链接-防火墙的分类
防火墙的分类与优缺点知识
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
常见防火墙的类型
代理取决于在客户端和真实服务器之间插入代理服务器的能力,这要求两者之间交流的相对直接性。而且有些服务的代理是相当复杂的。
* 代理可以方便地与其它安全手段集成
目前的安全问题解决方案很多,如认证(Authentication)、授权(Authorization)、帐号(Accouting)、数据加密、安全协议(SSL)等。如果把代理与这些手段联合使用,将大大增加网络安全性。这也是近期网络安全的发展方向。
* 一些应用协议不适合于数据包过滤
即使是完美的数据包过滤实现,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且,服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
图3 代理的工作方式
代理防火墙(Proxy)
代理防火墙是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
应用层网关
这种防火墙的工作方式和过滤数是基于软件的。
代理防火墙的原理
代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层提供访问控制。而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。那么,代理防火墙是怎样工作的呢?如图3所示:
* 正常的数据包过滤路由器无法执行某些安全策略
数据包过滤路由器上的信息不能完全满足我们对安全策略的需求。例如,数据包说它们来自什么主机(这点还有隐患),而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序;当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,恶意的知情者能够很容易地破坏这种控制。
防火墙学习笔记
5防火墙一、防火墙基础防火墙通常位于两个信任程度不同的网路间(如:企业内部和internet之间),可以对两个网络之间的通信进行控制,从而保护内部网络的安全。
防火墙特征:1、逻辑区域过滤器2、使用NA T技术可以隐藏内部的网络结构3、自身的安全是有保障的4、可以主动防御攻击防火墙的组成:硬件+软件+控制策略控制策略分为两种:1、宽松的控制策略:除非明确禁止,否则就允许2、限制的控制策略:除非明确允许,否则就禁止按形态分类:硬件防火墙、软件防火墙按保护对象分类:单机防火墙、网络防火墙按防火墙的实现方式,分为三类:1、包过滤防火墙:只检测数据的报头,缺点是:a、无法关联数据包之间的关系b、无法适应多通道协议(比如:VPN)c、不检测应用层的数据2、代理型防火墙:所有的数据包都要经过防火墙才能访问到server,访问速度很慢3、状态检测防火墙:现在运用的防火墙主要都是状态检测防火墙华为防火墙的工作模式:1、路由模式:所有接口均有IP2、透明模式:所有接口均无IP3、混合模式:有的接口有IP,有的接口没有IP防火墙的局限性:1、防外不防内2、不能防御全部的安全威胁,特别是新产生的危险3、在提供深度监测功能和处理转发性能之间需要做平衡4、当使用端到端的加密时,防火墙不能对加密的隧道进行处理5、防火墙本身会存在一些瓶颈,如抗攻击能力,会话限制等防火墙的区域和优先级:1、local区域,优先级1002、trust区域,优先级853、DMZ区域,优先级504、untrust区域,优先级5这些防火墙内设区域的优先级和名字都是无法改变的,优先级低的区域不能访问优先级高的区域(思科),华为设备如果防火墙策略允许可以突破区域访问限制。
防火墙上的所有接口本身都属于local区域,如果把一个接口划分到了trust区域,是指该接口下的设备属于trust区域,接口本身永远属于local区域。
Inbound与Outbound定义:高优先级的访问低优先级:Outbound,反之则是:Inbound安全区域与接口的关系:1、防火墙不允许存在两个具有完全相同安全级别(既优先级相同)的安全区域2、防火墙不允许同一物理接口分属于两个不同的安全区域3、防火墙的不同接口可以属于同一个安全区域防火墙支持的功能:路由器、交换机支持的功能,防火墙都支持衡量防火墙好坏的指标:1、吞吐量:防火墙能同时处理的最大数据量有效吞吐量:除掉因TCP的丢包和超时重发的数据,实际每秒传输的有效速率2、延时:数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔,是用来衡量防火墙处理数据的速度的理想指标3、每秒新建连接数:指每秒可以通过防火墙建立起来的完整的TCP链接数4、并发连接数:指防火墙可以同时容纳的最大连接数目,一个连接就是一个TCP/UDP的访问防火墙实验拓扑图以后章节所讲的内容都基于此图:默认的情况下,防火墙是有一些配置的:G0/0/0接口的IP地址为:192.168.0.1/24,配置了基于接口的DHCP,且G0/0/0默认属于trust区域。
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。
1.数据包过滤型防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。
之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
所根据的信息来源于IP、TCP或UDP包头。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
防火墙的类型有哪些
防火墙的类型有哪些
很多人都以为防火墙只是系统只带的一个安全防护功能,但其实你们知不知道防火墙也有类型分类的,下面就让店铺给大家介绍一下防火墙的类型有哪些。
防火墙的类型:
1、包过滤防火墙:
这是第一代防火墙,又称为网络层防火墙,在每一个数据包传送到源主机时都会在网络层进行过滤,对于不合法的数据访问,防火墙会选择阻拦以及丢弃。
这种防火墙的连接可以通过一个网卡即一张网卡由内网的IP地址,又有公网的IP地址和两个网卡一个网卡上有私有网络的IP地址,另一个网卡有外部网络的IP地址。
2、状态/动态检测防火墙:
状态/动态检测防火墙,可以跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定该数据包是允许或者拒绝通信。
它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
3、应用程序代理防火墙:
应用程序代理防火墙又称为应用层防火墙,工作于OSI的应用层上。
应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。
相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。
以上就是防火墙的分类,相信大家对于防火墙的知识有了一些了解,大家应该多多了解一些关于电脑、网络方面的知识,以便在以后碰到计算机方面的问题时,自己就能解决。
信息安全技术防火墙分类及安全技术要求等级划分
防火墙分类及安全技术要求等级划分
本附录根据防火墙运用需求及安全目的,分类上主要包括网络层防火墙、下一代防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。
同时,将防火墙的安全等级分为基本级和增强级,安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据,安全等级突出安全特性。
A.1 网络层防火墙
表A.1规定了标准中定义的网络层防火墙的安全等级划分。
表A.1 网络层防火墙安全技术要求等级划分表
A.2 下一代防火墙
表A.2规定了标准中定义的下一代防火墙的安全等级划分。
表A.2 下一代防火墙安全技术要求等级划分表
A.3 WEB应用防火墙
表A.3规定了标准中定义的WEB应用防火墙的安全等级划分。
表A.3 WEB应用防火墙安全技术要求等级划分表
A.4 数据库防火墙
表A.4规定了标准中定义的数据库防火墙的安全等级划分。
表A.4 数据库防火墙安全技术要求等级划分表
A.5 主机型防火墙
表A.54规定了标准中定义的主机型防火墙的安全等级划分。
表A.4 主机型防火墙安全技术要求等级划分表。
_防火墙配置步骤全解
制作人:袁清国
防火墙概述
