本文格式為Word版下載后可任意編輯和復制第第頁電腦防火墻的作用

防火墻與防火墻的作用

文章出處：發布時間：2022-07-27點擊:0

一、防火墻

由于Internet的快速進展,供應了發布信息和檢索信息的場所,但它也帶來了信息污染和信息破壞的危急,人們為了愛護其數據和資源的平安,消失了防火墻。防火墻從本質上說是一種愛護裝置。它愛護的是數據、資源和用戶的聲譽。

1.Internet防火墻

防火墻原是建筑物大廈設計來防止火災從大廈的一部分傳播到另一部分的設施。從理論上講Internet防火墻服務也屬于類似目的。它防止Internet上的危急（病毒、資源盜用等）傳播到你的網絡內部。而事實上Internet防火墻不象一座現代化大廈中的防火墻，更象北京故宮的護城河。它服務于多個目的：

（1）限制人們從一個特殊的掌握點進入；

（2）防止侵入者接近你的其它設施；

（3）限定人們從一個特殊的點離開；

（4）有效的阻擋破壞者對你的計算機系統進行破壞。

因特網防火墻經常被安裝在受愛護的內部網絡連接到因特網的點上。

2.防火墻的優點

（1）防火墻能強化平安策略

因為Internet上每天都有上百萬人在那里收集信息、交換信息，不行避開地會消失個別品德不良的人，或違反規章的人，防火墻是為了防止不良現象發生的交通警察，它執行站點的平安策略，僅僅容許認可的和符合規章的懇求通過。

（2）防火墻能有效地記錄Internet上的活動

因為全部進出信息都必需通過防火墻，所以防火墻特別適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被愛護的網絡和外部網絡之間進行記錄。

（3）防火墻限制暴露用戶點

防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

（4）防火墻是一個平安策略的檢查站

全部進出的信息都必需通過防火墻，防火墻便成為平安問題的檢查點，使可疑的訪問被拒絕于門外。

3.防火墻的不足之處

上面我們敘述了防火墻的優點，但它還是有缺點的，主要表現在：

（1）不能防范惡意的知情者

防火墻可以禁止系統用戶經過網絡連接發送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。假如入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶偷竊數據，破壞硬件和軟件，并且奇妙地修改程序而不接近防火墻。對于來自知情者的威逼只能要求加強內部管理，如主機平安和用戶訓練等。

（2）不能防范不通過它的連接

防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸的信息。例如，假如站點允許對防火墻后面的內部系統進行撥號訪問，那么防火墻肯定沒有方法阻擋入侵者進行撥號入侵。

（3）不能防備全部的威逼

防火墻被用來防備已知的威逼，假如是一個很好的防火墻設計方案，可以防備新的威逼，但沒有一個防火墻能自動防備全部的新的威逼。

（4）防火墻不能防范病毒

防火墻不能消退網絡上的PC機的病毒。

二、防火墻體系結構

目前,防火墻的體系結構一般有以下幾種:

（1）雙重宿主主機體系結構；

（2）被屏蔽主機體系結構；

（3）被屏蔽子網體系結構。

1.雙重宿主主機體系結構

雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另一個網絡發送IP數據包。然而，實現雙重宿主主機的防火墻體系結構禁止這種發送功能。因而，IP數據包從一個網絡（例如，因特網）并不是直接發送到其它網絡（例如，內部的、被愛護的網絡）。防火墻內部的系統能與雙重宿主主機通信，同時防火墻外部的系統（在因特網上）能與雙重宿主主機通信，但是這些系統不能直接相互通信。它們之間的IP通信被完全阻擋。

雙重宿主主機的防火墻體系結構是相當簡潔的：雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡。

2.屏蔽主機體系結構雙重宿主主機體系結構供應來自與多個網絡相連的主機的服務(但是路由關閉),而被屏蔽主機體系結構使用一個單獨的路由器供應來自僅僅與內部的網絡相連的主機的服務。在這種體系結構中,主要的平安由數據包過濾。

在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的:即堡壘主機是因特網上的主機能連接到內部網絡上的系統的橋梁（例如，傳送進來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或者服務將必需連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的平安。

數據包過濾也允許堡壘主機開放可允許的連接（什么是可允許將由用戶的站點的平安策略打算）到外部世界。

在屏蔽的路由器中數據包過濾配置可以按下列之一執行：

允許其它的內部主機為了某些服務與因特網上的主機連接（即允許那些已經由數據包過濾的服務）。

不允許來自內部主機的全部連接（強迫那些主機經由堡壘主機使用代理服務）。

用戶可以針對不同的服務混合使用這些手段；某些服務可以被允許直接經由數據包過濾，而其它服務可以被允許僅僅間接地經過代理。這完全取決于用戶實行的平安策略。

因為這種體系結構允許數據包從因特網向內部網的移動，所以，它的設計比沒有外部數據包能到達內部網絡的雙重宿主主機體系結構好像是更冒風險。話說回來，實際上雙重宿主主機體系結構在防備數據包從外部網絡穿過內部的網絡也簡單產生失敗（因為這種失敗類型是完全出乎預料的，不大可能防備黑客侵襲）。進而言之，保衛路由器比保衛主機較易實現，因為它供應特別有限

