まず、ファイアウォールの基本概念古代では、人々はしばしばアパートの間にレンガの壁を作り、火災が発生すると、火災が他のアパートに広がるのを防ぐことができます。現在、ネットワークがインターネットに接続されている場合、そのユーザーは外部の世界にアクセスして通信することができます。しかし同時に、外の世界もネットワークにアクセスして対話することができます。セキュリティ上の理由から、中間システムをネットワークとインターネットの間に挿入してセキュリティバリアを構築することができます。このバリアの役割は、外部からネットワークを介してネットワークへの脅威や侵入をブロックし、ネットワークの唯一のレベルのセキュリティと監査を提供することです。その役割は、古代の耐火レンガの壁に似ています。障壁は「ファイアウォール」と呼ばれます。コンピュータでは、ファイアウォールはソフトウェアまたはハードウェアデバイスを組み合わせたデバイスで、通常は社内のLANとインターネットの間にあり、インターネットユーザの内部ネットワークへのアクセスを制限し、外部ユーザへの内部ユーザのアクセスを管理します。つまり、ファイアウォールは、安全で信頼できると見なされる内部ネットワークと、安全ではなく信頼できると見なされる外部ネットワーク(通常はインターネット)との間のブロックツールです。ファイアウォールは、ネットワーク境界の存在を前提としており、内部の不正アクセスを効果的に制御することは困難であるため、パッシブテクノロジです。したがって、ファイアウォールは企業内のローカルエリアネットワークなど、比較的独立したネットワークにのみ適しています。安全でないサービスのフィルタリングこの基準に基づいて、ファイアウォールはすべての情報の流れをブロックしてから、提供するセキュリティサービスを開き、安全でないかセキュリティリスクがある可能性があるサービスはすべて発芽で消滅します。その中で。慎重に選択されたサービスしか使用できないため、これは非常に効果的で実用的な方法で非常に安全な環境を構築します。 2.不正なユーザーのフィルタリングと特別なサイトへのアクセスこの規則に基づいて、ファイアウォールは最初にすべてのユーザーとサイトが内部ネットワークにアクセスするのを許可し、次にネットワーク管理者はIPアドレスに従って不正ユーザーまたは信頼できないサイトをブロックします。この方法は、より柔軟なアプリケーション環境を構成し、ネットワーク管理者はサービスごとに異なるユーザーに開放できます。つまり、個々のユーザーに異なるアクセス権を自由に設定できます。第三に、ファイアウォールの基本的な対策ファイアウォールセキュリティ機能の実装は、主に2つの対策を使用しています。 1.プロキシサーバー(ダイヤルアップインターネットアクセス用)内部ネットワークがインターネットと直接通信しない方法で、内部ネットワークコンピュータユーザーとプロキシサーバーは、内部ネットワークプロトコル(NetBIOS、TCP /IP)、プロキシサーバーの通信方法を採用します。インターネットとの通信には標準のTCP /IPネットワーク通信プロトコルが採用されており、ファイアウォールの内側と外側のコンピュータ間の通信はプロキシサーバーによって実現されており、内部ネットワーク→プロキシサーバー→インターネットという構造になっています。プロキシサーバーの両端が異なるプロトコル標準であるため、ファイアウォールの内側と外側のコンピューターシステムを分離することで、直接的な外部からの侵入を効果的に防ぐことができます。プロキシサーバーは、通常、パフォーマンスが良く、処理速度が速く、大容量のコンピューターで使用され、内部ネットワークとインターネットの間の接続として機能し、内部ネットワークにとっては実サーバーのようですが、インターネットにとっては真のサーバーです。サーバーにとっては、それは別のクライアントです。プロキシサーバーは、ユーザーの要求を受け付けると、ユーザーが要求したサイトが設定要件を満たしているかどうかを確認し、アクセスが許可されている場合は、サイトに接続して必要な情報を取得してユーザーに転送します。さらに、プロキシサーバーは、強力なデータフロー監視、フィルタリング、ログ記録、およびレポート機能、および優れたアクセス制御、ログイン機能、およびアドレス変換機能を実装できるなど、より安全なオプションを提供します。しかし、この種のファイアウォール対策では、内部ネットワーク端末が多数ある場合、効率が必然的に影響を受け、プロキシサーバーの負担が大きくなり、インターネットにアクセスする多くのクライアントソフトウェアが内部ネットワークコンピュータでインターネットに正常にアクセスできなくなります。 2.ルーターとフィルタールーターとフィルターは、外部コンピューターから内部ネットワークへのアクセスを制限するために使用され、内部ネットワークからインターネットへのアクセスを指定または制限することもできます。ルータはフィルタの特定のポートでデータ通信をルーティングするだけで、フィルタの主な機能はネットワークレイヤでデータパケットを選択的に通過させることであり、IPソースアドレスに従ってIPパケット情報に従って。 IP宛先アドレス、カプセル化プロトコルポート番号、パケットの通過を許可するかどうかを決定します。この種のファイアウォール対策の最大の利点は、ユーザーに対して透過的であることです。つまり、ユーザーはログインするためにアカウント番号とパスワードを入力する必要がないため、プロキシサーバーより速度が速く、ボトルネック現象は容易ではありません。ただし、その欠点も明らかです。つまり、ユーザーレコードがないため、アクセスレコードから不正侵入の攻撃レコードを見つけることはできません。