防火墙的功能、缺点和分类

防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。

随着科技的发展，防火墙也逐渐被大众所接受。

但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。

而这篇文章就是给大家讲述了防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。

欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。

这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。

例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。

防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。

然后，将这些信息与设立的规则相比较。

如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。

如果允许传入Web连接，而目的端口为80，则包就会被放行。

多个复杂规则的组合也是可行的。

如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。

最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。

通常，为了安全起见，与传入规则不匹配的包就被丢弃了。

如果有理由让该包通过，就要建立规则来处理它。

建立包过滤防火墙规则的例子如下：对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。

这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。

而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。

在公共网络，只允许目的地址为80端口的包通过。

这条规则只允许传入的连接为Web连接。

5防火墙一、防火墙基础防火墙通常位于两个信任程度不同的网路间（如：企业内部和internet之间），可以对两个网络之间的通信进行控制，从而保护内部网络的安全。

防火墙特征：1、逻辑区域过滤器2、使用NA T技术可以隐藏内部的网络结构3、自身的安全是有保障的4、可以主动防御攻击防火墙的组成：硬件+软件+控制策略控制策略分为两种：1、宽松的控制策略：除非明确禁止，否则就允许2、限制的控制策略：除非明确允许，否则就禁止按形态分类：硬件防火墙、软件防火墙按保护对象分类：单机防火墙、网络防火墙按防火墙的实现方式，分为三类：1、包过滤防火墙：只检测数据的报头，缺点是：a、无法关联数据包之间的关系b、无法适应多通道协议（比如：VPN）c、不检测应用层的数据2、代理型防火墙：所有的数据包都要经过防火墙才能访问到server，访问速度很慢3、状态检测防火墙：现在运用的防火墙主要都是状态检测防火墙华为防火墙的工作模式：1、路由模式：所有接口均有IP2、透明模式：所有接口均无IP3、混合模式：有的接口有IP，有的接口没有IP防火墙的局限性：1、防外不防内2、不能防御全部的安全威胁，特别是新产生的危险3、在提供深度监测功能和处理转发性能之间需要做平衡4、当使用端到端的加密时，防火墙不能对加密的隧道进行处理5、防火墙本身会存在一些瓶颈，如抗攻击能力，会话限制等防火墙的区域和优先级：1、local区域，优先级1002、trust区域，优先级853、DMZ区域，优先级504、untrust区域，优先级5这些防火墙内设区域的优先级和名字都是无法改变的，优先级低的区域不能访问优先级高的区域（思科），华为设备如果防火墙策略允许可以突破区域访问限制。

防火墙上的所有接口本身都属于local区域，如果把一个接口划分到了trust区域，是指该接口下的设备属于trust区域，接口本身永远属于local区域。

Inbound与Outbound定义：高优先级的访问低优先级：Outbound，反之则是：Inbound安全区域与接口的关系：1、防火墙不允许存在两个具有完全相同安全级别（既优先级相同）的安全区域2、防火墙不允许同一物理接口分属于两个不同的安全区域3、防火墙的不同接口可以属于同一个安全区域防火墙支持的功能：路由器、交换机支持的功能，防火墙都支持衡量防火墙好坏的指标：1、吞吐量：防火墙能同时处理的最大数据量有效吞吐量：除掉因TCP的丢包和超时重发的数据，实际每秒传输的有效速率2、延时：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔，是用来衡量防火墙处理数据的速度的理想指标3、每秒新建连接数：指每秒可以通过防火墙建立起来的完整的TCP链接数4、并发连接数：指防火墙可以同时容纳的最大连接数目，一个连接就是一个TCP/UDP的访问防火墙实验拓扑图以后章节所讲的内容都基于此图：默认的情况下，防火墙是有一些配置的：G0/0/0接口的IP地址为：192.168.0.1/24，配置了基于接口的DHCP，且G0/0/0默认属于trust区域。

常见防火墙及其优缺点防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。

总的来说业界的分类有三种：包过滤防火墙，应用级网关和状态监视器。

（1）包过滤防火墙在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。

当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。

包过滤式的防火墙会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。

如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。

包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道防线。

包过滤路由器通常没有用户的使用记录，这样我们就不能得到入侵者的攻击记录。

而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。

"IP地址欺骗"是黑客比较常用的一种攻击手段。

黑客们向包过滤式防火墙发出一系列信息包，这些包中的IP地址已经被替换为一串顺序的IP地址，一旦有一个包通过了防火墙，黑客便可以用这个IP地址来伪装他们发出的信息；在另一种情况下黑客们使用一种他们自己编制的路由攻击程序，这种程序使用动态路由协议来发送伪造的路由信息，这样所有的信息包都会被重新路由到一个入侵者所指定的特别地址；破坏这种防火墙的另一种方法被称之为"同步风暴"，这实际上是一种网络炸弹。

攻击者向被攻击的计算机发出许许多多个虚假的"同步请求"信息包，目标计算机响应了这种信息包后会等待请求发出者的应答，而攻击者却不做任何的响应。

如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接，但是当服务器在遇到成千上万个虚假请求时，它便没有能力来处理正常的用户服务请求，处于这种攻下的服务器表现为性能下降，服务响应时间变长，严重时服务完全停止甚至死机。

防火墙的优缺点及种类防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

下面由店铺给你做出详细的防火墙的优缺点及种类介绍!希望对你有帮助!数据包过滤数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。

通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。

路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应用级网关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。

它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。

实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。

一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代理服务代理服务(Proxy Service)也称链路级网关或TCP通道(CircuitLevel Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。

它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。

防火墙的类型概念以及主要优缺点2008年10月27日星期一下午03:22什么是防火墙对于企业的网络而言，未加特别安全保护而放臵在internet上，危险性是显而易见的。

随着决策层对安全认识的逐步加强，防火墙，作为一种应用非常广泛，技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。

然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多，这就给使用者选择和应用防火墙带来了一定的误解和困难。

那么什么是防火墙，主要的防火墙之间如何区别呢？对于防火墙的概念，我们可以这样理解：防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。

防火墙的最主要功能就是屏蔽和允许指定的数据通讯，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性。

那么如何理解种类众多的防火墙呢，下面来做个介绍。

防火墙的类型如果我们从OSI分层模式来考察及分类防火墙，会比较容易的把握住防火墙的脉络，个人认为，目前主要的防火墙可以分为三类，它们分别是：包过滤防火墙、基于状态的包过滤防火墙、应用代理（网关）防火墙，而由这三类防火墙可以推导和演绎出其它可能的变化。

下面我们来逐一说明。

包过滤防火墙首先，我们要提到的是最基本的报文过滤的防火墙，这个层次的防火墙通常工作在OSI的三层及三层以下，由此我们可以看出，可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层数据链路层可控的MAC地址等。

除此以外，随着包过滤防火墙的发展，部分OSI四层的内容也被包括进来，如报文的源端口和目的端口。

本层次最常见的实际应用的例子就是互联网上的路由设备，比如常见的cisco路由器，使用者可以通过定制访问控制列（ACL）来对路由器进出端口的数据包进行控制，如针对rfc1918的保留地址进屏蔽，在路由器上可以进行如下配臵：interface xip access-group 101 inaccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any从上面这个例子可以很明显的看出，路由器这里的配臵完全是针对OSI的三层ip地址，也就是ip的包头进行过滤，至于这些IP数据包里携带的具体有什么内容，路由器完全不会去关心。