的服務組。多數狀況下，被屏蔽的主機體系結構供應比雙重宿主主機體系結構具有更好的平安性和可用性。

然而，比較其它體系結構，如在下面要爭論的屏蔽子網體系結構也有一些缺點。主要的是假如侵襲者沒有方法侵入堡壘主機時，而且在堡壘主機和其余的內部主機之間沒有任何愛護網絡平安的東西存在的狀況下，路由器同樣消失一個單點失效。假如路由器被損害，整個網絡對侵襲者是開放的。

3.屏蔽子網體系結構

屏蔽子網體系結構添加額外的平安層到被屏蔽主機體系結構,即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。

為什么這樣做？由它們的性質打算。堡壘主機是用戶的網絡上最簡單受侵襲的機器。任憑用戶盡最大的力氣去愛護它，它仍是最有可能被侵襲的機器，因為它本質上是能夠被侵襲的機器。假如在屏蔽主機體系結構中，用戶的內部網絡對來自用戶的堡壘主機的侵襲門戶洞開，那么用戶的堡壘主機是特別迷人的攻擊目標。在它與用戶的其它內部機器之間沒有其它的防備手段時（除了它們可能有的主機平安之外，這通常是特別少的）。假如有人勝利地侵入屏蔽主機體系結構中的堡壘主機，那就毫無阻擋地進入了內部系統。通過在周邊網絡上隔離堡壘主機，能削減在堡壘主機上侵入的影響。可以說，它只給入侵者一些訪問的機會，但不是全部。屏蔽子網體系結構的最簡潔的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部的網絡之間，另一個位于周邊網與外部網絡之間（通常為Internet）。為了侵入用這種類型的體系結構構筑的內部網絡，侵襲者必需要通過兩個路由器。即使侵襲者設法侵入堡壘主機，他將仍舊必需通過內部路由器。在此狀況下，沒有損害內部網絡的單一的易受侵襲點。作為入侵者，只是進行了一次訪問。要點說明如下：（1）周邊網絡

周邊網絡是另一個平安層,是在外部網絡與用戶的被愛護的內部網絡之間的附加的網絡。假如侵襲者勝利地侵入用戶的防火墻的外層領域，周邊網絡在那個侵襲者與用戶的內部系統之間供應一個附加的愛護層。

對于周邊網絡的作用，舉例說明如下。在很多網絡設置中，用給定網絡上的任何機器來查看這個網絡上的每一臺機器的通信是可能的，對大多數以太網為基礎的網絡的確如此（而且以太網是當今使用最廣泛的局域網技術）；對若干其它成熟的技術，諸如令牌環和FDDI也是如此。探聽者可以通過查看那些在Telnet、FTP以及rlogin會話期間使用過的口令勝利地探測出口令。即使口令沒被攻破，探聽者仍舊能偷看或訪問他人的敏感文件的內容，或閱讀他們感愛好的電子郵件等等；探聽者能完全監視何人在使用網絡。

對于周邊網絡，假如某人侵入周邊網上的堡壘主機，他僅能探聽到周邊網上的通信。因為全部周邊網上的通信來自或者通往堡壘主機或Internet。

因為沒有嚴格的內部通信(即在兩臺內部主機之間的通信，這通常是敏感的或者專有的)能越過周邊網。所以，假如堡壘主機被損害，內部的通信仍將是平安的。

一般來說，來往于堡壘主機，或者外部世界的通信，仍舊是可監視的。防火墻設計工作的一部分就是確保這種通信不致于機密到閱讀它將損害你的站點的完整性。

（2）堡壘主機

在屏蔽的子網體系結構中，用戶把堡壘主機連接到周邊網；這臺主機便是接受來自外界連接的主要入口。例如：

1對于進來的電子郵件（SMTP）會話，傳送電子郵件到站點；

2對于進來的FTP連接，轉接到站點的匿名FTP服務器；

3對于進來的域名服務（DNS）站點查詢等等。另一方面，其出站服務（從內部的客戶端到在Internet上的服務器）按如下任一方法處理：

1在外部和內部的路由器上設置數據包過濾來允許內部的客戶端直接訪問外部的服務器。

2設置代理服務器在堡壘主機上運行（假如用戶的防火墻使用代理軟件）來允許內部的客戶端間接地訪問外部的服務器。用戶也可以設置數據包過濾來允許內部的客戶端在堡壘主機上同代理服務器交談，反之亦然。但是禁止內部的客戶端與外部世界之間直接通信（即撥號入網方式）。

（3）內部路由器

內部路由器（在有關防火墻著作中有時被稱為堵塞路由器）愛護內部的網絡使之免受Internet和周邊網的侵害。

內