计 算 机 网 络
——防火墙西安电子科技大学刘怀亮内容提要
防火墙分类
防火墙配置
,防火墙,是一种形象的说法
防火墙是位于两个信任程度不同的网络之间
(如 Intranet与 Internet)的软件与硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取与访问,以达到保护系统安全的目的,
一、防火墙的功能
防火墙是网络的第一道防线
一个成功的防火墙应当具有下面的基本要求:
防火墙的设计策略应当遵循安全防范的基本原则 ——除非明确允许,否则就禁止!
防火墙本身支持安全策略,而不是添加上去的
安全策略变化,它可以加入新服务
可以运用过滤技术 ——允许或禁止服务
可使用先进的认证手段
界面友好,易于配置,可根据数据包的性质进行过滤
基本功能:
允许网管定义一个中心点来防止用户进入内部网络
可以很方便地监视网络安全性,并报警
可以部署 NAT(网络地址转换),将有限的 IP
地址动态或静态地与内部 IP地址对应起来,用以缓解地址空间的短缺问题
是审计和记录 Internet使用费用的一个最佳地点。
用户可能考虑的特殊功能需求:
虚拟专用网络( VPN)
扫毒功能
特殊控制需求二、防火墙分类
主要分类如下:
从软硬件形式上分
从防火墙技术上分
从防火墙结构上分
按防火墙应用部署分
按防火墙性能分为软件防火墙硬件防火墙芯片级防火墙包过滤型应用代理型单一主机防火墙路由器集成式防火墙分布式防火墙边界防火墙个人防火墙混合防火墙百兆级防火墙千兆级防火墙
1、防火墙从软硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙这里说的硬件防火墙是指,所谓的硬件防火墙,。
之所以加上,所谓,二字是针对芯片级防火墙而言的。它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,
他们都基于 PC架构,就是说,它们和普通的家庭用的 PC没有太大区别。在这些 PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的 Unix,Linux和 FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到 OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,
外网和 DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙芯片级防火墙基于专门的硬件平台。
专有的芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
这类防火墙由于是专用 OS(操作系统),
因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2,从防火墙技术分为
防火墙技术虽然出现了许多,但总体来讲可分为,包过滤型,和,应用代理型,两大类。
(1),包过滤 (Packet filtering)型包过滤型防火墙工作在 OSI网络参考模型的网络层和传输层
它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为
,第一代静态包过滤,和,第二代动态包过滤,。
● 第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址,IP目标地址、传输协议 (TCP,UDP,ICMP等等 )、
TCP/UDP目标端口,ICMP消息类型等。
静态包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能高,
对用户透明。
但是缺点是:维护比较困难;不能有效防止黑客的欺骗攻击;不支持应用层的过滤,不能防范数据驱动型攻击;无法对网络上流动的信息提供全面的控制。因此,静态包过滤的安全性较低。
● 第二代动态包过滤类型防火墙这类防火墙采用动态设置包过滤规则的方法,
避免了静态包过滤所具有的问题。
动态包过滤只有在用户的请求下才打开端口,并且在服务完毕之后关闭端口,这样可以降低受到与开放端口相关的攻击的可能性。
防火墙可以动态的决定哪些数据包可以通过内部网络的链路和应用程序层服务。
可以配置相应的访问策略,只有在允许范围之内才自动打开端口,当通信结束时关闭端口。
这种方法在两个方向上都最小化了暴露端口的数量,
给网络提供更高的安全性。
第三代全状态检测( Stateful Inspection)防火墙
第三代包过滤类防火墙是采用了状态检测技术的防火墙。
状态检测防火墙在包过滤的同时,检查数据包之间的关联性,
检查数据包中动态变化的状态码。
它有一个监测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
目前市场上的主流防火墙,一般都是状态检测防火墙。
包状态监测 (Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
第四代深度包检测( Deep Packet Inspection)防火墙
状态检测的防火墙的安全性得到一定程度的提高,但是在对付 DDoS攻击、实现应用层内容过滤,病毒过滤方面的表现也不尽人意。因此代表未来发展方向的最新一代防火墙是深度包检测防火墙 。
面对新形势下的蠕虫病毒,DDoS攻击、垃圾邮件泛滥等严重威胁,最新一代包过滤类防火墙采用了深度包检测
( Deep Packet Inspection)技术。
深度包检测技术融合入侵检测和攻击防范的功能,它能深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击。并理解什么是,正常的,通信,
同时阻止异常的访问。深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术来决定如何处理数据包。深度包检测防火墙能阻止 DDoS攻击、病毒传播问题和高级应用入侵问题。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:
过滤判别的依据只是网络层和传输层的有限信息,
因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP,RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到,地址欺骗型,攻击。
(2),应用代理 (Application Proxy)型应用代理型防火墙是工作在 OSI的最高层,
即应用层。
其特点是完全 "阻隔 "了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
其典型网络结构如下页图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:
第一代 应用网关型 代理防火和第二代 自适应 代理防火墙。
第一代应用网关 (Application Gateway)型防火墙这类防火墙是通过一种代理 (Proxy)技术参与到一个 TCP
连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理 (Adaptive proxy)型防火墙它是近几年才得到广泛应用的一种新防火墙类型。
它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高 10倍以上。
