防火墙的种类防火墙是一种硬件设备或软件系统,主要架设在内部网络和外部网络间,为了防止外界恶意程式对内部系统的破坏,或者阻止内部重要信息向外流出,有双向监督功能。藉由防火墙管理员的设定,可以弹性的调整安全性的等级。所以防火墙是分软件防火墙和硬件防火墙两种。Windows防火墙是属于软件防火墙,而硬件防火墙如下图: 硬件防火墙的外观特别像我们常见到的路由器、交换机设备。
防火墙的作用1.保护脆弱的服务通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。比如:可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。2.控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
3.集中的安全管理防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。4.增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
5.记录和统计网络利用数据以及非法使用数据防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据,来判断可能的攻击和探测。6.策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。防火墙虽然我们平常很少会去使用它,因为有些规则Windows已经默认设置好了,这些防火墙规则能够完全的满足我们日常的工作和生活。
网络防火墙有什么作用?包括哪几种类型?
防火墙也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。防火墙是系统的第一道防线,其作用是防止非法用户的进入。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙类型1、网络层防火墙网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。2、应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件种类实在太多),所以大部分的防火墙都不会考虑以这种方法设计。
3、数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
一个大型企业怎么来规划网络,比如1000台电脑,怎么选择交换机、路由器和防火墙,有哪些好的建议吗?
对于1000多个节点的企业组网,需要考虑网络规划,网络可靠性设计,网络安全设计等,不仅仅是购买交换机,路由器和防火墙的问题。下文针对这个问题说一说。需求分析与不同的业务部门进行沟通,了解每个时间段的业务量,组网结构需要满足业务部门的需求;针对这种中大型局域网,需要根据部门或者位置划分VLAN,每个部门对应一个VLAN和网段,不同VLAN的数据在三层汇聚交换机或者核心交换机中交换数据;如下表所示,给出了一个VLAN划分和IP端的划分,根据实际情况进行规划。
网络拓扑结构网络拓扑结构如下图所示,内部网络采用三层结构,核心层,汇聚层,接入层。其中核心层用来完成数据的高速转发,核心层设备最好部署两台,增加整个网络的了可靠性。接入层设备用来实现办公电脑的接入,无线AP的接入,并且完成上网认证等;路由器连接运营商提供的出口网络;防火墙连接在出口路由器和内网核心交换机之间,用于保护内网,阻拦非法访问;如果企业有对外服务,比如对外网站,邮件等,需要将这些服务器连接到防火墙的DMZ区域。
IP地址的分配业务服务器和监控,打印机等应该使用静态地址,以便于管理控制;网络设备的IP地址使用32位掩码的地址,与办公网等隔离,防止非授权人员随意配置网络设备;网络设备的互联地址使用30位掩码的地址,比如静态路由器,OSPF路由的互联地址等,节约ip地址的同时可以提高收敛速度;办公电脑,无线终端的IP地址,建议使用DHCP服务器根据不同部门的VLAN进行自动分配。
一种新的组网方案可以考虑PON网络,即无源光网络,采用了类似与运营商网络的结构组建企业网,由OLT、ODN、ONU组成;OLT设备连接上游核心交换机,ODN连接ONU,实现接入,全程使用了光网络,用光纤代替双绞线,用分光器代替了汇聚交换机;这种组网方式适合初次组网,一次性投资比较大,但是后期管理维护费用会低很多;网络结构参考下图。
