問題描述:
麻煩!很焦慮!!謝謝妳
分析:
看看這個。
防火墻分類1
如果分為軟件和硬件形式,防火墻可以分為軟件防火墻、硬件防火墻和芯片級防火墻。
第壹種:軟件防火墻
軟件防火墻運行在特定的計算機上,需要客戶預裝的計算機操作系統的支持。壹般來說,這臺電腦是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻和其他軟件產品壹樣,需要在電腦上安裝配置後才能使用。在防火墻廠商中,Checkpoint是做在線軟件防火墻最有名的壹家。使用這種防火墻要求網絡管理員熟悉他們工作的操作系統平臺。
第二種:硬件防火墻
這裏所說的硬件防火墻是指“所謂的硬件防火墻”。之所以加“所謂”二字,是針對芯片級防火墻的。兩者最大的區別在於是否基於專用的硬件平臺。目前市面上大部分防火墻都是所謂的硬件防火墻,基於PC架構,也就是和普通家用PC區別不大。在這些基於PC的計算機上運行壹些精簡的操作系統,最常用的是舊版的Unix、Linux和FreeBSD系統。值得註意的是,由於這種防火墻仍然使用別人的內核,所以仍然會受到OS本身安全性的影響。
傳統的硬件防火墻壹般應該至少有三個端口,分別連接到內網、外網和DMZ區域(非軍事區)。現在壹些新的硬件防火墻往往會對端口進行擴展,常見的四端口防火墻壹般使用第四個端口作為配置端口和管理端口。許多防火墻可以進壹步擴展端口的數量。
第三種:芯片級防火墻
芯片級防火墻基於特殊的硬件平臺,沒有操作系統。專有的ASIC芯片使它們比其他種類的防火墻更快、更強大、性能更高。這類防火墻最著名的廠商有NetScreen、FortiNet、Cisco等。因為這種防火墻是專用的OS(操作系統),防火墻本身漏洞較少,但是價格相對較高。
雖然防火墻技術很多,但總的來說可以分為“包過濾”和“應用代理”兩大類。前者以以色列的Checkpoint防火墻和思科的PIX防火墻為代表,後者以美國NAI的Gauntlet防火墻為代表。
(1).包過濾類型。
包過濾防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據包頭的源地址、目的地址、端口號和協議類型來決定是否允許通過。只有滿足過濾條件的數據包才會被轉發到相應的目的地,其余的數據包會從數據流中丟棄。
包過濾是壹種通用、廉價而有效的安全手段。之所以通用,是因為它沒有對每壹種特定的網絡服務采取特殊的處理方法,適用於所有的網絡服務;之所以便宜是因為大部分路由器都提供包過濾功能,所以這些防火墻大部分都是路由器集成的;它之所以有效,是因為它可以在很大程度上滿足大多數企業的安全需求。
在防火墻技術的發展過程中,出現了兩個不同版本的包過濾技術,分別稱為“第壹代靜態包過濾”和“第二代動態包過濾”。
●第壹代靜態包過濾型防火墻
這種防火墻幾乎是和路由器同時產生的。它根據定義的過濾規則檢查每個數據包,以確定它是否與特定的數據包過濾規則匹配。過濾規則是根據數據包的報頭信息制定的。報頭信息包括IP源地址、IP目的地址、傳輸協議(TCP、UDP、ICMP等。)、TCP/UDP目的端口、ICMP報文類型等。
●第二代動態包過濾型防火墻
這種防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾的問題。這項技術後來發展成了狀態檢測技術。采用這種技術的防火墻跟蹤通過它建立的每個連接,並且可以根據需要動態地添加或更新過濾規則中的條目。
包過濾的優點是不需要改變客戶端和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是顯而易見的:過濾判別的依據只是網絡層和傳輸層的有限信息,因此無法完全滿足各種安全需求;在很多過濾器中,過濾規則的數量是有限的,隨著規則數量的增加,性能會受到很大影響;由於缺乏上下文相關信息,無法有效過濾UDP、RPC等協議;此外,大多數過濾器缺乏審計和報警機制,只能依賴頭部信息,而無法驗證用戶的身份,因此容易受到“地址欺騙”攻擊。安全管理人員的素質較高,所以在建立安全規則時,壹定要對協議本身及其在不同應用中的作用有更深入的了解。因此,過濾器通常與應用程序網關結合使用,形成防火墻系統。
(2)應用程序代理類型
應用程序代理防火墻工作在OSI的最高級別,即應用層。其特點是完全“阻斷”網絡通信流量,通過為每個應用服務編寫專門的代理程序,實現對應用層通信流量的監控功能。其典型網絡結構如圖所示。
在代理防火墻技術的發展過程中,也經歷了兩個不同的版本,即第壹代應用網關代理防火墻和第二代自適應代理防火墻。
