計算機防火牆的安全設置

計算機防火牆的安全設置 .

　　一般情況下從防火牆的軟、硬件形式來分，防火牆可以分為軟件防火牆、硬件防火牆以及芯片級防火牆。
 
　　第一種：軟件防火牆
 
　　軟件防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網絡的網關。俗稱“個人防火牆”。 軟件防火牆就像其它的軟件產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網絡版軟件防火牆最出名的莫過於Checkpoint。使用 這類防火牆，需要網管對所工作的操作系統平台比較熟悉。
 
　　第二種：硬件防火牆
 
　　這裡說的硬件防火牆是指“所謂的硬件防火牆”。之所以加上"所謂"二字是針對芯片級防火牆說的了。它們最大的差別在於是否基於專用的硬件平台。 目前市場上大多數防火牆都是這種所謂的硬件防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些 經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆采用的依然是別人的內核，因此依然會受到OS(操作系統)本身的安全性影響。 .
 
　　傳統硬件防火牆一般至少應具備三個端口，分別接內網，外網和DMZ區(非軍事化區)，現在一些新的硬件防火牆往往擴展了端口，常見四端口防火牆一般將第四個端口做為配置口、管理端口。很多防火牆還可以進一步擴展端口數目。
 
　　第三種：芯片級防火牆
 
　　芯片級防火牆基於專門的硬件平台，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火 牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少，不過價格相 對比較高昂。
 
　　防火牆的基本功能
 
　　防火牆系統可以說是網絡的第一道防線，因此一個企業在決定使用防火牆保護內部網絡的安全時，它首先需要了解一個防火牆系統應具備的基本功能，這是用戶選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能：
 
　　防火牆的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就禁止”; 防火牆本身支持安全策略，而不是添加上去的;如果組織機構的安全策略發生改變，可以加入新的服務;有先進的認證手段或有掛鉤程序，可以安裝先進的認證方 法;如果需要，可以運用過濾技術允許和禁止服務;可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火牆上;擁有界面友 好、易於編程的IP過濾語言，並可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的 ACK位、出站和入站網絡接口等。 .