郵件傳輸協(xié)議
POP3
IMAP
NNTP
文件傳輸合同
互聯(lián)網(wǎng)資源中心
Proxy 可以配置為允許來(lái)自內(nèi)部網(wǎng)絡(luò)的任何連接,也可以配置為在建立連接之前要求用戶身份驗(yàn)證�����,要求僅由建立連接的已知用戶進(jìn)行身份驗(yàn)證����,從而提供額外的安全性。 如果網(wǎng)絡(luò)受到威脅�,此功能會(huì)大大增加內(nèi)部攻擊的可能性。
4.自然
為了討論防火墻的話題���,您不得不提到路由器��,雖然從技術(shù)上講它根本不是防火墻���,但網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 合同將內(nèi)部網(wǎng)絡(luò)上的多個(gè) IP 地址轉(zhuǎn)換為一個(gè)公共地址。
NAT 通常用于大型辦公室���、家庭和其他多個(gè)用戶共享一個(gè) IP 地址并為連接提供一定安全性的網(wǎng)絡(luò)�����。
當(dāng)內(nèi)部用戶與公共主機(jī)通信時(shí)�,NAT 跟蹤該用戶請(qǐng)求����,更改傳出數(shù)據(jù)包����,使其類似于公共 IP 地址�����,然后打開(kāi)連接�。 一旦建立連接�����,內(nèi)部計(jì)算機(jī)和網(wǎng)站之間的通信就是透明的�����。
NAT 有一套規(guī)則來(lái)確定如何處理來(lái)自公共網(wǎng)絡(luò)的未經(jīng)請(qǐng)求的傳入連接��。 如果沒(méi)有預(yù)定義的規(guī)則�,NAT 將丟棄所有未經(jīng)請(qǐng)求的傳入連接,就像包過(guò)濾防火墻一樣�。
但是,就像包過(guò)濾防火墻一樣�����,您可以將 NAT 配置為接受來(lái)自特定端口的傳入連接并將它們發(fā)送到特定主機(jī)地址。
5.個(gè)人防火墻
現(xiàn)在網(wǎng)上流傳著很多個(gè)人防火墻軟件�����。 它是一個(gè)應(yīng)用層�����,個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件�。 它可以直接在用戶的電腦上運(yùn)行,通過(guò)動(dòng)態(tài)的動(dòng)態(tài)防火墻檢測(cè)保護(hù)電腦免受攻擊��。 盧卡的所有互聯(lián)網(wǎng)通訊��。
安裝個(gè)人防火墻后����,可以將其設(shè)置為學(xué)習(xí)模式; 這樣��,對(duì)于每次新的網(wǎng)絡(luò)通信����,個(gè)人防火墻都會(huì)提示用戶查詢?nèi)绾翁幚碓撏ㄐ?��,并且個(gè)人防火墻會(huì)記住對(duì)網(wǎng)絡(luò)通信應(yīng)用哪種響應(yīng)模式。 見(jiàn)面后���。
例如��,如果用戶已經(jīng)安裝了個(gè)人網(wǎng)絡(luò)服務(wù)器��,個(gè)人防火墻可以將第一個(gè)進(jìn)入的網(wǎng)絡(luò)連接標(biāo)記為下層,詢問(wèn)用戶是否允許通過(guò)��。 之后���, 將此規(guī)則應(yīng)用于所有傳入的 Web 連接�。
基本上�����,你可以想象一個(gè)在個(gè)人電腦上創(chuàng)建虛擬網(wǎng)絡(luò)套接字的個(gè)人防火墻�,它不再是電腦的操作系統(tǒng)直接通過(guò)網(wǎng)卡進(jìn)行通信。 相反��,它通過(guò)操作系統(tǒng)仔細(xì)檢查網(wǎng)絡(luò)流量服務(wù)器運(yùn)維,方法是與個(gè)人防火墻對(duì)話��,然后通過(guò)網(wǎng)卡���。
二�����、各種防火墻的異同點(diǎn)
1.包過(guò)濾防火墻
使用包過(guò)濾防火墻的優(yōu)點(diǎn)包括:
防火墻對(duì)每個(gè)傳入和傳出的網(wǎng)絡(luò)數(shù)據(jù)包具有低級(jí)別的控制�����。
檢測(cè)每個(gè)IP數(shù)據(jù)包的數(shù)組��,如源地址�����、目的地址���、協(xié)議、端口等���。防火墻將根據(jù)這些信息應(yīng)用過(guò)濾規(guī)則��。
