防火墙的利与弊

1、组长：郑日平团队成员：千万、刘川、边素旭、张浩然、防火墙的优缺点、1.1防火墙的概念1.2网络防火墙的优点1.3网络防火墙的缺点1.4数据包过滤防火墙的概念和优缺点1.5状态/动态检测防火墙的概念和优缺点1.6应用程序防火墙的概念和优缺点1.7NAT的概念和优缺点1防火墙本质上是保护数据、资源和用户声誉的保护。防火墙最初是为了防止火灾从建筑物的一部分传播到另一部分而设计的设施。理论上，internet防火墙服务也有类似的目的，防止internet(或外部网络)上的风险(病毒、资源盗用等)传播到网络内部。互联网(或外部网络)防火墙服务限制人们从1.1防火墙的概念，1，特定控制点访问。2、不要让入

2、侵者接近其他防御设施。3、在特别的地方限制人们。4、有效阻止破坏者破坏你的计算机系统。防火墙通常安装在内部网络连接到internet(或外部网络)的节点上。1.1防火墙的概念，1.2网络防火墙的优点，1，防火墙可以加强安全策略，因为网络上有无数个人在收集信息、交换信息，不可避免地违反个人道德不良或规则。防火墙只是“交通警察”，负责执行站点的安全策略，以确保“批准”和规则遵从性请求通过。2、防火墙可以有效地记录网络上的活动。防火墙非常适合收集有关系统和网络使用和误用的信息，因为所有进出的信息都必须通过防火墙。防火墙可以在受保护的网络和外部网络之间记录，作为访问的唯一点。3、防火墙限制暴露用户点防

3、火墙可用于在网络中分隔两个网段，从而防止影响一个网段的信息在整个网络中传播。4、防火墙从一个安全策略检查点进入和退出的所有信息都必须通过防火墙，防火墙将成为安全问题的检查点，可疑的访问将被拒之门外。1.2网络防火墙的优点，1.3网络防火墙的缺点，1，恶意利益相关者防火墙可能禁止系统用户通过网络连接传输专有信息，但是用户可以将数据复制到磁盘、磁带上，然后放入公文包。如果入侵者已经在防火墙内部，防火墙什么都做不了。内部用户可以窃取数据，破坏硬件和软件，巧妙修改程序，而无需接近防火墙。来自熟人的威胁只要求加强主机安全和用户教育等内部管理。2，不能阻止通过连接防火墙有效地传输信息，但不能阻止不通过该防

4、火墙传输的信息。例如，如果站点允许拨号访问防火墙后面的内部系统，则防火墙根本没有办法阻止入侵者拨号入侵。3、无法准备所有威胁防火墙用于应对已知威胁的情况。好的防火墙设计可以应对新的威胁，但是没有能自动防御所有新威胁的防火墙。4、防火墙不能阻止病毒防火墙。通常不能从网络中删除病毒。1.3网络防火墙的缺点、1.4包过滤防火墙概念、第一代防火墙和最基本的防火墙形式取决于设置的规则集。这称为数据包过滤防火墙。实质上，数据包过滤防火墙是一个多连接，表示有多个网络适配器或接口。例如，通过防火墙工作的设备可能有两个网卡(NIC)连接到内部网络，另一个网卡(NIC)连接到公共互联网。防火墙的任务就是作为“通信

5、警察”，引导包，拦截那个危险的包。数据包过滤防火墙检查每个传入的软件包，以确定软件包可用的基本信息(源和目标地址、端口号、协议等)。然后将此信息与设置的规则进行比较。如果启用了telnet连接阻塞，并且软件包的目标端口为23，则将丢弃软件包。如果目标端口为80，允许传入web连接，则将部署软件包。也可以组合多个复杂规则。允许web连接，但只有特定服务器的目标端口和目标地址必须与规则匹配，才能通过程序包。最后，当软件包到达时，如果没有为该软件包定义规则，您可以查看接下来会发生什么。为了安全起见，通常会丢弃与传入规则不匹配的程序包。如果有通过文件包的原因，请设置规则以处理文件包。1.4数据包过滤防

6、火墙概念，1.4数据包过滤防火墙的优点，防火墙对进出的每个网络中的数据包进行低级控制。每个IP包中的字段都经过检查，如源地址、目标地址、协议、端口等。防火墙根据这些信息应用过滤规则。防火墙识别并销毁具有欺骗性源IP地址的软件包。数据包过滤防火墙是两个网络之间访问的唯一来源。很难绕道，因为所有的通信都要通过防火墙。数据包过滤通常包含在路由器数据包中，因此不需要额外的系统来处理此要素。配置困难。包过滤防火墙很复杂，经常忽略创建一些必要的规则，或错误地配置已有的规则，在防火墙中留下漏洞。但是，许多新版本的防火墙(包括开发人员实施基于图形用户界面(GUI)的配置和更直接的规则定义)正在改善这一缺点。为

7、特定服务打开的端口存在风险，可能用于其他传输。例如，web服务器默认端口为80，如果在计算机上安装了RealPlayer，则无论是否使用其他协议，都会搜索可连接到RealAudio服务器的端口。RealPlayer完全使用80个端口进行搜索。因此，RealPlayer可能会无意中使用web服务器上的端口绕过防火墙进入网络，并使用其他方法，例如拨入连接。但是，这不是防火墙本身的缺点，而是网络安全上不能只依靠防火墙的原因。1.4包过滤防火墙的缺点，状态/动态检测防火墙，通过防火墙连接网络和尝试跟踪包，还可以使用一组确定防火墙是否允许和拒绝通信的附加标准。通过对使用默认包过滤防火墙的通信应用一些技术

