防火墙分为哪两种类型?比较它们在维护网络安全方面的优缺点

防火墙分为哪两种类型?比较它们在维护网络安全方面的优缺点,第1张

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。

2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。

3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

其实目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下:
1 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。

1、路由器就带防火墙功能呢,它也算硬件吧。哈哈,列入地端硬件防火墙-几百元价格
2、2000-5000
商业入门级的了。
3、类似cisco这种,大概要6000多
4、pix516e,这类的要上万了。
区别在于就是越贵的物理盘越大而且也越能吃攻击,就是那种你带多少我吃多少,吃不下我挡在外面

本人一小小IDC销售人员,在这个行业也是仅仅只做了几年,论经验是谈不上,以下所写仅为个人的一点小小感触第一,一个刚从业的IDC销售人员应该注意的是客户成交前后跟客户之间的关系处理一单生意没有谈成之前,我相信每个IDC从业者都是紧跟客户屁股,问寒问暖,说话什么都都非常的注意,生怕客户会稍纵即逝,流失掉,一旦成交后,则是把这个客户的QQ拉进成交客户的分组里,不闻不问帅帅建议:无论客户成交与否,我们都要一视同仁,把谈客户当做是交朋友,我们的目标是谈一个客户交一个朋友,如果你能做到你在客户在,你走客户走,客户是你的好朋友(如果能做到这样的话我感觉就是一个成功的销售了)
第二,客户的服务器出了问题 我相信每个IDC从业者最头疼的问题就是这个了吧,服务器忽然ping不通了,或者非常卡,再或者受攻击等等,这些无疑是大家最头疼的事了,每个人的想法都是服务器永远都不会出问题,客户交过钱之后自己就可以高枕无忧的去寻找另外一个客户,可是这应该是不可能的事,无论任何机房都不可能保证网络状况不会出问题,任何一个硬件商都不敢保证自己的硬件不会出现任何问题,所以现在的问题就出来了,如果客户的服务器出了问题,我们做为一个销售应该怎么样去配合公司的技术、机房的工作人员的工作,能让工作人员迅速的把客户的问题给解决了。
我见过好多非常不负责任的销售人员,当这单业务做好之后,就把客户去移交技术,然后不管不问了,只有等到续费的时候才能想起来去通知一下,联系一下,个人认为这样做不行,具体怎么不行我也不知道,嘿嘿,只是个人感觉 服务器出了问题,我感觉我们做销售的应该积极的去配合机房工作人员,以便于快速处理客户的问题,这也是负责任的一种表现,呵呵 我们去跟客户说明真相,最起码让客户知道自己的服务器是为什么出现这种问题,我们现在在做什么,我们有没有给他解释,千万不要出了问题对客户爱理不理,或者推卸责任,让客户去找技术等等第三,服务器出了问题客户应该怎么做 这个我是说给客户的,你的服务器出了问题,我们也会非常着急的,我们也不想你的服务器有事的,有时候可能处理问题的时间有点长,不过你们应该相信,我们是不可能歇着不给你处理问题的,遇见问题了,我相信我们比你着急,所以,我感觉我们应该互相体谅一下,请配合我们,有时候需要提供服务器的用户名密码等等,这些就是我们互相配合的时候了
曾今我有一个客户,他是做的,他的服务器接二连三的被入侵,他就怀疑是我做的(~~很是郁闷)我犯得着么,一边打我们公司投诉电话说我黑他的服务器,还一边给我说着让赶紧解决(超级郁闷~~!!)后来得知,这台服务器没打补丁,做所用的版本为网上下载而来的(晕死,这样被入侵不是太正常了么) 有几个客户的服务器被入侵了人家去怪接入商的呢,呵呵。不过后来我们帮他打了补丁,装了防火墙,做了一些安全策略,服务器正常了,事情终于告一段落 呵呵,试问你不配合我们工作,到最后耽误的不是你的时间么?另外我们去黑你的服务器对我们有什么好处么?你的服务器三天两头出问题,到期了你不用了,对我们有好处?
本人一没文采二没经验,小小感慨发出来,愿与各位朋友探讨,希望各位朋友有什么经验了可以跟帅帅分享一下,让我们共同进步,呵呵 嘿嘿,写的有点乱,都怪咱的文采不好,正应了哪句话,从小不学习,长大买电脑 呜呜

