黑客的非法入侵和秘密访问令互联网用户头疼不已,不论是个人电脑还是公司,都不希望把自己的隐私暴露给黑客。如何拦截非法访问、保护用户隐私成为网络安全专家们极为关注的问题,网络防火墙正是在这种呼声中应运而生的。
防火墙是一个搭建在服务器和互联网之间的访问审核系统,它犹如一面保护墙一样横在被保护的内部网络和不被信任的外部互联网之间。多数黑客攻击是通过互联网实现的,而防火墙则承担着过滤、甄别、筛选黑客非法访问和用户的合法访问的责任。检查内网与外网的交流数据,对符合安全要求的数据“予以通行”,把非法访问请求“拒之门外”,是防火墙的主要任务。
防火墙示意图
一般而言,防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。
访问规则是建构防火墙系统时首先要考虑和设计的内容。访问规则决定了防火墙会将什么信息放进来,什么信息踢出去。制定科学合理的访问规则能使防火墙有效地拦截恶意访问,而模糊含混的访问规则会使防火墙误截正常访问,影响信息交流,因此,制定科学合理的访问规则需要网络管理者和安全专家共同商讨决定。(www.xing528.com)
验证工具就像是一个探测器,监测着每条访问的“身份信息”。它会对每条访问请求加以审核,一般而言,合法的请求会自带一个“身份标签”,验证工具能够检测到合法请求的“身份标签”,提示系统“放行”。非法的请求往往没有这种“身份标签”,验证工具在检测到没有“身份标签”的访问请求之后会自动提示系统,对这类访问进行进一步的甄别,判断是否允许其访问。
包过滤则是拦截行为的具体执行者。它在网络层截获网络数据包,对数据包进行分析、选择,通过检查数据流中每个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。包过滤在网络层能为用户提供较低级别的安全防护和控制。
如果说包过滤还是在数据层面为用户提供安全防护服务,那么应用网关则是在应用程序和服务器程序层面进行信息过滤和访问筛选。它是基于软件的,能针对特别的网络应用协议制定数据过滤逻辑。当内部网络向外部网络发出远程连接请求时,应用网关会在内部网络和外部网络之间建立一道逻辑屏障,如果应用网关检查客户机的这个连接符合指定的要求,客户机的真实请求就可以由应用网关实现协议转换,从而建立一条内部主机和远程主机的逻辑连接。
不论是设计简单的包过滤还是精巧复杂的网络关口,其本质都是一个信息过滤器,防火墙检测着内外网络之间的信息流动,保护内部的敏感数据不受破坏,记录内外信息交换的动态。随着技术的不断进步,防火墙技术也越来越“智能”。针对传统防火墙“防外不防内”的弊端,最新一代的防火墙增加了双向监测功能,不仅能监测外部入侵,还能防止内部人员把敏感信息传送出去,从而有效避免了“日防夜防,家贼难防”的尴尬。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
