[防火墙]防火墙安全

      作为计算机的第一道屏障，防火墙的重要性不言而喻，尽管防火墙在面临网络攻击时仍有很大的缺陷，不如无法阻止自内而外的攻击，对复杂多变的网络攻击攻击无法预警和像IDS所做的那样。但防火墙依然是服务器乃至个人机的一道不可或缺的屏障。 “木桶原理”

      本文将对防火墙做一个初步的简介，显然像我们知道的那样，防火墙是一款软硬结合在内外网之间进行防护机制。我们可以大致的将防火墙主要功能分为五类。

      如下

      强化安全策略：很简单，强化的手段就是通过某种规则，仅允许防火墙“认可的”和符合规则的请求。

      有效的记录网上的活动：记录所有经过防火墙的流量

      隐藏用户站点或网络拓扑：在隔离内网和外网的同时利用NAT来隐藏内网的各种细节。

      安全策略的检查：是防火墙成为一个安全检查点

      防火墙的分类：

      网络层：包过滤防火墙

      根据定义好的过滤规则审查每个数据包，确定其是否与某一条过滤规则匹配。其中过滤规则是根据数据包的包头信息进行定义的，因为在网络层无法对数据段信息进行有效的解读。另外一个特点就是凡是没有明确允许的都禁止。包过滤防火墙的优点是速度快，防火墙对用户来说是透明的，不需要进行设置。缺点是仅对头部信息进行过滤无法审核数据的内容，无法详细的记录日志。

      应用层：代理型防火墙（也称代理服务器）

      位于客户机和服务器之间，针对应用层的数据包进行过滤，增强了可控性。因其要检查过多的协议，分析数据报的意图，相对于包过滤防火墙来说更加安全，相应的速度就会变慢。

       回路级代理防火墙：又称为套接字服务器（sockets server）

       套接字是一种网络应用层的国际王准，当受保护的客户机需要与外网交互信息时，在防火墙的套服务器检查客户的userid,ip源地址，ip目的地址。经确认后才与外部服务器建立连接。对用户来说，受保护网与外网的信息交换是透明的，感觉不到防火墙的存在。但是客户端的应用软件必须支持 “Socketsified API”，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。

       状态检测型防火墙，网络层

       检测每一个连接的状态。并根据这些信息决定网络数据包是否通过防火墙。

       防火墙体系架构，

       双宿主堡垒，两块网卡

       被屏蔽主机，三块网卡

       被屏蔽子网，两块网卡

 

     常用的防火墙介绍

     访问控制列表 ACL。