解读防火墙
_防火墙配置步骤解读
_防火墙配置步骤解读防火墙配置是网络安全中非常重要的一环,它作为系统和网络的第一道防线,能够有效地保护网络资源和数据的安全。
下面将详细解读防火墙配置的步骤。
第一步:定义网络策略在配置防火墙之前,需要明确网络策略,即确定网络中的哪些资源需要被保护,以及对外部连接的规定。
这包括以下几个方面:1.确定网络中的关键资产和敏感数据:比如服务器、数据库等重要资源,以及存放用户个人信息的系统。
2.确定访问控制规则:确定内部用户以及外部用户对这些关键资产的访问权限,包括允许哪些IP地址或者端口访问,以及禁止哪些IP地址或者端口访问。
3.确定审计和监控规则:确定监控和记录网络流量的规则,以便于发现异常行为或者攻击。
第二步:选择防火墙设备在进行防火墙配置之前,需要根据网络规模和预期的业务需求选择合适的防火墙设备。
防火墙设备种类繁多,有硬件防火墙、软件防火墙、虚拟防火墙等。
选择时要考虑以下几个因素:1.防火墙的性能:根据网络流量和用户数量选择合适的设备,确保其能够满足网络的需求。
2.防火墙的功能:根据需要选择具备合适的功能,比如是否支持VPN、入侵检测系统等。
3.厂商信誉度:选择知名度高、技术支持好、更新迭代及时的厂商。
第三步:配置基本设置在进行防火墙配置之前,首先需要进行一些基本设置,包括:1.为防火墙设备分配IP地址:设置设备的内部和外部接口的IP地址。
2.设置DNS服务器地址:配置系统的DNS服务器地址,以便进行域名解析。
3.配置时间和日期:设置正确的时间和日期,以确保日志和事件的时间戳准确。
4.配置管理员密码:设置防火墙设备的管理员密码,并确保定期更换。
第四步:配置访问规则配置访问规则是防火墙配置的核心部分,通过设置访问规则可以对网络流量进行控制,确保只有授权用户可以访问关键资源。
在配置访问规则时,需要考虑以下几个因素:1.根据网络策略和安全需求,设置访问控制规则,包括允许和禁止哪些IP地址或者端口的访问。
2.配置网络地址转换(NAT)规则,将内部IP地址转换成外部IP地址,以便内部用户能够访问外部网络。
深度解读网络防火墙的四层与七层过滤(七)
深度解读网络防火墙的四层与七层过滤网络防火墙是保护计算机网络免受恶意攻击和未经授权访问的关键工具。
其中,最常见的两种类型是四层和七层过滤。
本文将深入探讨这两种过滤技术的原理、应用和区别。
一、四层过滤四层过滤是指网络防火墙在传输控制协议(TCP)和用户数据报协议(UDP)之上进行过滤和检测。
它基于源地址、目标地址、端口号和协议类型等信息进行过滤。
四层过滤技术具有高效、稳定和快速的特点,适用于大多数网络环境。
四层过滤的实现原理类似于“端口转发”,即通过检查连接请求的源地址和目标地址,防火墙可以识别是否允许或拒绝该连接。
同时,它还会检查端口号和协议类型,以确保只有经过授权的连接可以通过。
例如,允许传输HTTP协议的连接流量,但阻止传输FTP协议的连接。
四层过滤在保护网络安全方面非常有效,但它无法检测和过滤应用层协议的特定内容。
这就引出了七层过滤的概念。
二、七层过滤与四层过滤不同,七层过滤基于应用层协议对网络流量进行过滤和检测。
它可以分析传输的数据包内容,并根据协议和应用层规则进行决策。
因此,七层过滤技术可以实现更精确和细致的网络流量控制。
七层过滤的实现主要基于深度包检测(DPI)技术。
DPI技术具有强大的数据分析能力,可以检测特定应用程序协议、网络流量类型和数据包内容。
例如,七层过滤可以在HTTP协议中检测恶意代码、广告和非法网站等威胁,从而保护网络免受攻击。
七层过滤相比四层过滤更加智能化和复杂,但也更加耗费计算资源。
因此,在大型网络环境中,四层过滤和七层过滤通常会结合使用,以平衡网络性能和安全需求。
三、四层与七层过滤的区别除了实现原理和功能上的不同,四层过滤和七层过滤还存在其他一些区别。
首先,四层过滤更加侧重于网络连接层面的过滤,而七层过滤更关注应用层面的过滤。
四层过滤主要通过源地址和目标地址、端口号和协议类型等信息进行筛选,而七层过滤则在这些基础上还能对数据包内容进行更精准的分析和过滤。
其次,四层过滤执行速度更快,而七层过滤在处理复杂的应用层协议时会稍微慢一些。
深度解读网络防火墙的四层与七层过滤(四)
网络防火墙是现代网络安全的重要组成部分,它能够通过过滤和监控网络数据流量,保护网络系统免受网络攻击和恶意行为的侵害。
网络防火墙根据过滤的深度可以分为四层和七层过滤,本文将对两者进行深入解读。
一、四层过滤四层过滤是指网络防火墙在传输层和网络层进行数据包过滤。
传输层是指OSI模型的第四层,主要负责数据传输的可靠性和流控制。
而网络层是指OSI模型的第三层,负责数据在不同网络之间的路由选择和传输。
在四层过滤中,网络防火墙主要通过检查源地址、目标地址、源端口号和目标端口号等信息,来判断数据包的合法性和是否允许通过防火墙。
这种过滤方式可以高效地对大量数据包进行处理,提高网络的传输速率。
