信息技術(shù) 第一冊(cè)（五年制高職）教案 2.4.4認(rèn)識(shí)防火墻

認(rèn)識(shí)防火墻1．防火墻的概念防火墻是設(shè)置在可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接橋梁，同時(shí)對(duì)進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)進(jìn)行保護(hù)，防止惡意入侵、惡意代碼的傳播等，保障內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全，如圖1所示。圖1防火墻拓?fù)鋱D防火墻可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、因特網(wǎng)（Internet）蠕蟲、密碼探尋攻擊、郵件攻擊等。2．防火墻的分類按照軟、硬件形式劃分：硬件防火墻和軟件防火墻；按照保護(hù)對(duì)象劃分：?jiǎn)螜C(jī)防火墻和網(wǎng)絡(luò)防火墻；按照訪問控制方式劃分：包過濾防火墻、應(yīng)用代理型防火墻和狀態(tài)檢測(cè)防火墻。3．防火墻的功能防火墻處于網(wǎng)絡(luò)邊界的特殊位置，因而被設(shè)計(jì)集成了許多的安全防護(hù)功能和網(wǎng)絡(luò)連接管理功能。（1）訪問控制功能訪問控制是防火墻最基本的功能，其作用是對(duì)經(jīng)過防火墻的通信進(jìn)行連通或者阻斷的控制。可對(duì)特定程序、網(wǎng)絡(luò)協(xié)議、端口號(hào)、網(wǎng)絡(luò)地址進(jìn)行過濾；可以將IP與MAC地址綁定；可以對(duì)上網(wǎng)時(shí)間進(jìn)行控制，不同時(shí)段可以使用不同的安全策略；可以進(jìn)行帶寬流量控制等。防火墻的訪問控制采用兩種基本策略：黑名單策略和白名單策略。黑名單策略是指除了規(guī)則禁止的訪問外，其他都是允許的。白名單策略是指除了規(guī)則允許的訪問外，其他都是禁止的。（2）防止外部攻擊防火墻內(nèi)置的入侵檢測(cè)與防范機(jī)制可阻止數(shù)據(jù)包注入、SYNFloodAttack（泛洪）、DoS（拒絕服務(wù)）和端口掃描等外部的黑客攻擊行為。但無(wú)法阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊。（3）NAT地址轉(zhuǎn)換防火墻具有NAT地址轉(zhuǎn)換能力，可支持正向、反向地址轉(zhuǎn)換。正向地址轉(zhuǎn)換指內(nèi)網(wǎng)用戶通過防火墻訪問公網(wǎng)中的IP時(shí)，先把私有地址轉(zhuǎn)換為公有地址，再進(jìn)行訪問，能有效隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息。反向地址轉(zhuǎn)換是指公網(wǎng)中的IP訪問內(nèi)網(wǎng)中的服務(wù)器時(shí)，先把公網(wǎng)IP轉(zhuǎn)換為私有IP，再進(jìn)行訪問，可有效隱藏內(nèi)部服務(wù)器的信息，起到一定的保護(hù)作用。（4）日志與報(bào)警防火墻具有實(shí)時(shí)在線監(jiān)視內(nèi)外網(wǎng)通信的能力，并進(jìn)行日志記錄，也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。4．啟用或者關(guān)閉防火墻點(diǎn)擊Windows【開始】按鈕->【設(shè)置】->【網(wǎng)絡(luò)和Internet】->【W(wǎng)indows防火墻】，打開Windows安全中心防火墻設(shè)置界面，如圖2所示。圖2防火墻和網(wǎng)絡(luò)保護(hù)分別點(diǎn)擊【域網(wǎng)絡(luò)