新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 软件

防火墙原理介绍大全

时间:2019-09-11 13:21:39  来源:  作者:



硬件防火墙的原理

软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)Ips(入侵防护)以及VPN等等的功能。

也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定,直接关系到整个内部网络的安全。

因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。

4种类型

(1)包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。

包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。

但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

防火墙原理介绍大全

 

(2)应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。

然而,应用网关防火墙是通过打破客户机/服务器模式实现的。

每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。

另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。

所以,应用网关防火墙具有可伸缩性差的缺点。

防火墙原理介绍大全

 

(3)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。

可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。

防火墙原理介绍大全

 

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。

它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

四类防火墙的对比

包过滤防火墙

包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。

应用网关防火墙

不检查IP、 TCP 报头,不建立连接状态表,网络层保护比较弱。

状态检测防火墙

不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。

复合型防火墙

可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。

防火墙术语

网关

在两个设备之间提供转发服务的系统。

网关是互联网应用程序在两台主机之间处理流量的防火墙。

这个术语是非常常见的。

DMZ非军事化区

为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。

防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。

吞吐量

网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。

吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

最大连接数

和吞吐量一样,数字越大越好。

但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。

防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。

SSL

SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据安全协议。

它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。

网络地址转换

网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。

堡垒主机

一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。

硬件防火墙和软件防火墙对比

成本对比

硬件防火墙是软硬件一体的,用户购买后不需要再投入其他费用。

一般硬件防火墙的报价在1万到2万之间。

软件防火墙有三方面的成本开销:

软件的成本、安装软件的设备成本以及设备上操作系统的成本。

windows Server 2003 价格在4400-6000 之间。

备注:综合以上的成本,要配置一套 软件防火墙按最小的网络要求,其成本在1万左右。

稳定性与安全性对比

稳定性和安全性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。

硬件防火墙一般使用经过内核编译后的linux ,凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。

Linux 永远都不会崩溃,其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。

系统的稳定性主要取决于系统设计的结构。

计算机硬件的结构自从1981设计开始就没有作特别大的改动,而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本,这种将就的软件开发模式极大地阻碍了系统稳定性的发展。

最令人注目的Linux开放源代码的开发模式,它保证了任何系统的漏洞都能被及时发现和修正。

Linux 采取了许多安全技术措施,包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。

软件防火墙一般要安装在windows 平台上,实现简单,但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。

虽然 Microsoft 也在努力的弥补这些问题,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但与Linux 比起来还是漏洞倍出。

在病毒侵害方面,从linux发展到如今,Linux 几乎不感染病毒。

而作为Windows平台下的病毒我们就不必多说了,只要是使用过电脑的人都有感受。

如果遭遇广泛传播的ARP欺骗病毒,容易造成了内网不稳定、网络时断时序、经常掉线,无法开展正常的工作,使得很多的网络管理人员束手无策。

软硬件防火墙的吞吐量和包转发率比较

吞吐量和报文转发率是关系防火墙应用的主要指标。

硬件防火墙的硬件设备是经专业厂商定制的,在定制之初就充分考虑了吞吐量的问题,在这一点上远远胜于软件防火墙。

因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题,况且windows系统本身就很耗费硬件资源,其吞吐量和处理大数据流的能力远不及硬件防火墙,这一点是不言而喻的。

吞吐量太小的话,防火墙就是网络的瓶颈,会带来网络速度慢、上网带宽不够等等问题。

防火墙工作原理上的比较

软件防火墙一般可以是包过滤机制。

包过滤过滤规则简单,只能检查到第三层网络层,只对源或目的IP做检查,防火墙的能力远不及状态检测防火墙,连最基本的黑客攻击手法IP伪装都无法解决,并且要对所经过的所有数据包做检查,所以速度比较慢。

硬件防火墙主要采用第四代状态检测机制。

状态检测是在通信发起连接时就检查规则是否允许建立连接,然后在缓存的状态检测表中添加一条记录,以后就不必去检查规则了只要查看状态监测表就OK了,速度上有了很大的提升。

因其工作的层次有了提高,其防黑功能比包过滤强了很多,状态检测防火墙跟踪的不仅是包中包含的信息。

为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。

例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。

如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。

硬件防火墙比软件防火墙在实现的机制上有很大的不同,也带来了软硬件防火墙在防黑能力上很大差异。

在对内网的控制方面比较

软件防火墙由于本身的工作原理造成了它不具备内网具体化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对具体的IP 和mac 做上网控制等,其主要的功能在于对外。

硬件防火墙在基于状态检测的机制上,安全厂商又可以根据市场的不同需求开发应用层过滤规则,来满足对内网的控制,能够在高层进行过滤,做到了软件防火墙不能做到的很多事。

尤其是ARP病毒,硬件防火墙针对其入侵的原理,都做了相应的策略,彻底解除了ARP病毒的危害。

现在的网络安全(防火墙 )已经不仅仅局限于对外的防止黑客攻击上,更多的企业内部网络经常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。

我们分析其主要的原因,在于内网用户的使用问题,很多的用户上班时间使用BT下载、浏览一些不正规的网站,这样都会引起内网的诸多问题,比如病毒,很多病毒传播都是使用者不良行为而造成的。