防火墻可以識(shí)別并丟棄具有誤導(dǎo)性源 IP 地址的數(shù)據(jù)包��。
包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間唯一的訪問(wèn)源�,由于所有通信都經(jīng)過(guò)防火墻,因此很難繞過(guò)���。
數(shù)據(jù)包過(guò)濾通常包含在路由器包中��,因此不需要額外的系統(tǒng)來(lái)處理此功能�。
使用數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)包括:
無(wú)法配置�。 由于包過(guò)濾防火墻非常復(fù)雜,人們往往忽略完善一些必要的規(guī)則�,或者錯(cuò)誤配置現(xiàn)有的規(guī)則,從而在防火墻上留下漏洞��。 然而�,在市場(chǎng)上�����,許多新版本的防火墻都在改進(jìn)�����,比如這個(gè)缺點(diǎn),開(kāi)發(fā)人員早就意識(shí)到���,基于圖形用戶界面配置(GUI)和更直接的規(guī)則定義�����。
打開(kāi)特定的服務(wù)端口是危險(xiǎn)的�,可能會(huì)用于其他傳輸�����。 例如�,如果默認(rèn)的web服務(wù)器安裝在80端口并且在電腦上,它會(huì)搜索可以連接到服務(wù)器的端口����,而不管其他使用80端口的合約使用的端口和搜索。 這樣就使用了web服務(wù)器的端口����。
可能還有其他方法可以繞過(guò)防火墻并獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限服務(wù)器運(yùn)維,例如撥號(hào)連接���,但這并不是防火墻本身的缺陷���,而是一種激勵(lì)���,即防火墻不應(yīng)僅依賴于網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)��。
2.狀態(tài)/動(dòng)態(tài)監(jiān)控防火墻
狀態(tài)/動(dòng)態(tài)監(jiān)控防火墻的優(yōu)點(diǎn)是:
檢測(cè)IP數(shù)據(jù)包的每一位數(shù)組的功能�����,根據(jù)數(shù)據(jù)包中的信息跟蹤過(guò)濾規(guī)則���。
識(shí)別具有誤導(dǎo)性源 IP 地址的數(shù)據(jù)包的能力���。
包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間唯一的訪問(wèn)源,由于所有通信都經(jīng)過(guò)防火墻���,因此很難繞過(guò)。
能夠根據(jù)應(yīng)用程序信息(例如已建立的 FTP 連接)驗(yàn)證數(shù)據(jù)包狀態(tài)����,以允許返回的 FTP 數(shù)據(jù)包通過(guò)。
基于應(yīng)用程序信息驗(yàn)證包狀態(tài)的能力����,例如允許先前經(jīng)過(guò)身份驗(yàn)證的連接繼續(xù)與授權(quán)服務(wù)通信��。
能夠記錄有關(guān)每個(gè)包的詳細(xì)信息�����。 基本上�,防火墻可以用來(lái)判斷數(shù)據(jù)包狀態(tài)的所有信息都可以被記錄下來(lái)�,包括應(yīng)用程序?qū)?shù)據(jù)包的請(qǐng)求、連接持續(xù)時(shí)間�����、內(nèi)外系統(tǒng)之間的連接請(qǐng)求等等�。
狀態(tài)/動(dòng)態(tài)監(jiān)控防火墻的缺點(diǎn):
/ 唯一的缺點(diǎn)是所有日志記錄、測(cè)試和分析工作都會(huì)導(dǎo)致網(wǎng)絡(luò)連接延遲�,尤其是當(dāng)大量連接同時(shí)處于活動(dòng)狀態(tài)時(shí),或者存在大量規(guī)則過(guò)濾網(wǎng)絡(luò)時(shí)交通�����。 然而�,更快的硬件速度并沒(méi)有意識(shí)到這個(gè)問(wèn)題,防火墻制造商仍然致力于提高他們產(chǎn)品的速度����。