但是,四层过滤的缺点是过于粗略,无法识别应用层的具体协议和内容。
二、七层过滤七层过滤是指网络防火墙在传输层、网络层和应用层进行数据包过滤。
应用层是指OSI模型的最顶层,负责应用程序和用户之间的交互。
在七层过滤中,网络防火墙通过深度检查数据包的应用层协议和内容,可以更加准确地判断数据包的合法性和是否允许通过防火墙。
七层过滤可以根据特定的应用层协议对数据进行精确过滤,包括HTTP、FTP、SMTP等。
通过识别具体的应用层协议,网络防火墙可以对特定协议的攻击进行防范,提高网络的安全性。
七层过滤还可以检查应用层的内容,对恶意软件、病毒和垃圾邮件等进行识别和过滤,保护网络系统的完整性和可用性。
三、四层与七层过滤的优缺点四层过滤和七层过滤各有优缺点,根据不同的应用场景选择适合的过滤方式非常重要。
四层过滤的优点在于高效性和简单性。
通过根据传输层和网络层的信息进行过滤,可以快速地处理大量的数据包,并提高网络的传输效率。
此外,由于四层过滤不需要深入到应用层的协议和内容,减少了过滤规则的复杂性和配置的难度。
然而,四层过滤的缺点是无法对特定应用层协议进行精确识别和过滤。
攻击者可以利用一些常用的端口号和协议来绕过四层过滤,进行恶意攻击和数据传输。
此外,由于无法识别应用层的具体内容,四层过滤无法对恶意软件和病毒进行有效监控和防范。
深度解读网络防火墙的四层与七层过滤(十)
网络防火墙是保护计算机网络安全的关键设备,其作用是通过过滤网络数据流,阻止恶意攻击和不当访问,防止网络威胁对系统造成损害。
在网络防火墙中,常常使用四层和七层过滤来保障网络的安全。
本文将深入解读网络防火墙的四层与七层过滤,并探讨其优缺点。
一、四层过滤四层过滤是指在网络防火墙中根据网络层和传输层的协议参数进行数据包过滤。
在这一层次上,防火墙根据源IP地址、目标IP地址、源端口号、目标端口号等信息对数据包进行过滤和判断。
四层过滤可以实现基本的网络访问控制,可以阻止一些简单的网络攻击,如端口扫描等。
然而,四层过滤的限制在于其过滤规则是基于IP地址和端口号的,无法精确识别应用层协议。
例如,在四层过滤中,HTTP、FTP和SMTP等应用层协议被视为相同的协议,难以根据具体协议特征进行细粒度的过滤和访问控制。
二、七层过滤七层过滤是指在网络防火墙中基于应用层协议对数据包进行过滤和判断。
与四层过滤相比,七层过滤更加精确,可以根据应用层协议的特征对数据包进行细粒度的控制。
七层过滤可以检测和阻止一些应用层攻击,如SQL注入、跨站脚本攻击等,保护网络的安全。
七层过滤的优势在于其能够对不同的应用层协议进行专门的过滤和访问控制。
例如,可以对HTTP协议进行URL过滤,阻止恶意网站的访问;对FTP协议进行文件类型过滤,禁止传输危险的文件。
七层过滤还可以进行应用层负载均衡,提高网络性能和服务质量。
然而,七层过滤相对于四层过滤来说,需要更多的计算资源和处理时间,对网络的性能要求更高。
此外,七层过滤需要对每个数据包进行深度解析,对网络防火墙的设计和配置提出了更高的要求。
三、四层与七层过滤的结合实际应用中,四层与七层过滤通常结合使用,形成一个综合的网络防火墙策略。
四层过滤可以快速识别和处理大量数据包,过滤掉大部分的威胁流量,减轻网络防火墙的负担。
对于一些需要更精确访问控制的流量,再通过七层过滤进行深入检查,确保网络的安全。
四层与七层过滤的结合还可以提高防火墙的灵活性和可扩展性。
深度解读网络防火墙的四层与七层过滤(八)
网络防火墙是在计算机网络中起到保护网络安全的关键设备,它可以通过过滤和监控网络数据包来拦截恶意攻击和非法访问。
网络防火墙的过滤方式可以分为四层和七层过滤,本文将深度解读这两种过滤方式的特点和应用。
一、四层过滤四层过滤是指网络防火墙在数据链路层、网络层和传输层进行过滤和监控。
这种过滤方式主要基于源IP地址、目标IP地址、源端口号、目标端口号以及传输协议(如TCP、UDP)等信息来进行过滤判断。
四层过滤具有以下特点:1. 灵活性:四层过滤可以根据特定的IP地址、端口号等信息进行策略配置,从而实现对特定流量的限制和控制。
2. 高效性:由于只需要判断数据包中的源与目标IP地址以及端口号等基本信息,所以四层过滤的处理速度相对较快。
3. 局限性:四层过滤通常不能对应用层的协议及数据进行细粒度的过滤和监控,容易出现漏检的情况。
四层过滤主要适用于以下场景:1. 防止DDoS攻击:通过限制特定IP地址或端口的流量,可以减轻DDoS攻击带来的影响。
2. 控制违规访问:可以对特定协议或端口进行限制,防止违规访问和非法入侵。
3. 过滤恶意流量:通过对传输层信息的检测,可以及时过滤恶意的数据包。
二、七层过滤七层过滤是在四层过滤的基础上,进一步对应用层进行过滤和监控。
它可以识别特定的应用层协议、数据内容以及用户行为等,从而实现对应用层细粒度的控制和管理。
七层过滤具有以下特点:1. 准确性:七层过滤可以对应用层的协议、数据内容进行深入分析和处理,对恶意攻击和流量进行更准确的判断。
