新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 软件

防火墙原理介绍大全

时间:2019-09-11 13:21:39  来源:  作者:



硬件防火墙的原理

软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)Ips(入侵防护)以及VPN等等的功能。

也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定,直接关系到整个内部网络的安全。

因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。

4种类型

(1)包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。

包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。

但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

防火墙原理介绍大全

 

(2)应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。

然而,应用网关防火墙是通过打破客户机/服务器模式实现的。

每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。

另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。

所以,应用网关防火墙具有可伸缩性差的缺点。

防火墙原理介绍大全

 

(3)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。

可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。

防火墙原理介绍大全

 

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。

它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

四类防火墙的对比

包过滤防火墙

包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。

应用网关防火墙

不检查IP、 TCP 报头,不建立连接状态表,网络层保护比较弱。

状态检测防火墙

不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。

复合型防火墙

可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。

防火墙术语

网关

在两个设备之间提供转发服务的系统。

网关是互联网应用程序在两台主机之间处理流量的防火墙。

这个术语是非常常见的。

DMZ非军事化区

为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。

防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。

吞吐量

网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。

吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

最大连接数

和吞吐量一样,数字越大越好。

但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。

防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。

SSL

SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据安全协议。

它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。

网络地址转换

网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。

堡垒主机

一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。

硬件防火墙和软件防火墙对比

成本对比

硬件防火墙是软硬件一体的,用户购买后不需要再投入其他费用。

一般硬件防火墙的报价在1万到2万之间。

软件防火墙有三方面的成本开销:

软件的成本、安装软件的设备成本以及设备上操作系统的成本。

windows Server 2003 价格在4400-6000 之间。

备注:综合以上的成本,要配置一套 软件防火墙按最小的网络要求,其成本在1万左右。

稳定性与安全性对比

稳定性和安全性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。

硬件防火墙一般使用经过内核编译后的linux ,凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。

Linux 永远都不会崩溃,其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。

系统的稳定性主要取决于系统设计的结构。

计算机硬件的结构自从1981设计开始就没有作特别大的改动,而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本,这种将就的软件开发模式极大地阻碍了系统稳定性的发展。

最令人注目的Linux开放源代码的开发模式,它保证了任何系统的漏洞都能被及时发现和修正。

Linux 采取了许多安全技术措施,包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。

软件防火墙一般要安装在windows 平台上,实现简单,但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。

虽然 Microsoft 也在努力的弥补这些问题,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但与Linux 比起来还是漏洞倍出。

在病毒侵害方面,从linux发展到如今,Linux 几乎不感染病毒。

而作为Windows平台下的病毒我们就不必多说了,只要是使用过电脑的人都有感受。

如果遭遇广泛传播的ARP欺骗病毒,容易造成了内网不稳定、网络时断时序、经常掉线,无法开展正常的工作,使得很多的网络管理人员束手无策。

软硬件防火墙的吞吐量和包转发率比较

吞吐量和报文转发率是关系防火墙应用的主要指标。

硬件防火墙的硬件设备是经专业厂商定制的,在定制之初就充分考虑了吞吐量的问题,在这一点上远远胜于软件防火墙。

因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题,况且windows系统本身就很耗费硬件资源,其吞吐量和处理大数据流的能力远不及硬件防火墙,这一点是不言而喻的。

吞吐量太小的话,防火墙就是网络的瓶颈,会带来网络速度慢、上网带宽不够等等问题。

防火墙工作原理上的比较

软件防火墙一般可以是包过滤机制。

包过滤过滤规则简单,只能检查到第三层网络层,只对源或目的IP做检查,防火墙的能力远不及状态检测防火墙,连最基本的黑客攻击手法IP伪装都无法解决,并且要对所经过的所有数据包做检查,所以速度比较慢。

硬件防火墙主要采用第四代状态检测机制。

状态检测是在通信发起连接时就检查规则是否允许建立连接,然后在缓存的状态检测表中添加一条记录,以后就不必去检查规则了只要查看状态监测表就OK了,速度上有了很大的提升。

因其工作的层次有了提高,其防黑功能比包过滤强了很多,状态检测防火墙跟踪的不仅是包中包含的信息。

为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。

例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。

如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。

硬件防火墙比软件防火墙在实现的机制上有很大的不同,也带来了软硬件防火墙在防黑能力上很大差异。

在对内网的控制方面比较

软件防火墙由于本身的工作原理造成了它不具备内网具体化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对具体的IP 和mac 做上网控制等,其主要的功能在于对外。

硬件防火墙在基于状态检测的机制上,安全厂商又可以根据市场的不同需求开发应用层过滤规则,来满足对内网的控制,能够在高层进行过滤,做到了软件防火墙不能做到的很多事。

尤其是ARP病毒,硬件防火墙针对其入侵的原理,都做了相应的策略,彻底解除了ARP病毒的危害。

现在的网络安全(防火墙 )已经不仅仅局限于对外的防止黑客攻击上,更多的企业内部网络经常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。