“三分技术,七分管理”是网络安全领域的一句至理名言,其原意是:网络安全中的30%依靠计算机系统信息安全设备和技术保障,而70%则依靠用户安全管理意识的提高以及管理模式的更新。具体到网络版杀毒软件来说,三分靠杀毒技术,七分靠网络集中管理。或许上述说法可能不太准确,但却能借以强调网络集中管理来强调网络杀毒系统的重要性。
从原则上来讲,计算机病毒和杀毒软件是“矛”与“盾”的关系,杀毒技术是伴随着计算机病毒在形式上的不断更新而更新的。也就是说,网络版杀毒软件的出现,是伴随着网络病毒的出现而出现的。因此,《中国计算机报》联合中国软件评测中心对目前市场上流行的九款网络版杀毒软件进行了评测。
互联网下的病毒新特点
病毒从出现之日起就给IT行业带来了巨大的损伤,随着IT技术的不断发展和网络技术的更新,病毒在感染性、流行性、欺骗性、危害性、潜伏性和顽固性等几个方面也越来越强。对于互联网环境下的计算机病毒,我们认为主要有以下几个发展特点:
传播网络化 目前通过网络应用(如电子邮件、文件下载、网页浏览)进行传播已经成为计算机病毒传播的主要方式。最近几个传播很广的病毒如“爱虫”、“红色代码”、“尼姆达”无一例外都选择了网络作为主要传播途径。
利用 *** 作系统和应用程序的漏洞 此类病毒主要是“红色代码”和“尼姆达”。由于IE浏览器的漏洞,使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”则是利用了微软IIS服务器软件的漏洞来传播。
传播方式多样 如“尼姆达”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。“Kakworm”病毒虽然早在去年1月就被发现,但它的感染率一直居高不下,就是由于它利用ActiveX控件中存在的缺陷传播,装有IE5或Office2000的电脑 都可能被感染。这个病毒的出现使原来不打开带毒邮件附件而直接删除的防邮件病毒方法完全失效。更为令人担心的是,一旦这种病毒被赋予了其他计算机病毒的恶毒的特性,它所造成的危害很有可能超过任何现有的计算机病毒。
诱惑性 现在的计算机病毒充分利用人们的好奇心理。例如,曾经肆虐一时的“裸妻”病毒,其主题就是英文的“裸妻”,邮件正文为“我的妻子从未这样”,邮件附件中携带一个名为“裸妻”的可执行文件,用户执行这个文件,病毒就被激活。又如“库尔尼科娃”病毒的流行是利用“网坛美女”库尔尼科娃的魅力。
病毒形式多样化 通过对病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍,并向卡通、ICQ等方面发展。此外,新病毒更善于伪装,如主题会在传播中改变,许多病毒会伪装成常用程序,或者将病毒代码写入文件内部,长度而不发生变化,用来麻痹计算机用户。主页病毒的附件并非一个HTML文档,而是一个恶意的VB脚本程序,一旦执行后,就会向用户地址簿中的所有电子邮件地址发送带毒的电子邮件副本。
危害多样化 传统的病毒主要攻击单机,而“红色代码”和“尼姆达”都会造成网络拥堵甚至瘫痪,直接危害到了网络系统;另一个危害来自病毒在受害者身上开了后门,对某些部门而言,开启了后门带来的危害,如泄密等,所造成的危害可能会超过病毒本身。
也正是由于计算机病毒的这些特性,导致了新一代网络杀毒软件的出现,正所谓矛尖必然盾利。
网络版杀毒软件新趋势
计算机病毒的发展日益猖獗,也正因为“矛”越来越锋利,我们的“盾”的防护能力也越来越强大,其发展趋势如下。
集中式管理、分布式杀毒 对局域网进行远程集中式安全管理,并可通过账号和口令设置控制移动控制台的使用。并且先进的分布技术,利用本地资源和本地杀毒引擎,对本地节点的所有文件进行全面、及时、高效的查杀病毒,同时保障用户的隐私,减少了网络传输的负载,避免因大量传输文件而引起的网络拥塞。目前,杀毒软件中较为流行两种集中管理方式:以策略为中心,如图1所示,以逻辑上的策略域进行杀毒策略的部署,一般通过策略服务器(或中心服务器)负责实现网络杀毒策略的部署,这种方式可以脱离网络拓扑结构,部署较灵活;以服务器为中心,如图2所示,以物理上的网络服务器为中心,进行网络杀毒的管理,这种方式与网络拓扑结构融合,管理更加方便。
上面两种方式均有其好的方面,选择哪种方式的网络杀毒软件,主要是依据用户的实际需要来定。
图1 以策略为中心的集中管理方式
数据库技术、LDAP技术的应用 由于网络杀毒工作的日益复杂,一些网络杀毒软件厂商已经开始使用数据库技术和LDAP技术进行策略和日志的存储、用户管理等功能,不但增强了用户管理能力、策略组织能力,提高了策略调用速度,而且便于以后向日志分析等方面扩展。