2. 灵活性:通过识别应用层协议和用户行为,可以实现更多样化的访问控制策略,以适应不同应用场景的需求。
3. 工作量较大:由于七层过滤需要对数据内容进行深入分析,所以相比四层过滤,它的处理速度相对较慢。
七层过滤主要适用于以下场景:1. 应用层协议控制:通过识别应用层协议,可以对特定协议的流量进行控制,如阻止P2P、FTP等协议的传输。
2. 网络行为管理:通过识别用户行为,可以限制非法下载、违规上传等行为,确保网络资源的合理使用。
深度解读网络防火墙的四层与七层过滤(二)
网络防火墙是我们日常生活中经常接触到的一个名词,它可以对网络流量进行过滤,保护网络安全。
网络防火墙有四层与七层过滤的分类,下面我将对这两种过滤方式进行深度解读。
1. 四层过滤四层过滤是基于传输层的网络安全过滤方式,常用的实现方式是通过检查网络数据传输的源地址、目标地址、端口信息等,对数据包进行过滤。
这种过滤方式主要是针对IP地址和端口号进行规则匹配,判断是否允许通过或者拦截。
四层过滤的优点是效率高,处理速度快。
它可以对传输的数据包进行快速筛选,以及实施简单的访问控制,对常见的网络攻击有一定的防护效果。
然而,四层过滤也存在一些问题。
由于它主要依靠IP地址和端口号进行判断,因此容易被攻击者利用欺骗手段进行规避。
同时,四层过滤无法深入到应用层进行检查,对于特定的应用层攻击无法有效预防。
因此,在某些情况下,需要更加细致,更加精确的七层过滤方式。
2. 七层过滤七层过滤是基于应用层的网络安全过滤方式,它在进行数据包过滤时会更加深入地解析应用层的协议和数据内容,进行更为准确的筛选。
七层过滤的优点在于它可以对不同应用协议进行细粒度的检查和控制,对于一些应用层的攻击,如HTTP协议中的跨站脚本攻击、SQL注入攻击等,有很好的预防效果。
七层过滤的实现需要深入理解网络应用的协议和数据格式,对于处理速度要求也相对较高。
此外,七层过滤还需要不断更新应用协议和漏洞信息的数据库,才能保持数据包过滤规则的准确性。
综上所述,四层过滤和七层过滤是不同层次的网络防火墙策略。
四层过滤主要用于快速过滤和访问控制,适用于一些常见的网络攻击。
而七层过滤在提供访问控制的同时,还能够对应用层进行深度检查,对于针对特定应用协议的攻击有更好的防护效果。
当然,为了更好地保护网络安全,网络防火墙的过滤策略还可以结合四层和七层的方式,根据不同的需求和场景进行灵活配置。
同时,定期更新防火墙规则和升级防火墙设备也是确保网络安全的重要措施之一。
网络防火墙的技术在不断发展,随着网络攻击手段的演化,对网络防火墙的要求也越来越高。
深度解读网络防火墙的四层与七层过滤(五)
网络防火墙是一种重要的安全设备,用于保护计算机网络免受恶意攻击和未经授权的访问。
它可以通过过滤和监视网络流量来确保网络的安全性。
网络防火墙主要分为四层和七层过滤,本文将对这两种过滤方式进行深度解读。
四层过滤是网络防火墙最基本的功能之一。
它基于传输层协议(如TCP和UDP)来控制网络流量的访问。
通过检查源IP地址、目标IP地址、源端口和目标端口等信息,防火墙可以判断是否允许该数据包通过。
四层过滤通常用于限制特定端口上的流量,比如禁止外部访问内部网站的数据库端口。
这样可以确保网络中的关键资源不会受到未经授权的访问。
与四层过滤相比,七层过滤更加复杂和灵活。
七层过滤是基于应用层协议(如HTTP、FTP和SMTP)来进行流量控制的。
它不仅检查传输的数据包,还分析其中的应用信息。
通过解析和理解应用层协议,防火墙可以更好地控制应用程序的访问和行为。
例如,防火墙可以检测并阻止恶意网页或电子邮件中的恶意代码传播。
七层过滤还具有深度包检测(DPI)的能力。
DPI可以分析数据包的内容,以检测和阻止恶意行为。
它可以查看数据包中的不同字段和数据段,并根据预定义的策略进行处理。
DPI可以识别和拦截潜在的网络攻击,如DDoS攻击、SQL注入和跨站点脚本攻击。
除了四层和七层过滤,网络防火墙还可以通过其他方式增强网络的安全性。
例如,它可以使用访问控制列表(ACL)来限制特定IP地址或IP地址段的访问。
防火墙还可以使用虚拟专用网络(VPN)来加密网络流量,保护数据的传输过程。
此外,防火墙还可以配置日志记录和警报系统,以及实时监测和应对网络威胁。
然而,网络防火墙并非万能的安全解决方案。
它只是网络安全体系中的一部分,需要与其他安全设备和策略结合使用。
此外,网络防火墙也无法完全保证网络的安全性。
技术的不断发展和攻击者的进步,使得恶意代码和攻击手法变得愈加复杂和隐蔽。
因此,组织和个人在使用网络防火墙的同时,还需要注意其他安全措施,如及时更新软件补丁、使用强密码和培训员工的安全意识等。
深度解读网络防火墙的四层与七层过滤
网络防火墙是我们日常使用的网络设备之一,它能够保护我们的计算机免受来自外界网络的攻击。
网络防火墙是具有四层和七层过滤功能的,下面我将对这两种过滤方式进行深度解读。
