目錄

?

0x00 防火墻的使用目的

0x01 個人防火墻具備的功能

0x02 如何選擇防火墻

0x03 防火墻分類??

?

---

0x00 防火墻的使用目的　

??? 通常應用防火墻的目的有以下幾方面：

??? 1）限制他人進入內(nèi)部網(wǎng)絡；

??? 2）過濾掉不安全的服務和非法用戶；

??? 3）防止入侵者接近你的防御設施；

??? 4）限定人們訪問特殊站點；

??? 5）為監(jiān)視局域網(wǎng)安全提供方便。

?

?

0x01 個人防火墻一般具有以下功能：

?? 1）數(shù)據(jù)包過濾

　? 過濾技術(Ip Filtering or packet filtering)?的原理在于監(jiān)視并過濾網(wǎng)絡上流入流出的Ip包，拒絕發(fā)送可疑的包?！　?/p>

??? 在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡上，所有往來的信息都被分割成許許多多一定長度的信息包，包頭信息中包括IP源地址、IP目標地址、內(nèi)裝協(xié)議(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口。當這些包被送上互聯(lián)網(wǎng)時，防火墻會讀取接收者的IP并選擇一條物理上 的線路發(fā)送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。　　

???2）防火墻的安全規(guī)則

　 安全規(guī)則就是對你計算機所使用局域網(wǎng)、互聯(lián)網(wǎng)的內(nèi)制協(xié)議設置，從而達到系統(tǒng)的最佳安全狀態(tài)?！?個人防火墻軟件中的安全規(guī)則方式可分為兩種：　　

?? 一種是定義好的安全規(guī)則。就是把安全規(guī)則定義成幾種方案，一般分為低、中、高三種。這樣不懂網(wǎng)絡協(xié)議的用戶，就可以根據(jù)自己的需要靈活的設置不同的安全方案。例如：ZoneAlarm防火墻。

?? 還有一種用戶可以自定義安全規(guī)則。也就是說，在你非常了解網(wǎng)絡協(xié)議的情況下，你就可以根據(jù)自已所需的安全狀態(tài)，單獨設置某個協(xié)議。

?? 3）事件日記

　　這是每個防火墻軟件所不能少的主要的功能。記錄著防火墻軟件監(jiān)聽到發(fā)生的一切事件，比如入侵者的來源、協(xié)議、端口、時間等等。記錄的事件是由防火墻的功能來決定的。

　　

0x02 如何選擇防火墻？

　??個人認為選用防火墻,不一定非要用最好的，因為個人防火墻主要是針對個人用戶的實用性來制作的，除了以上幾種功能外，還集成一些工具，比如說追蹤主機名或IP地址、檢測特洛伊木馬、偽裝等等。根據(jù)自己不同的需要來選用，在不斷地學習中淘汰一些簡單的防火墻。本人把用戶大概分成五種：　　

??? 1）不了解網(wǎng)絡協(xié)議的用戶，只是為了游覽網(wǎng)頁。你可以使用傻瓜式防火墻。例如：Intrusion Detector、Intruder Alert' 99　　

??? 2）如果你上網(wǎng)是為了聊天或者經(jīng)常受到攻擊的用戶，那么你就可以選用：ProtectX、LockDown2000兩個防火墻，它們都有追蹤IP的功能。如果你受到攻擊，立即可以追蹤?！　?/p>

??? 3）經(jīng)常遭遇到掃描的用戶，使用Internet Firewall 2000、AnalogX、NetAlert。這兩個防火墻可以封鎖或監(jiān)視你的對外開放端口.　

　?4）在局域網(wǎng)環(huán)境中上網(wǎng)的用戶，那么防火墻必須支持?NETBIOS設置功能。例如：AtGuard、Zone Alarm、conseal pc firewall、天網(wǎng)防火墻、BlackICE?！　?/p>

??? 5）自己對網(wǎng)絡協(xié)議運用自如的用戶。Norton Internet Security 2000 V2.0 Personal Firewall與AtGuard防火墻都有非常詳細的自定義網(wǎng)絡協(xié)議?！?/p>

　

??? 這里說明一下，上面所說的五種用戶分類，不是必須按照這樣的分類使用的，只不 過它們有那種分類的功能特點。比如說,Zone Alarm、天網(wǎng)防火墻，這兩個防火墻也對普通用戶提供了安全規(guī)則方案，不了解網(wǎng)絡協(xié)議的用戶也可以運用自如。

?

0x03 防火墻分類

1）從軟、硬件形式上分

?

?

?

　　如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

?

　　（1）軟件防火墻。
　　軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。
　　（2）硬件防火墻。
　　這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。?值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。
　　（3）芯片級防火墻。
　　芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。
　　

2）?從防火墻技術分

?

　　防火墻技術雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。
　　（1）包過濾（Packet filtering）型。
　 　包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡服務采取特殊的處理方式，適用于所有網(wǎng)絡服務；之所以廉價， 是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。
　　在整個防火墻技術的發(fā)展過程中，包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。
　 　包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡層和傳 輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上 下文關聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。
　　（2）應用代理（Application Proxy）型。
　　應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。
　　?
　　在代理型防火墻技術的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應用網(wǎng)關型代理防火和第二代自適應代理防火墻。
　　代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內(nèi)外部網(wǎng)絡之間的通信不是直接的，而都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。
　　?代 理防火墻的最大缺點是速度相對比較慢，當用戶對內(nèi)外部網(wǎng)絡網(wǎng)關的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡之間的瓶頸。那因為防火墻需要為不同的 網(wǎng)絡服務建立專門的代理服務，在自己的代理程序為內(nèi)、外部網(wǎng)絡用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。
　　

3）從防火墻結(jié)構(gòu)分

?

　　從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。
　　單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡設備，它位于網(wǎng)絡邊界。
　　這種防火墻其實與一臺計算機結(jié)構(gòu)差不多（如下圖），同樣包括CPU、 內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡，因為它需要 連接一個以上的內(nèi)、外部網(wǎng)絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。 雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。
　　隨著防火墻技術的發(fā)展及應用需求的提高，原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。
　　原來單一主機的防火墻由于價格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡設備購買成本。
　　分布式防火墻再也不只是位于網(wǎng)絡邊界，而是滲透于網(wǎng)絡的每一臺主機，對整個內(nèi)部網(wǎng)絡的主機實施保護。在網(wǎng)絡服務器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡?，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡。各主機把任何其它主機發(fā)送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡發(fā)出的通信請求“不信任”。
　　

4）按防火墻的應用部署位置分

?

　　按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。?邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡實施隔離，保護邊界內(nèi)部網(wǎng)絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。
　　個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。
　　混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡之間通信進行過濾，又對網(wǎng)絡內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。
　　

5）按防火墻性能分

?

　　按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
　　因為防火墻通常位于網(wǎng)絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡通信性能的影響也就越小。
　　雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

轉(zhuǎn)載于:https://www.cnblogs.com/-qing-/p/10631845.html

總結(jié)

以上是生活随笔為你收集整理的防火墙基础及分类的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。