但是,對於新開發的應用,尚沒有相應的代理服務,它們將通過網路級防火牆和一般的代理服務。
應用級網關有較好的訪問控制,是目前最安全的防火牆技術,但實現困難,而且有的應用級網關缺乏"透明度"。在實際使用中,用戶在受信任的網路上通過防火牆訪問Internet時, 經常會發現存在延遲並且必須進行多次登錄(Login) 才能訪問Internet或Intranet。
3.電路級網關
電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。
實際上電路級網關並非作為一個獨立的產品存在,它與其他的應用級網關結合在一起, 如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等產品。 另外,電路級網關還提供一個重要的安全功能:代理伺服器(ProxyServer) ,代理伺服器是個防火牆,在其上運行一個叫做"地址轉移"的進程,來將所有你公司內部的IP地址映射到一個"安全"的IP地址,這個地址是由防火牆使用的。但是,作為電路級網關也存在著一些缺陷,因為該網關是在會話層工作的,它就無法檢查應用層級的數據包。
4.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。
規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則 檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
⑥ 什麼叫做汽車防火牆隔音
汽車防火牆隔音主要為了減弱汽車發動機的噪音,
做防火牆隔音要把整個儀表台全部都拆掉,性價比不怎麼高,
單單防火牆隔音就要2600-4000不等,越難拆越貴的車價格越高。
如果你考慮做的話,建議去專業店,儀表台全部拆掉在組裝比較麻煩,
千萬別漏掉什麼零件沒裝。
⑦ 什麼是防火牆,它有什麼作用
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
⑧ 什麼是防火牆
防火牆
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2.包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3.阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?
1.防火牆可以阻斷攻擊,但不能消滅攻擊源。
「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設置了防火牆後,這512K的攻擊流量依然不會有絲毫減少。
2.防火牆不能抵抗最新的未設置策略的攻擊漏洞
就如殺毒軟體與病毒一樣,總是先出現病毒,殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路,那麼防火牆也沒有辦法幫到您的。
3.防火牆的並發連接數限制容易導致擁塞或者溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止
某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。
5.防火牆對待內部主動發起連接的攻擊一般無法阻止
「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內部各主機間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。
6.防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。
7.防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。
看到這里,或許您原本心目中的防火牆已經被我拉下了神台。是的,防火牆是網路安全的重要一環,但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。
不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選擇絕對是防火牆。那麼,怎麼選擇需要的防火牆呢?
防火牆的分類
首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的組成結構而言,可分為以下三種:
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類,因為採用的是經過裁減內核和定製組件的平台,因此國內防火牆的某些銷售人員常常吹噓其產品是「專用的os」等等,其實是一個概念誤導,下面我們提到的第三種防火牆才是真正的os專用。
第三種:晶元級防火牆
它們基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少,不過價格相對比較高昂,所以一般只有在「確實需要」的情況下才考慮。
在這里,特別糾正幾個不正確的觀念:
1.在性能上,晶元級防火牆>硬體防火牆>軟體防火牆。
在價格上看來,的確倒是如此的關系。但是性能上卻未必。防火牆的「好」,是看其支持的並發數、最大流量等等性能,而不是用軟體硬體來區分的。事實上除了晶元級防火牆外,軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆,原因1是考慮到用戶網路管理員的素質等原因,還有就是基於我國大多數民眾對「看得見的硬體值錢,看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆性能,不外是為了讓自己那加上了外殼的普通pc+一個被修改後的內核+一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶元級防火牆呢?坦白說,國內沒有公司有技術實力。而且在中國市場上來看,某些國內的所謂硬體防火牆的硬體質量連diy的兼容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡,使用過的人都能猜到是哪家,我就不點名了。真正看防火牆,應該看其穩定性和性能,而不是用軟、硬來區分的。至少,如果筆者自己選購,我會選擇購買CheckPoint而非某些所謂的硬體防火牆的。
2.在效果上,晶元防火牆比其他兩種防火牆好
這同樣也是一種有失公允的觀點。事實上晶元防火牆由於硬體的獨立,的確在OS本身出漏洞的機會上比較少,但是由於其固化,導致在面對新興的一些攻擊方式時,無法及時應對;而另外兩種防火牆,則可以簡單地通過升級os的內核來獲取系統新特性,通過靈活地策略設置來滿足不斷變化的要求,不過其OS出現漏洞的概率相對高一些。
3.唯技術指標論
請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事,是否習慣使用又是另一回事。如果對一款產品的界面不熟悉,策略設置方式不理解,那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到,肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今,市場已經很成熟了,各類產品的存在,自然有其生存於市場的理由。如何把產品用好,遠比盲目地比較各類產品好。