四层过滤是指网络防火墙在传输层进行过滤和检测。
在传输层,数据被分解成小的数据包并通过网络传输。
网络防火墙通过检查和过滤这些数据包来保护我们的计算机。
四层过滤的主要目标是检查数据包的源地址和目标地址是否允许通信。
通过对源地址和目标地址进行匹配,网络防火墙可以决定是否允许数据包通过。
此外,四层过滤还可以检查数据包的协议信息,如TCP或UDP协议,并确定是否允许这些协议的通信。
通过这种方式,网络防火墙可以阻止一些恶意的数据包进入我们的网络,从而提高网络的安全性。
然而,四层过滤并不能提供对应用层协议的细粒度控制。
这就引入了七层过滤的概念。
七层过滤是在传输层过滤的基础上,进一步对应用层协议进行检查和过滤。
应用层协议包括HTTP、FTP、SMTP等。
通过检查应用层协议的头部信息,网络防火墙可以判断该数据包是否属于所允许的通信范围。
如果不符合规定的协议,网络防火墙会将其阻止。
七层过滤在保护网络安全的同时,还可以提高网络性能,因为它能够根据具体的应用需求来决定是否允许某个协议的通信。
四层和七层过滤在网络防火墙的实现中起着不同的作用。
四层过滤主要用于基本的源和目标地址验证,它提供了对网络请求的基本过滤。
在大多数情况下,四层过滤已经足够满足我们的需求。
然而,对于一些需要更细粒度控制的情况,七层过滤则能发挥更大的作用。
七层过滤可以通过检查协议头部信息、URL和数据包内容等来判断应用层协议的合法性,进而提高网络的安全性和性能。
除了四层和七层过滤,网络防火墙还可以配合其他安全设备和技术使用,以提高网络安全的级别。
例如,入侵检测系统(IDS)可以与网络防火墙配合使用,用于检测和阻止潜在的网络入侵行为。
虚拟专用网络(VPN)可以通过加密和隧道技术保护网络的通信安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解读防火墙一.防火墙的概念近年来,随着普通计算机用户群的日益增长,防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种防火墙"软件了。
但是,并不是所有用户都对防火墙”有所了解的,一部分用户甚至认为,防火墙”是一种软件的名称……到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙” (FireWall )。
时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字一一’防火墙”技术来源于此。
用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。
对于普通用户来说,所谓防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。
二.防火墙的分类世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。
根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。
软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在RingO级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口( Network Driver In terface Specificati on , NDIS )把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。
而使用软件防火墙后,尽管NDIS接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。
因为有规则提到列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。
软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此, 许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU 资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。
但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。
由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。
有人也许会这么想,既然PC架构的防火墙也不过如此,那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。
