防火墙术语详解(一)
生活随笔
收集整理的這篇文章主要介紹了
防火墙术语详解(一)
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
1.防火墻類型
1. 從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。
第一種:軟件防火墻
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。
第二種:硬件防火墻
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。
傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。
第三種:芯片級(jí)防火墻
芯片級(jí)防火墻基于專門的硬件平臺(tái),沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對(duì)比較高昂。
2. 從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1). 包過濾(Packet filtering)型
包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。
在整個(gè)防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。
●第一代靜態(tài)包過濾類型防火墻
這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的,它是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。
●第二代動(dòng)態(tài)包過濾類型防火墻
這類防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。
包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”***。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2). 應(yīng)用代理(Application Proxy)型
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本,即:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
第一代應(yīng)用網(wǎng)關(guān)(Application Gateway)型防火墻
這類防火墻是通過一種代理(Proxy)技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。
第二代自適應(yīng)代理(Adaptive proxy)型防火墻
它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn),在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個(gè):自適應(yīng)代理服務(wù)器(Adaptive Proxy Server)與動(dòng)態(tài)包過濾器(Dynamic Packet filter)。
在“自適應(yīng)代理服務(wù)器”與“動(dòng)態(tài)包過濾器”之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí),用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后,自適應(yīng)代理就可以根據(jù)用戶的配置信息,決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者,它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則,滿足用戶對(duì)速度和安全性的雙重要求。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外代理型防火墻采取是一種代理機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了***者使用數(shù)據(jù)驅(qū)動(dòng)類型的***方式***內(nèi)部網(wǎng)。
代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
3. 從防火墻結(jié)構(gòu)分
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,位于網(wǎng)絡(luò)邊界。
這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,當(dāng)然主板更是不能少了,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的基本程序,如包過濾程序和代理服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級(jí)的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不是只是位于網(wǎng)絡(luò)邊界,而是***于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。
1. 從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。
第一種:軟件防火墻
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。
第二種:硬件防火墻
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。
傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。
第三種:芯片級(jí)防火墻
芯片級(jí)防火墻基于專門的硬件平臺(tái),沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對(duì)比較高昂。
2. 從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1). 包過濾(Packet filtering)型
包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。
在整個(gè)防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。
●第一代靜態(tài)包過濾類型防火墻
這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的,它是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包,以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。
●第二代動(dòng)態(tài)包過濾類型防火墻
這類防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為包狀態(tài)監(jiān)測(cè)(Stateful Inspection)技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤,并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。
包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”***。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2). 應(yīng)用代理(Application Proxy)型
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本,即:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
第一代應(yīng)用網(wǎng)關(guān)(Application Gateway)型防火墻
這類防火墻是通過一種代理(Proxy)技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。
第二代自適應(yīng)代理(Adaptive proxy)型防火墻
它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn),在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個(gè):自適應(yīng)代理服務(wù)器(Adaptive Proxy Server)與動(dòng)態(tài)包過濾器(Dynamic Packet filter)。
在“自適應(yīng)代理服務(wù)器”與“動(dòng)態(tài)包過濾器”之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí),用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后,自適應(yīng)代理就可以根據(jù)用戶的配置信息,決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者,它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則,滿足用戶對(duì)速度和安全性的雙重要求。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外代理型防火墻采取是一種代理機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了***者使用數(shù)據(jù)驅(qū)動(dòng)類型的***方式***內(nèi)部網(wǎng)。
代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
3. 從防火墻結(jié)構(gòu)分
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,位于網(wǎng)絡(luò)邊界。
這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,當(dāng)然主板更是不能少了,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的基本程序,如包過濾程序和代理服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級(jí)的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不是只是位于網(wǎng)絡(luò)邊界,而是***于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。
轉(zhuǎn)載于:https://blog.51cto.com/skyacker/50642
總結(jié)
以上是生活随笔為你收集整理的防火墙术语详解(一)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何从SQL Server 中取得字段说
- 下一篇: 如何在DOS/Windows和Linux