防火牆型別及特性介紹
防火牆用的次數也逐漸增多!每臺電腦都有,下面由小編給你做出詳細的!希望對你有幫助!歡迎回訪!
:
網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器,運作在底層的TCP/IP協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆病毒除外,防火牆不能防止病毒侵入。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項“否定規則”就予以放行。作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP地址、來源埠號、目的 IP 地址或埠號、服務型別如 WWW 或是 FTP。也能經由通訊協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 TCP/IP 堆疊的“應用層”上運作,您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包通常是直接將封包丟棄。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜軟體有千千百百種啊,所以大部分的防火牆都不會考慮以這種方法設計。
XML 防火牆是一種新型態的應用層防火牆。
[3]根據側重不同,可分為:包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。
基本特性
一內部網路和外部網路之間的所有網路資料流都必須經過防火牆
防火牆佈置圖這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通訊的唯一通道,才可以全面、有效地保護企業網內部網路不受侵害。
根據美國國家安全域性制定的《資訊保障技術框架》,防火牆適用於使用者網路系統的邊界,屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處,比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的資料流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連線企事業單位內部的區域網,而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。
二隻有符合安全策略的資料流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一臺“雙穴主機”,即具備兩個網路介面,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來,按照OSI協議棧的七層結構順序上傳,在適當的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路介面送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多埠的網路介面>=2轉發裝置,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。
三防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵,只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。
目前國內的防火牆幾乎被國外的品牌佔據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者瞭解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科Cisco、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、山石網科、網禦神州、聯想、方正等,它們都提供不同級別的防火牆產品。
防火牆的型別及特性”人還看了: