防火墙是目前使用最为广泛的
网络安全产品之一,用户在选购时应该注意以下几点:\x0d\x0a一、
防火墙自身的
安全性\x0d\x0a防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\x0a二、系统的稳定性\x0d\x0a目前,由于种种原因,有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。防火墙的稳定性可以通过几种方法判断:\x0d\x0a1.从权威的测评认证机构获得。例如,你可以通过与其它产品相比,考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明(书),来间接了解其稳定性。\x0d\x0a3.自己试用。在自己的网络上进行一段时间的试用(一个月左右)。\x0d\x0a4.厂商开发研制的历史。一般来说,如果没有两年以上的开发经历,很难保证产品的稳定性。\x0d\x0a5.厂商实力,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\x0a三、是否高效\x0d\x0a高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降,就意味着安全代价过高。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。\x0d\x0a四、是否可靠\x0d\x0a可靠性对防火墙类访问控制设备来说尤为重要,直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度。\x0d\x0a五、是否功能灵活\x0d\x0a对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。例如对普通用户,只要对IP地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\x0a六、是否配置方便\x0d\x0a在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙,在安装时不需要对原网络配置做任何改动,所做的工作只相当于接一个网桥或Hub。\x0d\x0a七、是否管理简便\x0d\x0a网络技术发展很快,各种安全事件不断出现,这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和方法,这通常体现为管理途径、管理工具和管理权限。\x0d\x0a八、是否可以抵抗拒绝服务攻击\x0d\x0a在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。\x0d\x0a九、是否可以针对用户身份过滤\x0d\x0a防火墙过滤报文,需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样,防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\x0a十、是否可扩展、可升级\x0d\x0a用户的网络不是一成不变的,和防病毒产品类似,防火墙也必须不断地进行升级,此时支持软件升级就很重要了。如果不支持软件升级的话,为了抵御新的攻击手段,用户就必须进行硬件上的更换,而在更换期间网络是不设防的,同时用户也要为此花费更多的钱。防火墙fa0/0口的默认ip地址是192.168.1.1吧
找根t568b线把电脑和交换机的fastether0/0口相连
进图形化界面进行配置吧
把电脑的网卡地址设成与防火墙在同于个网段的ip地址
如果防火墙默认ip不是192.168.1.1
就用超级终端进入字符界面
然后show
interface
fastether
0/0看看端口的ip地址
硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
硬件防火墙的原理
至于价格高,原因在于,软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。
评论列表(0条)