第壹代應用網關防火墻。
這種防火墻通過代理技術參與TCP連接的整個過程。從內部發出的數據包經過這樣的防火墻處理後,看起來像是源自防火墻的外部網卡,從而達到隱藏內部網絡結構的功能。這類防火墻被網絡安全專家和媒體公認為最安全的防火墻。其核心技術是代理服務器技術。
第二代自適應代理防火墻
它是近年來被廣泛使用的壹種新型防火墻。它可以將代理防火墻的安全性與包過濾防火墻的高速性結合起來,在不損失安全性的情況下,將代理防火墻的性能提高10倍以上。這種類型的防火墻有兩個基本要素:自適應代理服務器和動態包過濾。
在自適應代理服務器和動態包過濾之間有壹個控制信道。在配置防火墻時,用戶只需通過相應代理的管理界面設置所需的服務類型、安全級別等信息。然後,根據用戶的配置信息,自適應代理可以決定是使用代理服務來代理來自應用層的請求還是轉發來自網絡層的數據包。如果是後者,它會動態通知包過濾增加或減少過濾規則,以滿足用戶對速度和安全的雙重要求。
代理防火墻最突出的優勢是安全性。因為它工作在最高層,所以它可以在網絡的任何壹層過濾和保護數據通信,而不是像包過濾那樣只在網絡層過濾數據。
另外,代理防火墻是壹種代理機制,可以為每個應用服務建立壹個專門的代理,所以內外網之間的通信不是直接的,而是需要先經過代理服務器的審計,再由代理服務器連接,這樣內外網計算機之間就沒有任何直接對話的機會,從而避免了入侵者利用數據驅動攻擊入侵內網。
代理防火墻最大的缺點就是速度比較慢。當用戶對內外網網關的吞吐量要求較高時,代理防火墻就會成為內外網之間的瓶頸。那是因為防火墻需要為不同的網絡服務建立專門的代理服務,其自身的代理程序為內外網用戶建立連接需要時間,所以給系統帶來壹些負面影響,但通常並不明顯。
防火墻分類3
從防火墻結構來看,有三種防火墻:單主機防火墻、路由器集成防火墻和分布式防火墻。
單主機防火墻是最傳統的防火墻,它獨立於其他網絡設備,位於網絡邊界。
其實這個防火墻類似於壹個計算機結構(如下圖),它還包括CPU、內存、硬盤等基本部件。當然主板是不可或缺的,主板上也有南橋和北橋芯片。它和壹般電腦的主要區別在於,壹般的防火墻集成了兩個以上的以太網卡,因為它需要連接壹個以上的內外網。硬盤用於存儲防火墻使用的基本程序,如包過濾、代理服務器程序等,有些防火墻還會在這個硬盤上記錄日誌記錄。即便如此,也不能說它就像我們普通的PC壹樣,因為它的工作性質決定了它應該具有非常高的穩定性、實用性和非常高的系統吞吐性能。正因為如此,看似和PC差不多的配置,價格卻相差甚遠。
隨著防火墻技術的發展和應用需求的提高,過去單壹主機的防火墻發生了很多變化。最明顯的變化是,很多中高端路由器集成了防火墻功能,部分防火墻不再是壹個獨立的硬件實體,而是由多個軟硬件組成的系統。這種防火墻俗稱“分布式防火墻”。
單臺主機原有的防火墻非常昂貴,只有少數大型企業買得起。為了減少企業的網絡投入,現在很多中高端路由器都集成了防火墻功能。如思科IOS防火墻系列。但這種防火墻通常是低級包過濾型的。這樣企業就不需要同時購買路由器和防火墻,大大降低了網絡設備的購買成本。
分布式防火墻不再僅僅位於網絡的邊界,而是滲透到網絡的每壹臺主機,保護整個內部網絡的主機。在網絡服務器中,通常安裝壹個用於防火墻系統管理的軟件,在服務器和每臺主機上安裝集成網卡功能的PCI防火墻卡,這樣壹個防火墻卡就具有了網卡和防火墻的雙重功能。這樣的防火墻系統可以完全保護內部網絡。每臺主機都將其他主機發送的任何通信連接視為“不可信”,需要嚴格過濾。而不是傳統的邊界防火墻,只是“不信任”外網發出的通信請求。
防火墻分類4
根據防火墻的部署位置,可以分為三類:邊界防火墻、個人防火墻和混合防火墻。
邊界防火墻是最傳統的防火墻。它們隔離內部和外部網絡,並在邊界保護內部網絡。這種防火墻壹般都是硬件型的,價格更貴,性能更好。
個人防火墻安裝在單個主機中,並且它只保護單個主機。這種防火墻應用於廣大的個人用戶,通常是軟件防火墻,最便宜,性能最差。
混合防火墻可以說是“分布式防火墻”,也可以說是“嵌入式防火墻”。它是壹套完整的防火墻系統,由若幹軟硬件組件組成,分布在內外網絡邊界和內部主機之間。它不僅過濾內部和外部網絡之間的通信,還過濾網絡內主機之間的通信。屬於最新的防火墻技術之壹,性能最好,價格最貴。
防火墻分類5
根據防火墻的性能,分為百兆防火墻和千兆防火墻兩大類。
因為防火墻通常位於網絡的邊界,不可能只是十兆。這主要是指防火的通道帶寬,或者說吞吐量。當然,信道帶寬越寬,性能越高,包過濾或應用代理帶來的延遲越小,對全網通信性能的影響也就越小。