1、包过滤型防火墙
2、双宿/多宿主机防火墙
3、被屏蔽主机防火墙
4、被屏蔽子网防火墙
5、其他防火墙体系结构
优缺点:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:防火墙不能防御基于数据驱动的攻击。包过滤型防火墙:通过访问控制表,检查数据流中每个数据包的源地址、目的地址,所用的端口号、协议状态等因素,来确定是否允许该数据包通过。
应用网关防火墙:它工作在OSI模型的应用层,能针对特定的网络应用协议制定数据过滤规则。通过软件程序来传送和过滤Telnet和FIP这类网络服务,这类软件通常安装在专用工作站系统上,运行该程序的主机叫应用网关。这种技术参与到一个TCP连接的全过程,在应用层建立协议过滤和转发功能,故叫应用层网关。
代理服务器防火墙:它工作在OSI模型的应用层,主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的。(相当于一个中介来担当中间人,负责传递信息,而两者不互相见面,也就不了解真实情况)
状态监测防火墙:它也被称作自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检测模块,对IP包的信息进行拆分检测(比如IP包中的协议,源地址)来对比先前制定的策略,以确定是否允许通过。
自适应代理防火墙:它可根据用户的安全策略,动态适应传输中的分组流量(比如优先级和安全级来确定流量),它整合了动态包过滤防火墙技术和应用代理技术,本质上说是状态监测防火墙。个人认为 防火墙分为网络防火墙和个人防火墙2类
网络防火墙主要是对外网和内网之间的信息过滤的,但是内网之间的攻击不起到防护作用,或者外网利用某种技术绕过防火墙进行攻击网络防火墙也不会理会了
个人防火墙其实可以理解为是针对于本地与外部之间信息过滤的
防火墙只是防攻击,但是不能防毒
所以还有一类是防毒墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
主要功能:
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。
SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络 *** 作的审计监控功能
通过此功能可以有效对系统管理的所有 *** 作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
类型
1、过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
2、应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OIS的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。
这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
3、复合型
目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制。
如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。
扩展资料
具体应用
1、内网中的防火墙技术
防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。
总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。
2、外网中的防火墙技术
应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。
基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。
参考资料来源:百度百科-防火墙
限制他人进入内部网络;
过滤掉不安全的服务和非法用户;
防止入侵者进入内部网络;
限定对特殊站点的访问;
监视局域网的安全。
防火墙具有的功能包括:
访问控制功能
这是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。禁止非授权的访问,识别哪个用户可以访问何种资源。
内容控制功能
根据数据内容进行控制,如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤内部用户访问外部服务的信息,也可以限制外部访问,使它们只能访问本地Web服务器中的一部分信息。
全面的日志功能
完整地记录网络访问情况,包括内外网进出的访问。记录访问是什么时候发生的,进行了什么 *** 作,以检查网络访问情况。就如银行的录像监视系统,记录下整体的营业情况,一旦有什么是发生,就可以看录像,查明事实。防火墙的日志系统也有类似的作用,一旦网络发生了入侵或者遭到破坏,就可以对日志进行审计和查询。
集中管理功能
防火墙是一个安全设备,针对不同的网络情况和安全需要,需要制定不同的安全策略,然后在防火墙上实施,使用中还需要根据情况改变安装策略,而且在一个安全体系中,防火墙可以不止一台,所以防火墙应该是易于集中管理的,这样管理员就可以很方便地实施安全策略。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)