一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的 *** 作系统平台,从而避免通用 *** 作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。因为内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,性能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在 *** 作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机 *** 作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙,因为它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不过价格会贵不少,更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严重的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1 包过滤型
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点,比较容易实现。但是其缺点是很显著的,首先面对大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题,或者外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
2 应用代理型
应用代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判断出各层中的非法侵入。同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3 状态监视型
这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐
在选择软件防火墙的时候,应该注意软件防火墙本身的安全性及高效性。同时,要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要,比如良好的用户交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考:
1 卡巴斯基软件防火墙 Anti-Hacker
这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙,它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示,存取动作是否放行都由用户决定,而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次,用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是,其无论是杀毒还是监控,都会占用较大的系统资源。
2 诺顿防火墙企业版
诺顿防火墙企业版,适用于企业服务器、电子商务平台及环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护,其灵活的服务能够支持任意数目的防火墙,既可以支持单个防火墙,也可以支持企业的全球范围防火墙部署。同时,软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法,使管理员可以从用户环境中灵活地选择安全数据。
3 服务器安全狗
服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测,服务器进程连接监测,及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护,能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能,方便查找攻击来源。
4 KFW傲盾服务器版
KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
5 McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等,能够及时拦截攻击使其无法得逞。
6 冰盾专业抗DDOS防火墙软件
冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力,适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面,软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。
对于公司网络安全来说,防火墙起的是关键性的作用,只有它,才可以防止来自互联网上永不停止的各种威胁。防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时,应当考虑以下十个方面的因素,以确保企业实现投资、安全性和生产力的最大化
1、必须可以提供值得信赖的安全
在市面上,UTM的种类非常多。根据商业模式的不同,一些网络安全设备可以提供大量的功能和全面的服务,但是需要公司承担高昂的价格,而另一些则只包含了基本的服务,但采购的成本也很低。
2、具有良好的易用性
在安全方面,全球跨国企业需要多级控制管理,但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时,提供友好的图形界面以方便管理。
这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下,更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员,并进行调整、升级和更新。
在选择基于硬件的防火墙时,考虑到易用性也会带来很大的好处。一个平台越容易进行管理,就越容易找到可以进行安装、维护和故障处理等工作的专业人士。
3、必须包含支持
