防火牆屬於什麼設備
A. 防火牆屬於IP設備還是IT設備
ip是說屬於TCP/IP協議的IP層 現在防火牆已經發展到應用層了
IT設備是指行政上屬於IT部門管
B. 防火牆、IDS和IPS之間有什麼區別
二者區別主要有以下幾點:
一、概念不同
1、IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,通過軟、硬體,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
2、入侵防禦系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
二、系統類型劃分不同
1、IDS按入侵檢測的技術基礎可分為兩類:
一種基於標志的入侵檢測(signature-based),另一種是基於異常情況的入侵檢測(anomaly-based)。
2、IPS按其用途劃分為單機入侵預防系統(HIPS)和網路入侵預防系統(NIPS: Network Intrusion Prevension System)兩種類型。
三、防禦技術不完全相同
1、IDS實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。
2、IPS入侵預防系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。有些入侵預防系統結合協議異常、傳輸異常和特徵偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。
C. 防火牆相當於一個什麼設備,它允許特定的信息流入或流出被保護的網路。
1.什麼是防火牆
防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理伺服器上的" 鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記, 形成報告,同時當發現被攻擊跡象時會向網路管理員發出警報,並保留攻擊痕跡。
4.設置防火牆的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務, 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用戶訪問指定的Internet主機和服務。
防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來,用戶被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟體(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火牆在大型網路系統中的部署
根據網路系統的安全需要,可以在如下位置部署防火牆:
區域網內的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。
在廣域網系統中,由於安全的需要,總部的區域網可以將各分支機構的區域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的區域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網。
總部的區域網和分支機構的區域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網。
在遠程用戶撥號訪問時,加入虛擬專網。
ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。
兩網對接時,可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT),地址映射(MAP), 網路隔離(DMZ), 存取安全控制,消除傳統軟體防火牆的瓶頸問題。
6.防火牆在網路系統中的作用
防火牆能有效地防止外來的入侵,它在網路系統中的作用是:
控制進出網路的信息流向和信息包;
提供使用和流量的日誌和審計;
隱藏內部IP地址及網路結構的細節;
提供VPN功能;
參考資料:
D. 防火牆屬於電腦配件還是屬於伺服器或者伺服器配件
防火牆 有硬體防火牆和軟體防火牆!
軟體的一般跟著系統裝有!
硬體防火牆要單獨購買,單獨配置,估計你說的 是這種,硬體的!
防火牆 是為了安全才用的,根據需求購買!
E. 機房防火牆到底是什麼東西
由於現在的網路環境越來越復雜,而且不少黑客和惡意攻擊已經把主要目版標鎖定在機房的伺服器上,所權以不少網路公司也為伺服器的安全問題深感頭痛。於是,對數據中心機房的安全要求也提上日程,很多用戶對於伺服器機房的要求側重點也有所變化,機房是否採用專業的硬體防火牆成為一個必要的考慮因素,而託管價格和機房其他設施的考核則次於安全問題。
鑒於市場對機房網路安全問題的日益重視,很多IDC運營商也紛紛採用了各式各樣的防火牆方案,然後在站點上宣傳「本機房採用千兆硬體防火牆」,或是「機房使用抗DDos防火牆」。
F. 防火牆是硬體設備對嗎
硬體就是能摸得到 看的著的設備,就好比人的身體, 軟體就看不到摸不著了,類似專人的靈魂,電腦屬只有硬體沒有軟體,就等於一堆廢鐵,人要是沒有了靈魂,就是一具屍體。
防火牆就是一種軟體,保護電腦不受其他有害的軟體的傷害。
G. 網路安全設備有哪些
網路安全設備有如下三種:
1、防火牆:它是一種位於內部網路與外部網路之間的網專絡安全系統。一項信息屬安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
2、VPN:是我們平常所說的虛擬專用網路,VPN是指通過一個公用網路來搭建一個臨時的、安全的連接。通常VPN都用到企業內網管理上,它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路。
3、殺毒軟體:也稱反病毒軟體或防毒軟體,是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。殺毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能,有的殺毒軟體還帶有數據恢復等功能,是計算機防禦系統(包含殺毒軟體,防火牆,特洛伊木馬和其他惡意軟體的查殺程序,入侵預防系統等)的重要組成部分。
H. 防火牆和網關分別是幾層的設備
你說的兩個都不確定
防火牆根據作用可以在好幾層工作
而網關也不確定(除非你說集線器,路由器一般才能告訴准確答案)
首先我享我們必須先樹立一個觀念:網關只是一個概念,他不能確切的代表任何含義,更不能代表任何的設備。對應OSI不同層次的網關的具體體現甚至都不一樣。是對某些有著類似的工作機理的處理機制的概括。他不像我們提到路由器或者交換機(ethernet switch)時候,我們就確切的知道他是什麼設備,實現那種功能。而對於網關這個名詞,我們所說的每種具體的功能都是他的一個子類。
我首先透過幾個例子解釋一下幾種常見的網關:
1、應用網關。譬如我們需要在建設銀行跟中國銀行之間進行聯網,實現通存通兌。但是由於很多的原因,大家之間的數據格式千差萬別,誰沒有辦法對方的數據。因此我們就在兩大系統之間加一個設備,實現將雙方的數據進行轉換的功能。這就是應用網關的一個例子。
2、協議網關。我公司現在用的是跑ethernet協議的ethernet網路。我想要訪問互聯網的話,通過考察感覺使用DDN是最好的選擇。現在就有一個問題,我在Ethernet上面跑的ethernet協議,是沒有辦法在DDN網路上傳輸的。如何解決這個問題呢?我就在這兩種網路之間增加一個設備:router。這樣就可以將區域網協議轉換為廣域網協議。從這個意義上講,雖然路由器是工作在的三層的設備,但是就作為網關來講,他是二層的協議網關。(從具體的實現來說,這個例子不太貼切,因為路由器並沒有直接實現不同協議間的翻譯,而是通過更高層的協議進行重新的封裝)
我們可以從上面的例子可以看出,所謂的網關的實現是在確定的層次上的,不能因為其他的層次的存在就說網關是工作在多個層次上的。我們應該從進程的角度來了解或者解釋網關,這就容易看出他的位置。
再強調一次:網關不代表設備,而是很多種功能的一個通稱,是一種概念。
不管是中繼器還是hub(僅僅中繼器的一個延伸而已)都只是屬於ethernet的概念。在一種協議的一個實例上,永遠都不會有網關的需求出現。要理解網關必須在異構的環境中。