虽然这样做也是可以的,但是工作效率并不能和真正的PC架构防火墙相比,因为PC架构防火墙采用的是专门修改简化过的系统和相应防火墙程序,比一般计算机系统和软件防火墙更高度紧密集合,而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能,这些要求并不是安装了多网卡的计算机就能简单替代的,因此PC架构防火墙虽然是与计算机差不多的配置,价格却相差很大。
现实中我们往往会发现,并非所有企业都架设了芯片级硬件防火墙,而是用PC架构防火墙甚至前面提到的计算机替代方案支撑着,为什么?这大概就是硬件防火墙最显著的缺点了:它太贵了!购进一台PC架构防火墙的成本至少都要几千元,高档次的芯片级防火墙方案更是在十万元以上,这些价格并非是小企业所能承受的,而且对于一般家庭用户而言,自己的数据和系统安全也无需专门用到一个硬件设备去保护,何况为一台防火墙投入的资金足以让用户购买更高档的电脑了,因而广大用户只要安装一种好用的软件防火墙就够了。
为防火墙分类的方法很多,除了从形式上把它分为软件防火墙和硬件防火墙以外,还可以从技术上分为包过滤型”、应用代理型”和状态监视”三类;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多,但这只是因为业界分类方法不同罢了,例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为百兆级状态监视型边界防火墙”,因此这里主要介绍的是技术方面的分类,即包过滤型”、应用代理型”和状态监视型”防火墙技术。
那么,那些所谓的边界防火墙”、单一主机防火墙”又是什么概念呢?所谓边界”,就是指两个网络之间的接口处,工作于此的防火墙就被称为边界防火墙”;与之相对的有个人防火墙”,它们通常是基于软件的防火墙,只处理一台计算机的数据而不是整个网络的数据,现在一般家庭用户使用的软件防火墙就是这个分类了。
而单一主机防火墙"呢,就是我们最常见的一台台硬件防火墙了;一些厂商为了节约成本,直接把防火墙功能嵌进路由设备里,就形成了路由集成式防火墙……三.防火墙技术传统意义上的防火墙技术分为三大类,包过滤"(Packet Filtering )、"应用代理”(Application Proxy ) 和 "状态监视" (StatefulInspection ),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1•包过滤技术包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(Static Packet Filtering ),使用包过滤技术的防火墙通常工作在OSI模型中的网络层(Network Layer)上,后来发展更新的动态包过滤” (Dynamic Packet Filtering )增加了传输层(Transport Layer ),简而言之,包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(Filtering Rule )进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为阻止"的时候,这个包就会被丢弃。
适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。
也许你会想,让用户自行添加不行吗?但是别忘了,我们要为是普通计算机用户考虑,并不是所有人都了解网络协议的,如果防火墙工具出现了过滤遗漏问题,他们只能等着被入侵了。
一些公司采用定期从网络升级过滤规则的方法,这个创意固然可以方便一部分家庭用户,但是对相对比较专业的用户而言,却不见得就是好事,因为他们可能会有根据自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,用户就该郁闷了,而且如果两条规则冲突了,防火墙该听谁的,会不会当场死给你看”(崩溃)?也许就因为考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特征库升级原理相提并论。
为了解决这种鱼与熊掌的问题,人们对包过滤技术进行了改进,这种改进后的技术称为动态包过滤”(市场上存在一种基于状态的包过滤防火墙”技术,即Stateful-based Packet Filtering ,他们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比,它会降低运行效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。
基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
2•应用代理技术由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用应用代理”(Application Proxy )技术的防火墙诞生了。