windows防火墙的安全防御

windows安全防御——防火墙

    • 什么是防火墙
    • ICF工作原理
    • 防火墙的种类
    • 数据库安全
    • 防火墙安全与防护
    • 发展历史

什么是防火墙

XP系统相比于以往的Windows系统新增了许多的网络功能(Windows 7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙

ICF工作原理

ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。

在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。

防火墙的种类

防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet

从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。

数据库安全

数据库安全
实现数据库安全的实时防护

其他功能

除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。

防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。

防火墙安全与防护

应用层安全
必须具有丰富的应用识别,才能确保安全策略更精细,更可视。

动态更新的应用识别技术。随着网络应用的快速增长,基于各种协议的网络应用日趋增加,新一代防火墙必须能够依据协议特点识别各种网络应用和网络动作,并且内置到防火墙内部且应用和动作的识别可以动态更新。

用户识别技术。可以根据用户类型、用户部门、用户权限、IP组等不同分类对网络用户进行分类,使每一类用户有不同的网络权限。同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证。
内容级防护
全面的内容防护至少要包括漏洞扫描、WEB防护、内容过滤三个内容。漏洞扫描要能发现对操作系统、应用系统、网络协议、用户设备漏洞的防护,对利用漏洞进行的攻击进行阻断。WEB防护功能应包括网站攻击防护、应用隐藏、口令保护和权限控制。内容过滤功能应该能显现对关键字、URL集、病毒、木马、恶意控件/脚本的过滤。

应用层处理
如果使用传统的硬件架构方式对报文进行处理,不仅对硬件要求高,同时应用层报文处理会大量占用设备资源,很难突破千兆处理。必须对防火墙进行新架构设计,抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上也要放弃了UTM多引擎,多次解析的架构,需要采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,能够一次对报文实现从网络层到应用层的解析,达到万兆处理能力。

发展历史

安全方案
通过本章的分析,设计网络安全、可视化应用管控、全面应用安全三个大项部署未来防火墙框架。

发展历史
第一代防火墙

第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。

第二代防火墙

第一代防火墙技术主要在路由器上实现,后来将此安全功能独立出来专门用来实现安全过滤功能。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。

第三代防火墙

代理防火墙出现,原来从路由器上独立出来的安全软件迅速发展,并引发了对承载安全软件本身的操作系统的安全需求。即对防火墙本身的安全问题的安全需求。

第四代防火墙

1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙

1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

你可能感兴趣的:(windows防火墙的安全防御)