组成这种类型防火墙的基本要素有两个:自适应代理服务器 (Adaptive Proxy Server)与动态包过滤器 (Dynamic Packet filter)。
在,自适应代理服务器,与,动态包过滤器,之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应 Proxy的管理界面进行设置就可以了。然后,
自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。
如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。
3,从防火墙结构分为
从防火墙结构上分,防火墙主要有:
单一主机防火墙
路由器集成式防火墙
分布式防火墙三种。
单一主机防火墙 是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如图),同样包括 CPU、内存、硬盘等基本组件,当然主板更是不能少了,
且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。
其中的硬盘就是用来存储防火墙所用的基本程序,
如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的
PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,
具备非常高的系统吞吐性能。正因如此,看似与 PC
机差不多的配置,价格甚远。
原来单一主机的防火墙由于价格非常昂贵,
仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档 路由器 中集成了防火墙功能 。如 Cisco IOS防火墙系列。
但这种防火墙通常是较低级的包过滤型。
这样企业就不用再同时购买路由器和防火墙,
大大降低了网络设备购买成本。
分布式防火墙 再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。
在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的 PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。
各主机把任何其它主机发送的通信连接都视为,不可信,的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求,不信任,。
4.按防火墙的应用部署位置分
如果按防火墙的应用部署位置分,可以分为
边界防火墙
个人防火墙
混合防火墙
边界防火墙 是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,
保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
个人防火墙 安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙 可以说就是,分布式防火墙,或者
,嵌入式防火墙,,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。
它属于最新的防火墙技术之一,性能最好,价格也最贵。
5。 按防火墙的性能来分
如果按防火墙的性能来分可以分为
百兆级防火墙
千兆级防火墙
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽
(Bandwidth),或者说是 吞吐率 。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
三、防火墙的配置
以天网防火墙为例
Lockdown
blackice
防火墙不能防范什么?
思考与讨论 ……
——防火墙西安电子科技大学刘怀亮内容提要
防火墙分类
防火墙配置
,防火墙,是一种形象的说法
防火墙是位于两个信任程度不同的网络之间
(如 Intranet与 Internet)的软件与硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取与访问,以达到保护系统安全的目的,
一、防火墙的功能
防火墙是网络的第一道防线
一个成功的防火墙应当具有下面的基本要求:
防火墙的设计策略应当遵循安全防范的基本原则 ——除非明确允许,否则就禁止!
防火墙本身支持安全策略,而不是添加上去的
安全策略变化,它可以加入新服务
可以运用过滤技术 ——允许或禁止服务
可使用先进的认证手段
界面友好,易于配置,可根据数据包的性质进行过滤
基本功能:
允许网管定义一个中心点来防止用户进入内部网络
可以很方便地监视网络安全性,并报警
可以部署 NAT(网络地址转换),将有限的 IP
地址动态或静态地与内部 IP地址对应起来,用以缓解地址空间的短缺问题
是审计和记录 Internet使用费用的一个最佳地点。
用户可能考虑的特殊功能需求:
虚拟专用网络( VPN)
扫毒功能
特殊控制需求二、防火墙分类
主要分类如下:
从软硬件形式上分
从防火墙技术上分
从防火墙结构上分
按防火墙应用部署分
按防火墙性能分为软件防火墙硬件防火墙芯片级防火墙包过滤型应用代理型单一主机防火墙路由器集成式防火墙分布式防火墙边界防火墙个人防火墙混合防火墙百兆级防火墙千兆级防火墙
1、防火墙从软硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
第二种:硬件防火墙这里说的硬件防火墙是指,所谓的硬件防火墙,。
之所以加上,所谓,二字是针对芯片级防火墙而言的。它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,
他们都基于 PC架构,就是说,它们和普通的家庭用的 PC没有太大区别。在这些 PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的 Unix,Linux和 FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到 OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,
外网和 DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙芯片级防火墙基于专门的硬件平台。
专有的芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
这类防火墙由于是专用 OS(操作系统),
因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2,从防火墙技术分为
防火墙技术虽然出现了许多,但总体来讲可分为,包过滤型,和,应用代理型,两大类。
(1),包过滤 (Packet filtering)型包过滤型防火墙工作在 OSI网络参考模型的网络层和传输层
它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为
,第一代静态包过滤,和,第二代动态包过滤,。
● 第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址,IP目标地址、传输协议 (TCP,UDP,ICMP等等 )、
TCP/UDP目标端口,ICMP消息类型等。
静态包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能高,
对用户透明。
