1. 防火牆的功效和弊端
防火牆定義
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
2. 防火牆主要有哪幾類體系結構,分別說明其優缺點
防火牆主要的體系結構:
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被屏蔽主機防火牆
4、被屏蔽子網防火牆
5、其他防火牆體系結構
優缺點:
1、包過濾型防火牆
優點:
(1)處理數據包的速度較快(與代理伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對用戶和應用來說是透明的。
缺點:
(1)包過濾防火牆的維護較困難;(2)只能阻止一種類型的IP欺騙;(3)任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險,一些包過濾路由器不支持有效的用戶認證,僅通過IP地址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)IP包過濾器可能無法對網路上流動的信息提供全面的控制。
2、雙宿/多宿主機防火牆
優點:
(1)可以將被保護的網路內部結構屏蔽起來,增強網路的安全性;(2)可用於實施較強的數據流監控、過濾、記錄和報告等。
缺點:
(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。
3、被屏蔽主機防火牆
優點:
(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(代理服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。
缺點:路由器不被正常路由。
4、被屏蔽子網防火牆
優點:
安全性高,若入侵者試圖破壞防火牆,他必須重新配置連接三個網的路由,既不切斷連接,同時又不使自己被發現,難度系數高。
缺點:
(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦數據驅動的攻擊:防火牆不能防禦基於數據驅動的攻擊。
3. 防火牆有哪些局限性
防火牆有十大局限性:
一、防火牆不能防範不經過防火牆的攻擊。沒有經過防火牆的數據,防火牆無法檢查。
二、防火牆不能解決來自內部網路的攻擊和安全問題。防火牆可以設計為既防外也防內,誰都不可信,但絕大多數單位因為不方便,不要求防火牆防內。
三、防火牆不能防止策略配置不當或錯誤配置引起的安全威脅。防火牆是一個被動的安全策略執行設備,就像門衛一樣,要根據政策規定來執行安全,而不能自作主張。
四、防火牆不能防止可接觸的人為或自然的破壞。防火牆是一個安全設備,但防火牆本身必須存在於一個安全的地方。
五、防火牆不能防止利用標准網路協議中的缺陷進行的攻擊。一旦防火牆准許某些標准網路協議,防火牆不能防止利用該協議中的缺陷進行的攻擊。
六、防火牆不能防止利用伺服器系統漏洞所進行的攻擊。黑客通過防火牆准許的訪問埠對該伺服器的漏洞進行攻擊,防火牆不能防止。
七、防火牆不能防止受病毒感染的文件的傳輸。防火牆本身並不具備查殺病毒的功能,即使集成了第三方的防病毒的軟體,也沒有一種軟體可以查殺所有的病毒。
八、防火牆不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上並被執行時,可能會發生數據驅動式的攻擊。
九、防火牆不能防止內部的泄密行為。防火牆內部的一個合法用戶主動泄密,防火牆是無能為力的。
十、防火牆不能防止本身的安全漏洞的威脅。防火牆保護別人有時卻無法保護自己,目前還沒有廠商絕對保證防火牆不會存在安全漏洞。因此對防火牆也必須提供某種安全保護。
4. 防火牆的利與弊都有哪些
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。目前市場上的防火牆基本大同小異,瑞星、天網等都可以用的。
不過目前的很多遠程監控程序都是採用反向鏈接方式,這樣一來防火牆基本上就形同虛設了,防止非法遠程監控最簡單有效的方法是安裝媲西伊遮斯。媲西伊遮斯是遠程式控制制軟體的剋星,是一款採用全新技術、唯一專門從根本上阻斷遠程監控的軟體。它能從根本上徹底阻斷非法屏幕監控、非法鍵盤和滑鼠記錄,阻斷密碼大盜和文檔資料的竊取,是一款全新概念的防阻非法監控的軟體。只要一出現四大非法監控,媲西伊遮斯馬上自動切斷。尤其對於那些未流行病毒、黑客自己製作的木馬以及某些所謂的正當監控軟體作用更明顯,因為這些是殺毒軟體無法查到無法殺掉的