多引擎支持 我们谈到网络安全,只能是相对安全而没有绝对的安全,而对于杀毒引擎来说,我们并不能说,任何一种杀毒技术或杀毒引擎能够查杀任何病毒。因此,对于多引擎技术来说,就是使用多项杀毒技术进行网络杀毒,可以有效地提高网络杀毒的成功率,但是必然会增加网络杀毒软件的复杂度。
图2 以服务器为中心的集中管理方式
从入口处拦截病毒 网络安全的威胁多数来自邮件和采用广播形式发送的信函。许多专家建议安装代理服务器过滤软件来防止不当信息。目前已有许多厂商正在开发相关软件,直接配置在网络网关上,d性规范网站内容,过滤不良网站,限制内部浏览。这些技术还可提供内部使用者上网访问网站的情况,并产生图表报告。系统管理者也可以设定个人或部门下载文件的大小。此外,邮件管理技术能够防止邮件经由Internet网关进入内部网络,并可以过滤由内部寄出的内容不当的邮件,避免造成网络带宽的不当占用。从入口处拦截病毒成为未来网络防病毒产品发展的一个重要方向。
全面解决方案 由于计算机网络应用的不断增加,导致计算机病毒入侵途径日益增多,并且对于某些网络环节,如Linux、UNIX服务器来说,虽然系统本身受病毒侵害的程度相对较低,但是却也成为病毒存储的温床和发源地。因此,网络杀毒体系将会从单一设备或单一系统,发展成为一个整体的解决方案,并与网络安全系统有机地融合在一起。无论是服务器、邮件服务器,还是客户端都应该得到保护。目前,现有的网络杀毒软件通常都可以扩展到对于文件服务器、邮件服务器、Lotus服务器的病毒防护。
客户化定制 客户化定制模式是指网络防病毒产品的最终定型是根据企业网络的特点而专门制定的。对于用户来讲,这种定制的网络防病毒产品带有专用性和针对性,既是一种个性化、跟踪性产品,又是一种服务产品。这种客户化定制体现了网络防病毒正从传统的产品模式向现代服务模式转化。并且大多数网络防病毒厂商不再将一次性卖出反病毒产品作为自己最主要的收入来源,而是通过向用户不断地提供定制服务而获得持续利润。
扩展性 由于目前反黑与反病毒的结合趋势,目前网络杀毒系统越来越朝着与防火墙、入侵检测、安全扫描、SNMP网络管理融合的方面发展。这是目前网络杀毒软件的一个发展的动向。
远程安装或分发安装 由于网络杀毒软件可能需要对不同物理区域的数十台甚至上百台、上千台客户端服务器进行杀毒模块的安装,因此要求管理员本地安装是不现实的,目前系统一般提供两种方式进行客户端的远程安装,一种是通过Windows系统远程控制命令进行批量客户端的远程安装,另外一种是让所有的用户通过Web页面下载客户端自行安装,任何一种方式都需要通过管理手段和技术手段实现
评测综述
为了向广大的最终用户推荐优秀的网络杀毒软件,《中国计算机报》联合中国软件评测中心对网络杀毒软件进行了专题测试,参加测试的厂商包括趋势科技、熊猫软件、美国网络联盟(NAI)、朝华科技、启明星辰、交大铭泰、冠群金辰、江民科技、赛门铁克的九款产品,基本涵盖了目前国内外主要的杀毒软件厂商,产品基本体现了国际和国内最先进的网络杀毒技术(这次送测的产品为25用户的中小型企业版)。
由于对于网络杀毒软件来说,管理重于杀毒能力,并且考虑到时间和周期的限制,因此本次专题的测试重点体现在网络杀毒软件产品的可管理性、安全性、兼容性、易用性四个方面,在测试过程中,没有深入涉及网络杀毒软件的杀毒能力和效率,请广大的读者谅解。下面对测试的四个指标进行简单的介绍。
可管理性 详见表1、表2、表3、表4,体现了网络杀毒软件的管理能力,主要包括了集中管理功能、杀毒管理功能、升级维护管理功能、警报和日志管理功能等几个主要部分,是网络杀毒软件杀毒能力在管理层次的体现。
安全性 详见表5,主要是对于用户认证,管理数据传输加密等方面的考虑,同时也涉及到管理员对于客户端的某些强制手段。
兼容性 详见表6,主要是用于管理、服务、杀毒的各个组件对于 *** 作系统的兼容性,直接体现了网络杀毒软件或解决方案的可扩展能力和易用程度。
易用性 详见表7,主要是指是否符合用户的使用习惯,比如作为中国境内销售的软件,易用性中最主要的一个因素就是中文本地化的问题,还有就是对用户文档在易理解性和图文并茂等方面要求,可以有效地保证用户在短时间内掌握网络杀毒软件的基本使用方法和技巧。
以上特性是相辅相成的一个有机整体,有些特性,像安全性与易用性,是一种需要平衡的矛盾,也就是说安全性高的产品通常易用性就会有所下降,这是不可避免的,我们需要根据产品面向的行业、领域和应用规模找到一个平衡点。让我们领略一下九款网络杀毒软件的风采吧!

参考资料:

>

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13339056.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-17
下一篇 2023-07-17

发表评论

登录后才能评论

评论列表(0条)

保存