但是缺点是:维护比较困难;不能有效防止黑客的欺骗攻击;不支持应用层的过滤,不能防范数据驱动型攻击;无法对网络上流动的信息提供全面的控制。因此,静态包过滤的安全性较低。
● 第二代动态包过滤类型防火墙这类防火墙采用动态设置包过滤规则的方法,
避免了静态包过滤所具有的问题。
动态包过滤只有在用户的请求下才打开端口,并且在服务完毕之后关闭端口,这样可以降低受到与开放端口相关的攻击的可能性。
防火墙可以动态的决定哪些数据包可以通过内部网络的链路和应用程序层服务。
可以配置相应的访问策略,只有在允许范围之内才自动打开端口,当通信结束时关闭端口。
这种方法在两个方向上都最小化了暴露端口的数量,
给网络提供更高的安全性。
第三代全状态检测( Stateful Inspection)防火墙
第三代包过滤类防火墙是采用了状态检测技术的防火墙。
状态检测防火墙在包过滤的同时,检查数据包之间的关联性,
检查数据包中动态变化的状态码。
它有一个监测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
目前市场上的主流防火墙,一般都是状态检测防火墙。
包状态监测 (Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
第四代深度包检测( Deep Packet Inspection)防火墙
状态检测的防火墙的安全性得到一定程度的提高,但是在对付 DDoS攻击、实现应用层内容过滤,病毒过滤方面的表现也不尽人意。因此代表未来发展方向的最新一代防火墙是深度包检测防火墙 。
面对新形势下的蠕虫病毒,DDoS攻击、垃圾邮件泛滥等严重威胁,最新一代包过滤类防火墙采用了深度包检测
( Deep Packet Inspection)技术。
深度包检测技术融合入侵检测和攻击防范的功能,它能深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击。并理解什么是,正常的,通信,
同时阻止异常的访问。深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术来决定如何处理数据包。深度包检测防火墙能阻止 DDoS攻击、病毒传播问题和高级应用入侵问题。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:
过滤判别的依据只是网络层和传输层的有限信息,
因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP,RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到,地址欺骗型,攻击。
(2),应用代理 (Application Proxy)型应用代理型防火墙是工作在 OSI的最高层,
即应用层。
其特点是完全 "阻隔 "了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
其典型网络结构如下页图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:
第一代 应用网关型 代理防火和第二代 自适应 代理防火墙。
第一代应用网关 (Application Gateway)型防火墙这类防火墙是通过一种代理 (Proxy)技术参与到一个 TCP
连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理 (Adaptive proxy)型防火墙它是近几年才得到广泛应用的一种新防火墙类型。
它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高 10倍以上。
组成这种类型防火墙的基本要素有两个:自适应代理服务器 (Adaptive Proxy Server)与动态包过滤器 (Dynamic Packet filter)。
在,自适应代理服务器,与,动态包过滤器,之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应 Proxy的管理界面进行设置就可以了。然后,
自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。
如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。
3,从防火墙结构分为
从防火墙结构上分,防火墙主要有:
单一主机防火墙
路由器集成式防火墙
分布式防火墙三种。
单一主机防火墙 是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如图),同样包括 CPU、内存、硬盘等基本组件,当然主板更是不能少了,
且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。
其中的硬盘就是用来存储防火墙所用的基本程序,
如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的
PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,
具备非常高的系统吞吐性能。正因如此,看似与 PC
机差不多的配置,价格甚远。
原来单一主机的防火墙由于价格非常昂贵,
仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档 路由器 中集成了防火墙功能 。如 Cisco IOS防火墙系列。
但这种防火墙通常是较低级的包过滤型。
这样企业就不用再同时购买路由器和防火墙,
大大降低了网络设备购买成本。
分布式防火墙 再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。
在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的 PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。
各主机把任何其它主机发送的通信连接都视为,不可信,的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求,不信任,。
4.按防火墙的应用部署位置分
如果按防火墙的应用部署位置分,可以分为
边界防火墙
个人防火墙
混合防火墙
边界防火墙 是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,
保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
个人防火墙 安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙 可以说就是,分布式防火墙,或者
,嵌入式防火墙,,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。
它属于最新的防火墙技术之一,性能最好,价格也最贵。
5。 按防火墙的性能来分
如果按防火墙的性能来分可以分为
百兆级防火墙
千兆级防火墙
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽
(Bandwidth),或者说是 吞吐率 。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
三、防火墙的配置
以天网防火墙为例
Lockdown
blackice
防火墙不能防范什么?
思考与讨论 ……
