摘要:由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
1、网络层防火墙
可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
2、应用层防火墙
是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包。
3、数据库防火墙
是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
由于三层交换机能够进行路由,因此有人可能会问如果网络中有三层交换机,那么是不是不需要路由器?答案是依然需要路由器。
每个设备都有自己的功能,要不要路由器取决于很多因素。一方面,对于具有10-100个用户的小型网络,三层交换机的成本过高,而选择一个合适的路由器就能够以合理的成本满足网络需要。
另一方面,您可以在路由器上安装交换模块,使其像三层交换机一样工作。
因此,设备的选择应该考虑可扩展性、软件功能、硬件性能、应用情况、成本等因素,不能一概而论。
防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。
通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。
在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。
除了将内部局域网与外部Internet隔离之外,防火墙还可以将局域网中的普通数据和重要数据进行分离,所以也可以避免内部入侵。
防火墙有硬件防火墙和软件防火墙这两种类型,硬件防火墙允许您通过端口的传输控制协议(TCP)或用户数据报协议(UDP)来定义阻塞规则,例如禁止不必要的端口和IP地址的访问。
软件防火墙就像互联内部网络和外部网络的代理服务器,它可以让内部网络不直接与外部网络进行通信。
但是很多企业和数据中心会将这两种类型的防火墙进行组合,主要是因为这样做可以更加有效地提升网络的安全性。
通常来说,路由器是局域网的第一步,而内部网络和路由器之间的防火墙用来过滤非法入,接下来需要连接的是交换机。
需要注意的是,许多互联网提供商现在正在提供光纤服务(FiOS),因此您需要在防火墙之前使用调制解调器将数字信号转换成可通过以太网铜缆传输的电信号。
所以典型的连接方式依次是Internet-调制解调器-路由器-防火墙-交换机,然后交换机再连接其他网络设备。
【相关文章】