1、网络设备(系统)简介
路由器、(二/三)层交换机、防火墙、VPN、IDS/IPS、UTM、计费网 关、AAA设备、流控(流量整形)系统、上网行为管理系统、日志系统、 网络管理系统、桌面管理系统、物理网闸、负载均衡等。
2、防火墙定义
防火墙是位于两个或多个网络之间,执行访问控制策略的一个设备或一 组系统的总称。
Computer
内部网络
(2)网桥模式:防火墙可以方便的接入到网络(类似于交换机),而且保持所 有的网络设备配置完全不变。
Router
L3 Switch
内部网络
Internet
防火墙可以方便的接入到网 络,而且保持所有的网络设 备配置完全不变
此时防火墙类似网桥的工作 方式,降低网络管理的复杂 度
(3)混合模式:防火墙同时工作在路由模式和桥模式(NAT基于路由模式)。
3、防火墙的分类
软/硬件类型
硬件防火墙:Netscreen,Cisco pix/ASA,H3C secpath,天融信, 神码DCFW,锐捷 RG-wall,中软,联想网御等
按照用途
软件防火墙:ISA,m0n0,Checkpoint,Iptables,pfsense, 电信级:华为Eudemon 100E、 DCFW-1800E
Internet
NAT
桥
路由
防火墙同时工作在路 由模式和桥模式
www
FTP DMZ区
Computer
Computer
内部网络
(4)混合模式配置实例:
Internet
OutSide 202.99.8.254/29 202.99.8.253/29
InSide
防火墙的工作技术分类与基础原理介绍
防火墙的工作技术分类与基础原理介绍防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
这篇文章主要介绍了防火墙的工作技术分类与基础原理,需要的朋友可以参考下具体介绍防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。
在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
防火墙技术分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙FIREWALL类型目前市场的防火墙产品非常之多,划分的标准也比较杂。
主要分类如下:1. 从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。
(1):软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint、天网防火墙Sky Net FireWall。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2):硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC 架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。
很多防火墙还可以进一步扩展端口数目。
(3):芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2. 从防火墙技术分为“包过滤型”和“应用代理型”两大类。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。
“包过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,“应用代理型”以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。
只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包过滤方式是一种通用、廉价和有效的安全手段。
之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。
过滤规则基于数据包的报头信息进行制订。
报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
●第二代动态包过滤类型防火墙这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。
这种技术后来发展成为包状态监测(Stateful Inspection)技术。
采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。
对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2). 应用代理(Application Proxy)型应用代理型防火墙是工作在OSI的最高层,即应用层。
其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。
它的核心技术就是代理服务器技术。
第二代自适应代理(Adaptive proxy)型防火墙它是近几年才得到广泛应用的一种新防火墙类型。
它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。
组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。
在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。
然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。
如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。
由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。
那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
3. 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。
它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。
其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。
虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。
正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。
最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。
如Cisco IOS防火墙系列。
但这种防火墙通常是较低级的包过滤型。
这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。
在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。
这样一个防火墙系统就可以彻底保护内部网络。
各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。
而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
4. 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。
这类防火墙一般都是硬件类型的,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。
这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。
它属于最新的防火墙技术之一,性能最好,价格也最贵。
5. 按防火墙性能分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。
这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。
当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
DMZ隔离区,“非军事化区”DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。