我们分析其主要的原因,在于内网用户的使用问题,很多的用户上班时间使用BT下载、浏览一些不正规的网站,这样都会引起内网的诸多问题,比如病毒,很多病毒传播都是使用者不良行为而造成的。

所以说内网用户的控制和管理是非常必要的。



Tags:防火墙   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
Firewalld服务简介▶1 基本介绍firewalld是CentOS 7.0新推出的管理netfilter的工具firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的...【详细内容】
2019-12-26   防火墙  点击:(1)  评论:(0)  加入收藏
电脑自带有防火墙功能,可以保护系统安全,一些用户为阻止对方进入我们电脑,设置IP黑名单,设置方法很简单,接下去分享Win系统使用防火墙设置IP黑名单的方法。  解决方法如下:  1...【详细内容】
2019-12-24   防火墙  点击:(4)  评论:(0)  加入收藏
1.防火墙的概念和特征防火墙概念所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙主要由服务访问规...【详细内容】
2019-12-16   防火墙  点击:(4)  评论:(0)  加入收藏
在一个每天都会出现新的网络攻击并出现的世界中,我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别,这...【详细内容】
2019-08-26   防火墙  点击:(4)  评论:(0)  加入收藏
Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3...【详细内容】
2019-12-02   防火墙  点击:(14)  评论:(0)  加入收藏
UFW防火墙简单设置sudo ufw version防火墙版本;sudo ufw status查看防火墙状态;sudo ufw disable关闭防火墙;Ubuntu 系统默认已安装了ufw,安装命令:sudo apt-get install ufw启用...【详细内容】
2019-11-29   防火墙  点击:(23)  评论:(0)  加入收藏
一、Linux防火墙的基础Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:f...【详细内容】
2019-11-28   防火墙  点击:(15)  评论:(0)  加入收藏
在规划网络时,往往需要考虑整体网络的可靠性和可用性,通常采用一些技术手段,提高整体网络的冗余能力,避免出现单点故障。今天通过分享一个核心交换机不做堆叠的情况下防火墙热备...【详细内容】
2019-11-27   防火墙  点击:(21)  评论:(0)  加入收藏
从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统...【详细内容】
2019-11-25   防火墙  点击:(20)  评论:(0)  加入收藏
简介在CentOS 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。不同的防火墙软件相互间存在冲突,使...【详细内容】
2019-11-21   防火墙  点击:(21)  评论:(0)  加入收藏
本文将以图例的形式结合通俗易懂的语言对计算机网络中常提到的防火墙技术做详细的解读,旨在让广大读者朋友们认识、了解防火墙的“故事”,缩小更多计算机盲区!防火墙一、为什么...【详细内容】
2019-11-20   防火墙  点击:(18)  评论:(0)  加入收藏
在日常工作中,有时候需要把公司内部的某些服务向外提供服务,例如FTP服务、WEB服务等等,像这种需求,应该怎样解决呢?下面通过一个简单的案例来讲解拓扑图 企业内网用户和FTP服务器...【详细内容】
2019-11-20   防火墙  点击:(186)  评论:(0)  加入收藏
随着技术的发展,路由器和防火墙很多功能已经重叠,大家都支持,比如:路由功能(静态路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。那么网络出口究竟选择路由器还是防火墙呢?术业有专攻...【详细内容】
2019-11-15   防火墙  点击:(92)  评论:(0)  加入收藏
通过静态IP接入互联网 局域网内部所有的PC都不是在10.3.0.0/24网段,均通过DHCP动态获取IP地址。企业从运营商处获取固定的IP地址为1.1.1.1/24。企业需要利用防火墙接入互联网...【详细内容】
2019-11-15   防火墙  点击:(32)  评论:(0)  加入收藏
防火墙三种类型1、包过滤防火墙包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”,使用包过滤技术的防火墙通常工作在OSI模型中的网络层上,后来发展更新的“动...【详细内容】
2019-11-13   防火墙  点击:(109)  评论:(0)  加入收藏
· 安全区域介绍防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。从防火墙的定义中可以看出防火墙是基...【详细内容】
2019-11-12   防火墙  点击:(26)  评论:(0)  加入收藏
一、防火墙 开启、关闭、查看状态1、开启防火墙[root@localhost ~]# systemctl start firewalld2、关闭防火墙[root@localhost ~]# systemctl stop firewalld3、重启防火墙[...【详细内容】
2019-11-06   防火墙  点击:(23)  评论:(0)  加入收藏
上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非...【详细内容】
2019-11-04   防火墙  点击:(188)  评论:(0)  加入收藏
防火墙是网络设备中一个很重要的设备,从字面意思理解,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙主要用于保护一个网络区域免受来自另一个网络区...【详细内容】
2019-10-30   防火墙  点击:(193)  评论:(0)  加入收藏
Hands Off for mac 是一款在Mac系统上一款强大易用的防火墙软件。hands off!是一款轻量级防火墙软件,能够控制所有应用的网络连接和文件系统访问,保护我们的隐私数据和系统安...【详细内容】
2019-10-29   防火墙  点击:(36)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条