8、来实现。例如，如果传入包包含视频数据流，防火墙已经记录了相关信息，则特定IP地址的应用程序最近向包的源地址请求视频信号的信息就是相关信息。传入的软件包是要向其发送请求的同一系统，如果防火墙匹配，则可以通过软件包。1.5状态/动态检测防火墙概念，检查IP包中的每个字段，并遵守包中基于信息的筛选规则。识别欺诈源IP地址包的功能。两个网络之间访问的唯一来源。很难绕道，因为所有的通信都要通过防火墙。基于应用程序信息检查包状态的功能，例如，允许基于建立的FTP连接返回的FTP包通过。基于应用程序信息检查程序包状态的能力(例如，允许继续与以前已验证连接的服务通信)。记录通过的每个包的详细信息的功能。默认情

9、况下，防火墙用于确定程序包状态的所有信息都可以记录，包括应用程序对该程序包的请求、连接持续时间，以及在内部系统和外部系统中发出的连接请求，1.5状态/动态检测防火墙的优点，状态/动态检测防火墙的唯一缺点是所有这些记录、测试和分析操作都会导致网络连接延迟。尤其是在同时激活多个连接时，或有很多规则过滤网络通信时。但是，硬件速度越快，问题越不明显，防火墙制造商一直在努力提高产品的速度。1.5状态/动态检测防火墙缺点，应用程序代理防火墙实际上不允许在连接的网络之间进行直接通信。相反，接受来自特定于内部网络的用户应用程序的通信，并与公共网络服务器建立单独的连接。网络内部的用户不能直接与外部服务器通信，因

10、此服务器不能直接访问intranet的任何部分。此外，如果不为特定应用程序安装agent代码，则不支持这些服务，并且无法建立任何连接。此设置拒绝所有未明确配置的连接，从而提供额外的安全性和控制。1.6应用程序代理防火墙的概念，例如用户的web浏览器可能位于80端口，但通常在1080端口连接到内部网络上的HTTP代理防火墙。然后，防火墙接受此连接请求，并转到请求的web服务器。这些连接和传输对该用户是透明的，完全由代理防火墙自动处理。1.6应用程序代理防火墙的概念，用于指定对连接的控制，如允许或拒绝基于服务器IP地址的访问，或允许或拒绝基于用户请求的连接的基于IP地址的访问。限制某些协议的发送请

11、求，减少网络上不必要的服务。大多数代理防火墙可以记录所有连接，包括地址和持续时间。此信息有助于跟踪攻击和未授权访问的事件。1.6应用程序代理防火墙的优点是，您必须根据使用的应用程序在一定范围内自定义系统。某些应用程序可能根本不支持代理连接。1.6应用程序代理防火墙的缺点，对防火墙主题的讨论在技术上完全不是防火墙，但必须提到路由器。网络地址转换(NAT)协议将内部网络上的多个IP地址转换为一个公共地址，然后通过internet进行传输。NAT经常用于小型办公室、家庭等网络，它允许多个用户共享单个IP地址，并为internet连接提供一些安全机制。内部用户与公共主机通信时，NAT将跟踪哪个用户发出

12、了请求，并修改发送包，以便在打开连接之前在单个公共IP地址启动程序包。建立连接后，内部计算机和网站之间的通信将透明。如果在公共网络中传递非请求的传入连接，则NAT具有确定如何处理它的规则集。如果没有预定义的规则，NAT将简单地丢弃所有非请求的传入连接，就像数据包筛选防火墙一样。1.7网络地址转换NAT的概念，所有内部IP地址对外部人员都是隐藏的。因此，不能在网络之外指定IP地址，直接对网络中的任何特定计算机发起攻击。如果由于任何原因公用IP地址资源不足，NAT允许整个内部网络共享一个IP地址。如果所有传入的数据包都没有特别指定为NAT，则会丢弃它们，从而启用默认的数据包过滤防火墙安全机制。内部

13、网络中的计算机不能直接访问外部网络。1.7NAT的优点与NAT的缺点和包过滤防火墙的缺点相同。可以安全地保护内部网络，但也是一些类似的限制。内部网还可以利用广泛使用的木马程序，通过NAT进行外部连接，就像可以通过包过滤防火墙一样。注：目前有许多供应商开发的防火墙，特别是状态/动态检测防火墙，除了NAT的功能外，还必须提供这些防火墙。1.7NAT的缺点是网络上现在流行了很多应用程序级个人防火墙软件。个人防火墙是个人计算机系统的安全软件，它直接在用户的计算机上运行，以与状态/动态检测防火墙相同的方式保护一台计算机免受攻击。通常，这些防火墙安装在计算机网络接口的较低级别，以便监视传入网卡的所有网络通信。安装个人防火墙后，可以将其设置为“学习模式”。然后，对于遇到的每个新网络通信，个人防火墙将提示用户如何处理此类通信。然后，个人防火墙会记住响应方式，并将其应用于以后遇到的同一种网络通信。您可以认为1.8个人防火墙的概念，1.8个人防火墙的概念，默认情况下个人防火墙在您的计算机上构建了虚拟网络接口。不再是计算机的操作系统通过网卡直接通信，而是作为操作系统通过个人防火墙和对话仔细检查网络通信，然后通过网卡进行通信。1.8个人防火墙的优点增加了保护级别，不需要额外的硬件资源。个人防火墙不仅能抵御外部的攻击，还能抵御内部的攻