3. 應(yīng)用代理服務(wù)器防火墻
使用應(yīng)用程序代理防火墻的優(yōu)點(diǎn)是:
指定連接控制����,例如根據(jù)服務(wù)器的 IP 地址授予或拒絕訪問(wèn)����,或根據(jù)用戶請(qǐng)求的 IP 地址允許拒絕訪問(wèn)。
通過(guò)限制對(duì)單個(gè)合同的傳出請(qǐng)求來(lái)減少網(wǎng)絡(luò)中任何必要的服務(wù)�。
大多數(shù)代理防火墻可以記錄所有連接,包括地址和持續(xù)時(shí)間����。 此信息可用于跟蹤發(fā)生未經(jīng)授權(quán)訪問(wèn)的攻擊和事件。
使用應(yīng)用程序代理防火墻的缺點(diǎn)是:
根據(jù)用戶使用的應(yīng)用程序��,可能需要在一定程度上定制用戶系統(tǒng)����。
某些應(yīng)用程序可能根本不支持代理加入。
4.自然
使用 NAT 的優(yōu)點(diǎn)如下:
所有內(nèi)部 IP 地址都對(duì)外部隱藏���。 因此,網(wǎng)絡(luò)外的任何人都不能通過(guò)指定IP地址直接攻擊網(wǎng)絡(luò)中的任何特定計(jì)算機(jī)��。
如果由于某種原因,公網(wǎng)IP地址資源非常少�����,NAT可以使整個(gè)內(nèi)網(wǎng)共享一個(gè)IP地址���。
可以啟用基本包過(guò)濾防火墻安全機(jī)制�����,因?yàn)槿绻慌渲肗AT�,所有進(jìn)入的包都會(huì)被丟棄�。 內(nèi)網(wǎng)的計(jì)算機(jī)不能直接訪問(wèn)外網(wǎng)。
使用 NAT 的缺點(diǎn):
NAT 的缺點(diǎn)是數(shù)據(jù)包過(guò)濾就像防火墻一樣��。 其實(shí)內(nèi)部網(wǎng)絡(luò)的安全是可以保證的����,這也是一些類似的限制。 據(jù)悉�,內(nèi)網(wǎng)可以利用多種木馬程序通過(guò)NAT對(duì)外連接,并可以通過(guò)包過(guò)濾防火墻��。
注意:很多廠商開(kāi)發(fā)的防火墻�,尤其是狀態(tài)/動(dòng)態(tài)監(jiān)控防火墻����,不僅提供功能�����,還提供NAT功能��。
5.個(gè)人防火墻
個(gè)人防火墻的優(yōu)點(diǎn)是:
添加保護(hù)級(jí)別不需要額外的硬件資源��。
不僅可以抵御外部攻擊��,個(gè)人防火墻還可以抵御內(nèi)部攻擊����。
個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)上單個(gè)系統(tǒng)的保護(hù)。 例如�����,如果家庭用戶使用調(diào)制混合器或 ISDN 或 ADSL 訪問(wèn) ��,可能是硬件防火墻太貴�����,或者太麻煩。 而個(gè)人防火墻早就可以隱藏用戶網(wǎng)絡(luò)信息�����,比如IP地址等信息�����。
個(gè)人防火墻的缺點(diǎn):
個(gè)人防火墻的主要缺點(diǎn)是公共網(wǎng)絡(luò)只有一個(gè)數(shù)學(xué)套接字�。 請(qǐng)記住����,真正的防火墻應(yīng)該監(jiān)視和控制兩個(gè)網(wǎng)絡(luò)。
一個(gè)或多個(gè)網(wǎng)絡(luò)套接字之間的通信�����。 因此���,個(gè)人防火墻本身可能容易受到威脅��,或者存在這樣的弱點(diǎn)�。 互聯(lián)網(wǎng)流量可以繞過(guò)防火墻規(guī)則。
好了��,我們已經(jīng)介紹了這些類型的防火墻�����,并討論了每種防火墻的優(yōu)缺點(diǎn)����。 請(qǐng)記住,任何防火墻都提供更安全的網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸�,我們不能完全依賴防火墻。 不僅僅是防火墻要保證安全�,我們還需要加強(qiáng)系統(tǒng)的安全性,增強(qiáng)我們的安全意識(shí)����。 因此,數(shù)據(jù)和通信以及網(wǎng)站將更加安全��。
售前咨詢專員
