什麼是硬體防火牆

  你知道嗎?下面將由小編帶大家來解答這個疑問吧,希望對大家有所收穫!

  硬體防火牆的概述

  硬體防火牆是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。

  硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定,直接關係到整個內部網路的安全。因此,日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

  硬體防火牆的原理

  至於價格高,原因在於,軟體防火牆只有包過濾的功能,硬體防火牆中可能還有除軟體防火牆以外的其他功能,例如CF***內容過濾***IDS***入侵偵測***IPS***入侵防護***以及等等的功能。

  也就是說硬體防火牆是指把防火牆程式做到晶片裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。

  硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定,直接關係到整個內部網路的安全。因此,日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

  系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。

  ***1***包過濾防火牆

  包過濾防火牆一般在路由器上實現,用以過濾使用者定義的內容,如IP地址。包過濾防火牆的工作原理是:系統在網路層檢查資料包,與應用層無關。這樣系統就具有很好的傳輸效能,可擴充套件能力強。但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層資訊無感知,也就是說,防火牆不理解通訊的內容,所以可能被黑客所攻破。

  ***2***應用閘道器防火牆

  應用閘道器防火牆檢查所有應用層的資訊包,並將檢查的內容資訊放入決策過程,從而提高網路的安全性。然而,應用閘道器防火牆是通過打破客戶機/伺服器模式實現的。每個客戶機/伺服器通訊需要兩個連線:一個是從客戶端到防火牆,另一個是從防火牆到伺服器。另外,每個代理需要一個不同的應用程序,或一個後臺執行的服務程式,對每個新的應用必須新增針對此應用的服務程式,否則不能使用該服務。所以,應用閘道器防火牆具有可伸縮性差的缺點。***圖2***

  ***3***狀態檢測防火牆

  狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,效能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包,不關心資料包狀態的缺點,在防火牆的核心部分建立狀態連線表,維護了連線,將進出網路的資料當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火牆規範了網路層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。***圖3***

  ***4***複合型防火牆

  複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC架構,把防病毒、內容過濾整合到防火牆裡,其中還包括、IDS功能,多單元融為一體,是一種新突破。常規的防火牆並不能防止隱蔽在網路流量裡的攻擊,在網路介面對應用層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網路與資訊保安的新思路。它在網路邊界實施OSI第七層的內容掃描,實現了實時在網路邊緣部署病毒防護、內容過濾等應用層服務措施。***圖4***

  3、四類防火牆的對比

  包過濾防火牆:包過濾防火牆不檢查資料區,包過濾防火牆不建立連線狀態表,前後報文無關,應用層控制很弱。

  應用閘道器防火牆:不檢查IP、TCP報頭,不建立連線狀態表,網路層保護比較弱。

  狀態檢測防火牆:不檢查資料區,建立連線狀態表,前後報文相關,應用層控制很弱。

  複合型防火牆:可以檢查整個資料包內容,根據需要建立連線狀態表,網路層保護強,應用層控制細,會話控制較弱。

  4、防火牆術語

  閘道器:在兩個裝置之間提供轉發服務的系統。閘道器是網際網路應用程式在兩臺主機之間處理流量的防火牆。這個術語是非常常見的。

  DMZ非軍事化區:為了配置管理方便,內部網中需要向外提供服務的伺服器往往放在一個單獨的網段,這個網段便是非軍事化區。防火牆一般配備三塊網絡卡,在配置時一般分別分別連線內部網,internet和DMZ。

  吞吐量:網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的資料包數量。這是測量防火牆效能的重要指標。

  最大連線數:和吞吐量一樣,數字越大越好。但是最大連線數更貼近實際網路情況,網路中大多數連線是指所建立的一個虛擬通道。防火牆對每個連線的處理也好耗費資源,因此最大連線數成為考驗防火牆這方面能力的指標。

  資料包轉發率:是指在所有安全規則配置正確的情況下,防火牆對資料流量的處理速度。

  SSL:SSL***Secure Sockets Layer***是由Netscape公司開發的一套Internet資料安全協議,當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密資料傳輸。SSL協議位於TCP/IP協議與各種應用層協議之間,為資料通訊提供安全支援。

  網路地址轉換:網路地址轉換***NAT***是一種將一個IP地址域對映到另一個IP地址域技術,從而為終端主機提供透明路由。NAT包括靜態網路地址轉換、動態網路地址轉換、網路地址及埠轉換、動態網路地址及埠轉換、埠對映等。NAT常用於私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火牆上實現NAT後,可以隱藏受保護網路的內部拓撲結構,在一定程度上提高網路的安全性。如果反向NAT提供動態網路地址及埠轉換功能,還可以實現負載均衡等功能。

  堡壘主機:一種被強化的可以防禦進攻的計算機,被暴露於因特網之上,作為進入內部網路的一個檢查點,以達到把整個網路的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。