所以说内网用户的控制和管理是非常必要的。



Tags:防火墙   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。...【详细内容】
2019-09-11   防火墙  点击:(0)  评论:(0)  加入收藏
当我们在使用电脑共享的时候,如果不关闭防火墙,连ping包都过不去,更别说要访问共享文件了。有很多小伙伴,在设置文件共享后,会直接把防火墙直接关闭。 直接关闭防火墙,的确可以解...【详细内容】
2019-09-02   防火墙  点击:(14)  评论:(0)  加入收藏
首先简单介绍Windows server 2008 R2操作系统,Windows Server 2008 R2中的R2全称为Release 2,即为第二次发行版(就是在第一版2008系统上做了改进的版本)。Windows Server 2008 R...【详细内容】
2019-08-29   防火墙  点击:(16)  评论:(0)  加入收藏
路由器/防火墙使用总结 一般中小型单位 互联网出口使用防火墙,简单实用,功能多还便宜。(或UTM、行为管理、负载均衡、广域网优化、多业务路由器等设备都可以,基本都是功能多合一...【详细内容】
2019-08-29   防火墙  点击:(12)  评论:(0)  加入收藏
在一个每天都会出现新的网络攻击并出现的世界中,我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别,这...【详细内容】
2019-08-27   防火墙  点击:(15)  评论:(0)  加入收藏
域名系统(Domain Name System)几乎和互联网一样古老。它的特殊结构也使它早就成为黑客的利用对象。在这篇短文中,我将详细描述DNS反射的原理,为什么黑客喜欢使用它,以及你为什...【详细内容】
2019-08-16   防火墙  点击:(15)  评论:(0)  加入收藏
一、华为防火墙设备的几种管理方式介绍 二、各种管理方式的配置 1、通过Telnet方式管理 2、通过web方式管理 3、通过SSH方式管理一、华为防火墙设备的几种管理方式介绍由于...【详细内容】
2019-08-06   防火墙  点击:(34)  评论:(0)  加入收藏
什么是Web应用防火墙?Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间,分析应用程序层的...【详细内容】
2019-08-01   防火墙  点击:(11)  评论:(0)  加入收藏
一、开通网口用超级终端开通GE0/0网口,GE0/0默认为Management口,所以配置完IP地址后,可以直接和电脑互通。先输入〈H3C〉system-view初始化配置 [H3C]interface GigabitEtherne...【详细内容】
2019-07-31   防火墙  点击:(78)  评论:(0)  加入收藏
我们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:划分网络的边界、加固内网的安全。— 划分网络的边界 —防火墙设备的其中一个功能,就是...【详细内容】
2019-07-31   防火墙  点击:(14)  评论:(0)  加入收藏
IPSec VPNIPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全...【详细内容】
2019-07-29   防火墙  点击:(13)  评论:(0)  加入收藏
NAT网络地址转换(Network Address Translation)简称为NAT,是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过设备时,设备会把IP数据包的源IP地址和/或者目的IP地...【详细内容】
2019-07-24   防火墙  点击:(8)  评论:(0)  加入收藏
“防火墙(Firewall)”一词,在网络术语中是指一种软件,它可以在用户的计算机和Internet之间建立起一道屏障(Wall),把用户和网络隔离开来;用户可以通过设定规则(rule)来决定哪些情况下防...【详细内容】
2019-07-18   防火墙  点击:(13)  评论:(0)  加入收藏
作为弱电行业的人员来说,其实对防火墙不必了解的太清楚,只需要了解它的作用与功能就行,然后在实际应该中看是否需要使用。1、什么是防火墙?我们知道,原是指古代人们房屋之间修建...【详细内容】
2019-07-15   防火墙  点击:(9)  评论:(0)  加入收藏
掌握防火墙的工作原理,以及如何设置防火墙来提高 Linux 的安全性-- Seth Kenlon(作者)所有人都听说过防火墙(哪怕仅仅是在网络犯罪片里看到过相关的情节设定),很多人也知道他们的...【详细内容】
2019-07-15   防火墙  点击:(13)  评论:(0)  加入收藏
互联网时代,数据库很容易发生安全事件,数据库防火墙作为一个“保安”,尽心尽力地保护着数据库安全,接下来,本文就带大家去了解“高大威猛”的数据库防火墙应该具备哪些能力呢? 一...【详细内容】
2019-07-11   防火墙  点击:(21)  评论:(0)  加入收藏
微软的Windows Server 2003中防火墙的功能如此之简陋,让很多系统管理员将其视为鸡肋,它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙。而随着Windows Server 2008...【详细内容】
2019-06-20   防火墙  点击:(27)  评论:(0)  加入收藏
一、 初识网络防火墙1.1、防火墙的基本功能我们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:· 划分网络的边界· 加固内网的安全**...【详细内容】
2019-06-14   防火墙  点击:(72)  评论:(0)  加入收藏
概述今天主要分享一些常见的Linux重启,查看、重启、禁用网卡以及修改IP和操作防火墙的命令,温故而知新。以下针对redhat6.8操作系统。 重启命令1、reboot2、shutdown -r now...【详细内容】
2019-05-20   防火墙  点击:(30)  评论:(0)  加入收藏
推荐资讯
相关文章
栏目更新
栏目热门