防火墻類型及特性介紹
防火墻類型及特性介紹
防火墻用的次數(shù)也逐漸增多!每臺電腦都有,下面由學習啦小編給你做出詳細的防火墻類型及特性介紹!希望對你有幫助!歡迎回訪!
防火墻類型及特性介紹:
網(wǎng)絡層防火墻
網(wǎng)絡層防火墻可視為一種 IP 封包過濾器,運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式,只允許符合特定規(guī)則的封包通過,其余的一概禁止穿越防火墻(病毒除外,防火墻不能防止病毒侵入)。這些規(guī)則通??梢越?jīng)由管理員定義或修改,不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。
我們也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。
較新的防火墻能利用封包的多樣屬性來進行過濾,例如:來源 IP地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。
應用層防火墻
應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。
防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火墻都不會考慮以這種方法設計。
XML 防火墻是一種新型態(tài)的應用層防火墻。
[3]根據(jù)側(cè)重不同,可分為:包過濾型防火墻、應用層網(wǎng)關型防火墻、服務器型防火墻。
基本特性
(一)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻
防火墻布置圖這是防火墻所處網(wǎng)絡位置特性,同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道,才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡不受侵害。
根據(jù)美國國家安全局制定的《信息保障技術框架》,防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界,屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處,比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。
典型的防火墻體系網(wǎng)絡結構如下圖所示。從圖中可以看出,防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng),而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。
(二)只有符合安全策略的數(shù)據(jù)流才能通過防火墻
防火墻最基本的功能是確保網(wǎng)絡流量的合法性,并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起,原始的防火墻是一臺“雙穴主機”,即具備兩個網(wǎng)絡接口,同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來,按照OSI協(xié)議棧的七層結構順序上傳,在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查,然后將符合通過條件的報文從相應的網(wǎng)絡接口送出,而對于那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火墻是一個類似于橋接或路由器的、多端口的(網(wǎng)絡接口>=2)轉(zhuǎn)發(fā)設備,它跨接于多個分離的物理網(wǎng)段之間,并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。
(三)防火墻自身應具有非常強的抗攻擊免疫力
這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣,它就像一個邊界衛(wèi)士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵,只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能,除了專門的防火墻嵌入系統(tǒng)外,再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。
目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場,國外品牌的優(yōu)勢主要是在技術和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹,價格上也更具有優(yōu)勢。防火墻產(chǎn)品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等,它們都提供不同級別的防火墻產(chǎn)品。
看過“防火墻的類型及特性”人還看了:
1.防火墻的分類