防火牆按照工作原理分類可以分為哪些

  防火牆如果安裝工作原理分類,那麼可以分為幾類呢?下面由小編給你做出詳細的防火牆安裝工作原理分類方法介紹!希望對你有幫助!

  防火牆按照工作原理分類如下

  防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術範疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統?如果答案是 “是”,則說明企業內部網還沒有在網路層採取相應的防範措施。

  作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一。雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸

  但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著資料安全與使用者認證、防止病毒與黑客侵入等方向發展。

  根據防火牆所採用的技術不同,我們可以將它分為三種基本型別:包過濾型、代理型和監測型。

  防火牆按照工作原理分類1.包過濾型

  包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址、目標地址、

  TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包” 是否來自可信任的安全站點,一旦發現來自危險站點的資料包,防火牆便會將這些資料拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

  包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。

  但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程式以及***中附帶的病毒

  有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。

  防火牆按照工作原理分類2.代理型

  代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,代理伺服器相當於一臺真正的伺服器;而從伺服器來看

  代理伺服器又是一臺真正的客戶機。當客戶機需要使用伺服器上的資料時,首先將資料請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取資料,然後再由代理伺服器將資料傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道,外部的惡意侵害也就很難傷害到企業內部網路系統。

  代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定,大大增加了系統管理的複雜性。

  防火牆按照工作原理分類3.監測型

  監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。

  同時,這種檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。

  據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。