2008-08-06 13:56:12易網
嵌入晶片/dom linux~何謂防火牆?
什麼是防火牆?
網際網路防火牆是一套軟體或硬體,可協助阻擋試圖透過網際網路進入您電腦的駭客、病毒和電腦蟲。如果您是家庭或小型企業使用者,您可採取用來加強保護電腦的最有效且最重要的第一步就是安裝防火牆。在連接上網際網路前就開啟防火牆和防毒軟體是非常重要的。
[編輯] 功能
防火牆最基本的功能就是控制在電腦網路中,不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【網路上芳鄰】所使用的。如果電腦有使用【網路上芳鄰】的【分享資料夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【分享資料夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的Windows有【網路上芳鄰】系統溢位的無密碼保護的漏洞(這裡是指【分享資料夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽資料夾的需求)。
[編輯] 防火牆類型
一個個人防火牆, 通常軟體應用過濾資訊進入或留下一臺電腦; 和: 一個傳統防火牆, 通常跑在一臺專用的網路設備或電腦被安置在兩個或更多網路或DMZs (解除軍事管制區域) 界限。 這樣防火牆過濾所有資訊進入或留下被連接的網路。 後者定義對應於"防火牆" 的常規意思在網路, 和下麵會談談這類型防火牆。 以下是兩個主要類別防火牆: 網路層防火牆和 應用層防火牆。 這兩類型防火牆也許重疊; 的確, 單一系統會兩個一起實施。
[編輯] 網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器,運作在底層的 TCP/IP 協定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路設備大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
[編輯] 應用層防火牆
應用層防火牆是在 TCP/IP 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實作而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
XML 防火牆是一種新型態的應用層防火牆。
[編輯] 代理服務
代理服務設備(可能是一臺專屬的硬體,或只是普通機器上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。
代理由外在網路使竄改一個內部系統更加困難, 並且一個內部系統誤用不一定會導致一個安全漏洞可開採從防火牆外面(只要應用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的; 代理人然後偽裝作為那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。
防火牆經常有網路地址轉換(NAT) 的功能, 並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」, 依照被定義在[RFC 1918] 。 管理員經常設定了這樣情節在努力(無定論的有效率) 假裝內部地址或網路。
防火牆的適當的配置要求技巧和智慧。 它要求管理員對網路協議和電腦安全有深入的瞭解。 因小差錯可使防火牆不能作為安全工具。
網際網路防火牆是一套軟體或硬體,可協助阻擋試圖透過網際網路進入您電腦的駭客、病毒和電腦蟲。如果您是家庭或小型企業使用者,您可採取用來加強保護電腦的最有效且最重要的第一步就是安裝防火牆。在連接上網際網路前就開啟防火牆和防毒軟體是非常重要的。
[編輯] 功能
防火牆最基本的功能就是控制在電腦網路中,不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信,與建築中的防火牆功能相似。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【網路上芳鄰】所使用的。如果電腦有使用【網路上芳鄰】的【分享資料夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【分享資料夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的Windows有【網路上芳鄰】系統溢位的無密碼保護的漏洞(這裡是指【分享資料夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽資料夾的需求)。
[編輯] 防火牆類型
一個個人防火牆, 通常軟體應用過濾資訊進入或留下一臺電腦; 和: 一個傳統防火牆, 通常跑在一臺專用的網路設備或電腦被安置在兩個或更多網路或DMZs (解除軍事管制區域) 界限。 這樣防火牆過濾所有資訊進入或留下被連接的網路。 後者定義對應於"防火牆" 的常規意思在網路, 和下麵會談談這類型防火牆。 以下是兩個主要類別防火牆: 網路層防火牆和 應用層防火牆。 這兩類型防火牆也許重疊; 的確, 單一系統會兩個一起實施。
[編輯] 網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器,運作在底層的 TCP/IP 協定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路設備大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
[編輯] 應用層防火牆
應用層防火牆是在 TCP/IP 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實作而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
XML 防火牆是一種新型態的應用層防火牆。
[編輯] 代理服務
代理服務設備(可能是一臺專屬的硬體,或只是普通機器上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。
代理由外在網路使竄改一個內部系統更加困難, 並且一個內部系統誤用不一定會導致一個安全漏洞可開採從防火牆外面(只要應用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的; 代理人然後偽裝作為那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。
防火牆經常有網路地址轉換(NAT) 的功能, 並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」, 依照被定義在[RFC 1918] 。 管理員經常設定了這樣情節在努力(無定論的有效率) 假裝內部地址或網路。
防火牆的適當的配置要求技巧和智慧。 它要求管理員對網路協議和電腦安全有深入的瞭解。 因小差錯可使防火牆不能作為安全工具。
上一篇:DOM的用途? ~系統型晶片