防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道,并对其进行监测。在选择基于硬件的防火墙时,应该确保其支持同类设备的基于SSL-和IPSec-保护的连接(以保护点至点或站点到站点),让员工可以实现安全连接。WGRD是世界领先的高效率和全系列Internet安全方案供应商,是全球排名前五位的专门生产防火墙的公司之一。WatchGuard公司1996年成立于美国的华盛顿西雅图,并在北美、南美、EMEA和亚洲等地设有办事处,全球员工总数约300多名。1999年7月30日在纳斯达克上市(纳斯达克股票代号:WGRD)。WatchGuard是全球领先的高效率、全方位Internet方案供应商,宗旨是保护那些通过Internet开展电子商务的企业,并确保其通信安全。公司以生产即插即用Internet安全设备“Firebox”和相应的服务器安全软件而闻名于世。通过公司具有创新意义的LiveSecurity Service,单位与用户能保持其安全系统总是处于最新状态。此外,公司开发的ServerLock和AppLock/Web软件可确保服务器内容及应用程序的安全,防止关键数据及服务受到未经许可或未经留意的访问或 *** 纵。公司的RapidStream “Secured by Check Point”产品系列专门用于满足企业用户在一个Check Point设备方案中,对性能、扩展性及灵活性的需要。
深信服科技每年将总收入的15%投入产品研发,拥有超过600人的研发团队和1600台设备的产品实验室,专利数量达37项。深信服科技产品分为两类,
一类为网络安全产品线,包括:SSL ,IPSec ,上网行为管理(AC),下一代防火墙(NGAF),第二代上网行为管理——安全桌面。
一类为网络优化产品线,包括:上网优化网关(SG),流量管理(BM),应用交付(AD),广域网优化(WOC),应用性能管理(APM)。 深信服SSL 为客户提供快速、安全、易用的移动远程接入方案、内网核心应用安全隔离方案、WLAN安全接入方案、业务系统安全加固等方案,为整个组织业务系统的安全发布及接入访问保驾护航。
根据知名IT咨询服务机构Frost & Sullivan 2008年调查报告显示,深信服SSL 以311%的市场占有率一举超越众多国内外厂商独占鳌头。2009这一占有率上升至340%,进一步扩大深信服SSL 第一品牌的优势。2010年,深信服SSL 产品市场占有率高达384%,又增进了市场份额。在Frost & Sullivan刚发布的2012年中国SSL 市场分析报告中,Sangfor(深信服)市场占有率从2011年的392%稳步提升到403%,取得了前所未有的最高占比。这也使深信服SSL 连续5年领跑中国市场,并且每年的市场占有率都在稳步上升。
作为国家密码管理局《SSL 技术规范》标准核心制定者之一的深信服科技,其SSL 解决方案已在政府、金融、运营商、能源、教育、大中型企业等各个领域都得到了广泛应用。在中国入选世界五百强的企业中,有近70%的企业选择了深信服SSL 解决方案。包括中国银行、招商局、中国移动、中华人民共和国最高人民法院、中国人大等众多高端客户。 深信服IPSec 产品拥有业界最多的专利技术,是国内应用最广泛、最成熟的组网方案,可为客户提供异地机构快速组网、大型专网中数据安全加密、行业专网的延伸、专网单一链路的稳定备份等多重价值。
深信服IPSec 在各领域屡获殊荣。
2005年,深信服IPSec 产品赢得中国IPSec 市场占有率第一殊荣,并持续多年保持高速发展。
2007年,受国家密码管理委员会邀请,深信服科技作为国内IPSec 行业核心厂商,参与并制定了国家IPSec 标准。
2009年,深信服IPSec 率先通过了公安部信息安全产品检测中心虚拟专用网安全技术标准第三级检测,并成为中国首家通过此项标准的IPSec 厂家。
至2011年12月,深信服的客户已突破7000家,主要集中在政府、金融、电力、石化、集团、物流和连锁等行业高端客户,其中包括中石油、中国人寿、泰康人寿、中国远洋运输集团、华润集团、中国环境监测总站、华侨城集团等行业高端客户。 2005年,深信服科技首次精确定义上网行为管理概念,并推出中国第一台专业上网行为管理设备。
深信服上网行为管理产品涵盖身份认证、终端检查、网页过滤、应用管控、邮件及外发信息管理、上网授权、流量管理、上网记录、报表统计和安全防护等功能模块,实现对互联网访问行为的全面管理。在P2P管控与带宽管理、防范网络泄密与法律风险、上网权限管理与工作效率提升、互联网访问记录与举证、网络威胁过滤与上网安全强化等多个方面提供最有效的解决方案。
2010年8月,深信服正式发布业界首部《中国上网行为管理蓝皮书》。
2011年,深信服重磅推出第二代上网行为管理产品。弥补了传统上网行为管理在安全方面的不足。
2012年,据IDC调查数据显示,深信服上网行为管理产品凭借深厚的技术优势和优质的客户服务,获得了各行业客户的一致认可,在中国内容安全管理市场占有率达414%,连续第7年蝉联市场第一位。
2013年,上网行为管理获得国家信息安全测评中心颁发的信息安全产品EAL3等级认证,成为国内首个获得此项认证的上网行为管理产品。
2013年,深信服也连续第三次入围Gartner互联网安全网关魔力象限(Magic Quadrant for Secure Web Gateways)。
作为中国上网行为管理领域的第一品牌,深信服拥有国土资源部,中国科学院,招商银行,中国政法大学,南航,华东电网,大唐国际等众多知名客户。 深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代防火墙。弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
2013年,下一代防火墙获得全球性开源安全组织OWASP的Web应用防火墙认证证书,Web防护能力获高度认可。 深信服AD系列应用交付产品,致力于为用户更快速、更稳定的发布业务。AD应用交付产品不仅能够实现全面的多链路负载均衡、多服务器负载均衡,保证组织机构关键应用的稳定性和可用性,同时AD的商业智能特性还能够帮助组织机构快速了解来访用户的时间分布规律、地域分布特性、以及对各类应用的访问偏好等业务信息。借助商业智能分析信息,组织机构可以对网络、物流、业务流程、产品设计、商业策略等多个方面进行相应的调整和优化,提升客户满意度、攫取效益。
2012年的深信服AD的市场排名从大中华区(中国内地及港澳台地区)的第9跃升为第4。2012年10月底,深信服凭借营收的高速增长以及优异的市场表现入围了GARTNER ADC魔力象限,成为首家且唯一入围的中国厂商。
深信服应用交付已经在国土资源部、最高人民法院、新闻出版总署、云南省电网、四川省银联、国美电器、联想移动、中融国际信托等用户处获得了成功应用。 业务分支节点遍布全国甚至全球的组织机构,常常遭遇跨广域网传输数据时出现的应用与链路等问题,链路方面的主要问题包括广域网链路带宽窄、网络时延大、丢包率高等不利因素,而应用方面的主要问题则集中体现在大数据量传输速度慢、应用系统本身在广域网环境下的传输效率低、访问体验差等,严重阻挠了组织的业务发展。
深信服科技是亚太地区第一个推出广域网优化概念并提出解决方案的厂商,突破了带宽和地域的限制,加速广域网所承载的数据传输及应用系统,大幅加速各种应用及数据的传输速度,全面提升访问体验和质量。 其产品至今为止服务的客户分布在各行各业:招商局集团、中国水利水电建设集团公司,葛洲坝集团,中国日报社,中国免税品集团,民安保险,河南省环保厅,广西区质监局,水晶石科技,深圳航空、立白集团等用户都在体验深信服广域网优化产品带来的高效访问速度和高投资回报比。
