| 

回主頁
 


 
電腦工具箱 詳細資料

主題防火牆的工作原理
主題內容

The major function of a firewall in a computer network is to provide the protection gate for internal networks against the attacks or unauthorized access from outside through the Internet with filtering whether the incoming message or packets meet the specified security criteria.

1. Proxy (Application layer gateways) – 最主要功能為提供cache、content security等工作。Proxy運作原理是,以一台Proxy作防火牆,直接對internet作存取,再放於自己的cache當中,供網路內部電腦存取,作中間人的角色,防止用家與網上直接接觸,減低被入侵破壞的機會。

Windows: Windows Internet Information Server (Proxy Server)

Linux / Unix: Squid


2. Packet-filtering – 為防火牆的主流,對封包的流向及動作偵查、監視及根據資料庫對相應封包作出行動。

Windows: Windows XP Build-in Firewall、Sygate Personal Firewall、Tiny Personal Firewall(免費)、Lockdown、Blankice、Norton等。

Linux / Unix: Iptables、Ipchains (免費)


3. Inspect Engine – 這個防火牆形式是由Check Point公司開發,為大多數大型企業所選用。它有Packet-filtering的基礎,亦有Proxy的特色,不同的是前兩者只顧及OSI Layer中的Network Layer,Inspect Engine卻管理全部七層。



防火牆運作原理

1. 以Packet-filtering為例,最基本有至少有兩個介面:inbound(入)和 outbound (出),只要將相關的法則有次序的放於介面資料庫內,例如:

法則1:我想任何地方來的ftp,皆可進入我的server

法則2:ftp以外其他的程式,我不想接受進入我的server

次序排序有誤的話,意思便完全不同了。

法則1:…
法則n:…

法則的組成就是:

[由那裡] [去那裡] [什麼port] [什麼協定] [什麼行動]

2. 應用閘通道型 – 採用對連線動作攔截,由一個特殊的代理程式來處理兩端的連線,並分析其連線內容是否符合應用協定的標準。這可有效地控制整個連線的動作,而不會被客戶端或伺服器所騙,在管理上也較為簡單。但它須針對每一種應用,寫一個專屬的代理程式,或利用代理程式來處理大部份的連線。這方法雖最安全,但效能也是最低。

3. 封包檢驗型 – 通過一個檢驗模組,對每個封包中的各個層次做檢驗,加強封包的過濾能力,在於增加其安全性、控制「連線」的能力。當檢查的層面愈廣雖愈安全,但效能也相對降低。

Disadvantage:
Besides the cost, one major disadvantage of using firewall in a computer network is the lack of transparency that is inconvenience to the user between the internal and the external networks. The firewall works against the attacks mainly at the IP network, TCP port and application layers with a filter for security. If the filter is adjusted too tight, either side of networks cannot realize the other side.


流行軟件防火牆

Windows XP Build-in Firewall:
[設定:到「顯示所有連線」,選擇那網路的連線,按右鍵選「內容」。選「進階」,剔選網際網路防火牆,現在已啟動了防火牆。然後按需要建立伺服器如ftp server]

Sygate Personal Firewall:
[此為免費軟體,可到download.com下載]

Iptables
[Linux專用防火牆]


其他流行防火牆軟體

ZoneAlarm – 切合個人電腦使用的防火牆軟件,提供不同的設定,如Application Control、Internet Lock、Security Level等功能。
http://www.zonelabs.com

SyGate Personal Firewall – 有效偵測電腦內連線到Internet的程式。
http://www.sygate.com

BlackICE Defender – 提供簡易的介面應用,能自動提醒偵測到不明來歷的攻擊、彈性地設定監視的端口等功能。
http://blackice.iss.net

 
推荐度:1 (0: 未評級;3:極度推荐)

上次更新日期2007-02-28

 

 

=============================================================
警告:

使用「電腦工具箱」本網站 閣下必須承擔風險!本網站本著非牟利的精神,為 閣下提供免費訊息及技術資料,完全純屬參考性質,但不完全保證資訊及免費軟體的正確性及可靠性,故此本網站不會對 閣下因為使用本網站後而帶來任何損失,而負上任何責任。本站強烈建議在按照本網站的技術指引或使用免費軟體前,務請為電腦作妥善備份及確保可回復狀態。



 | 
Copyright © 版權所有 All Rights Reserved.  版權聲明刊登廣告業務合作 View My Stats