二、主要類型
1,網絡層防火墻
網絡層防火墻可以被視為IP數據包過濾器,它運行在底層的TCP/IP協議棧上。我們可以枚舉只允許符合壹定規則的數據包通過,其余的禁止通過防火墻(病毒除外,防火墻無法阻止)。這些規則通常可以由管理員定義或修改,但有些防火墻設備可能只應用內置規則。
我們還可以用更寬松的方式制定防火墻規則,只要數據包不符合任何“負面規則”,就會被釋放。大多數操作系統和網絡設備都有內置的防火墻功能。
較新的防火墻可以使用各種屬性過濾數據包,如源IP地址、源端口號、目的IP地址或端口號以及服務類型(如HTTP或FTP)。也可以通過通信協議、TTL值、域名或來源的網段等進行過濾。
2.應用層防火墻
應用層防火墻運行在TCP/IP棧的“應用層”,妳使用瀏覽器時產生的數據流或者妳使用FTP時產生的數據流都屬於這壹層。應用程序防火墻可以攔截所有進出應用程序的數據包,並阻止其他數據包(通常直接將其丟棄)。理論上,這種防火墻可以完全阻止外部數據流進入受保護的機器。
防火墻可以通過監控所有數據包並找出不符合規則的內容來阻止計算機蠕蟲或特洛伊病毒的快速傳播。但就實現而言,這種方法比較煩,也比較復雜(千千有上百種軟件),所以大部分防火墻不會考慮這樣設計。
XML防火墻是壹種新型的應用防火墻。
[2]根據側重點不同,分為:包過濾防火墻、應用層網關防火墻、服務器防火墻。
3.數據庫防火墻
數據庫防火墻是基於數據庫協議分析和控制技術的數據庫安全保護系統。基於主動防禦機制,實現了數據庫訪問行為控制、危險操作攔截和可疑行為審計。
數據庫防火墻通過對SQL協議的分析,按照預先定義的禁止和權限策略,允許合法的SQL操作通過,攔截非法和違法操作,形成數據庫的外圍防禦圈,實現對危險SQL操作的主動防範和實時審計。
面對來自外部的入侵,數據庫防火墻提供了SQL註入禁止和數據庫虛擬補丁包功能。