2013年5月,深信服入选权威分析机构Gartner发布的《2013年全球广域网优化产品(WOC)魔力象限(Magic Quadrant)》,成为首个且唯一入围的中国厂商。 深信服BM系列专业网络流量管理设备,采用基于队列的流量处理机制和分层三色令牌桶技术,并结合DPI(数据包深度内容检测)、DFI(动态流状态检测) 及智能识别等网络应用及数据识别技术,通过高性能硬件平台为客户提供业界性能卓越的流量管理方案。深信服流量控制产品凭借强大的应用识别能力、以及丰富的流量管理策略,可以实现对网络流量的全面透析与管控,优化网络带宽,为网络管理者提供了前所未有的网络可见性,真正意义上帮助用户构建可视、可控、可优化的高效网络。
目前,在流量控制领域,深信服BM系列产品赢得了大量客户的认可,其客户包括:中国邮政集团,中国建筑设计研究院,中国科学院测量与地球物理研究所,中国国际电子商务中心等大型的知名用户。 海量的互联网资源与组织有限的网络带宽之间的矛盾由来已久,尤其近年互联网的高速发展使得内网用户渴望快速上网的诉求与日俱增,上网优化网关这一概念也应运而生,深信服SG网关是目前国内第一款专业上网优化网关,开启了业界上网优化领域新时代。
专业上网优化网关是涵盖上网加速、带宽管理、上网安全三位一体的整体解决方案。融合缓存和代理的上网加速是核心,实现带宽资源合理划分与分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。
通过以上三位一体的整体解决方案, 深信服专业上网优化网关为客户降低了带宽利用率,提升了网络访问速度,对带宽的合理规划使带宽使用跟高效、合理,同时增强了组织网络安全性,多手段、全方位确保组织上网环境的稳定、可靠与安全,为上网加速奠定坚实基础。赢得了来自国务院参事室,中国疾控中心,东风汽车,郑州日产,攀煤集团,联讯证券等客户的一致肯定和广泛赞誉。 深信服第二代上网行为管理最特别的地方在于推出以“管理、速度、安全”三位一体的上网行为管理完整解决方案,其中为了保障上网安全而推出的“上网安全桌面”成为最大的亮点。虚拟化的技术在IT界正如火如荼的融合到各个产品中,平台虚拟化、存储虚拟化、数据库虚拟化、桌面虚拟化等,其中桌面虚拟化技术中就推出了安全桌面的概念。深信服第二代上网行为管理将安全桌面的虚拟化技术融合到上网行为管理中,形成了上网安全桌面。
目前在上网安全领域,深信服上网安全桌面产品得到了大量客户的认可,已有招商银行等大型金融、企业客户使用。
天鹰抗DDOS防火墙服务器企业版2200
诺顿的据说很不错,报价官方网站上有look n stop,世界第一的防火墙,使用内存只有600K,2个外国人私人开发,强!!!哈哈哈,比什么诺顿,咔吧的防火墙强多了
Look'n'Stop是一款体积虽小,功能却十分强大的网络防火墙软件,它以领先的技术在多项网络攻击的防护评分中持续保持第一名的王座,值得重视网络安全的使用者尝试。
知名的国外测试报告评比为最优的防火墙
不仅打败了Norton,Kaspersky,Outpost,yahooAlarm,Sygate这些知名软件
Look'n'Stop 是一款体积虽小,但是防护功能却十分强大的网络防火墙软件,不仅适用于一般使用者的个人计算机,就连网络服务器或是网络路由器等也都适合使用,而它的防护功能更获得专业的网络防火墙评测网站评比为第一名,因此绝对值得使用者们一试。
Look'n'Stop 可以为使用者挡下诸如 DDos、FireHole等常见骇客攻击类型的攻击,让使用者在网络上形同隐形,不被其它使用者以 Ping 指令发现,因此也就降低了被攻击的风险,此外由于订制的规则严谨,因此对使用者来说有绝佳的d性,任何地址、通讯端口、封包类型都可以进行规则设定,让使用者可以为自己订制出最合适的防火墙规则。
对于想要进行网络联机的软件,Look'n'Stop也会予以先行阻挡,等到使用者确认过后常进行下一步动作,这对于多层呼叫的程序而言也一样有效,使用者可以清楚由Look'n'Stop所提供的讯息知道是那个软件呼叫了目前的程序,让彼此之间的主从关系一目了然,免于被利用程序漏洞执行的木马程序连出网络,泄漏了个人隐私。
由于Look'n'Stop的规则订制有很大的d性,对于一般使用者来说也许会稍嫌繁复,但是若是将规则订制完毕后,相信使用者就能够成功避免绝大多数的网络攻击了。
下载网上都有的,去找找分类: 电脑/网络 >> 反病毒
问题描述:
麻烦了!很着急!!谢谢!
解析:
你看看这个
防火墙分类1
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机 *** 作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的 *** 作系统平台比较熟悉。
第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的 *** 作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS( *** 作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有 *** 作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS( *** 作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1) 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙
这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
●第二代动态包过滤类型防火墙
这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2) 应用代理(Application Proxy)型
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙
这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
第二代自适应代理(Adaptive proxy)型防火墙
它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。
在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
防火墙分类3
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
防火墙分类4
如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
防火墙分类5
如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)