您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

防火墙原理介绍大全

时间:2019-09-11 13:21:39  来源:  作者:



硬件防火墙的原理

软件防火墙只有包过滤的功能,硬件防火墙中可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。

也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定,直接关系到整个内部网络的安全。

因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。

4种类型

(1)包过滤防火墙

包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。

包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。

但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

防火墙原理介绍大全

 

(2)应用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。

然而,应用网关防火墙是通过打破客户机/服务器模式实现的。

每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。

另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。

所以,应用网关防火墙具有可伸缩性差的缺点。

防火墙原理介绍大全

 

(3)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。

可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。

防火墙原理介绍大全

 

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。

它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

四类防火墙的对比

包过滤防火墙

包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。

应用网关防火墙

不检查IP、 TCP 报头,不建立连接状态表,网络层保护比较弱。

状态检测防火墙

不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。

复合型防火墙

可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。

防火墙术语

网关

在两个设备之间提供转发服务的系统。

网关是互联网应用程序在两台主机之间处理流量的防火墙。

这个术语是非常常见的。

DMZ非军事化区

为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。

防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。

吞吐量

网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。

吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

最大连接数

和吞吐量一样,数字越大越好。

但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。

防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。

SSL

SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据安全协议。

它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。

网络地址转换

网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。

堡垒主机

一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。

硬件防火墙和软件防火墙对比

成本对比

硬件防火墙是软硬件一体的,用户购买后不需要再投入其他费用。

一般硬件防火墙的报价在1万到2万之间。

软件防火墙有三方面的成本开销:

软件的成本、安装软件的设备成本以及设备上操作系统的成本。

windows Server 2003 价格在4400-6000 之间。

备注:综合以上的成本,要配置一套 软件防火墙按最小的网络要求,其成本在1万左右。

稳定性与安全性对比

稳定性和安全性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。

硬件防火墙一般使用经过内核编译后的linux ,凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。

Linux 永远都不会崩溃,其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。

系统的稳定性主要取决于系统设计的结构。

计算机硬件的结构自从1981设计开始就没有作特别大的改动,而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本,这种将就的软件开发模式极大地阻碍了系统稳定性的发展。

最令人注目的Linux开放源代码的开发模式,它保证了任何系统的漏洞都能被及时发现和修正。

Linux 采取了许多安全技术措施,包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。

软件防火墙一般要安装在windows 平台上,实现简单,但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。

虽然 Microsoft 也在努力的弥补这些问题,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但与Linux 比起来还是漏洞倍出。

在病毒侵害方面,从linux发展到如今,Linux 几乎不感染病毒。

而作为Windows平台下的病毒我们就不必多说了,只要是使用过电脑的人都有感受。

如果遭遇广泛传播的ARP欺骗病毒,容易造成了内网不稳定、网络时断时序、经常掉线,无法开展正常的工作,使得很多的网络管理人员束手无策。

软硬件防火墙的吞吐量和包转发率比较

吞吐量和报文转发率是关系防火墙应用的主要指标。

硬件防火墙的硬件设备是经专业厂商定制的,在定制之初就充分考虑了吞吐量的问题,在这一点上远远胜于软件防火墙。

因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题,况且windows系统本身就很耗费硬件资源,其吞吐量和处理大数据流的能力远不及硬件防火墙,这一点是不言而喻的。

吞吐量太小的话,防火墙就是网络的瓶颈,会带来网络速度慢、上网带宽不够等等问题。

防火墙工作原理上的比较

软件防火墙一般可以是包过滤机制。

包过滤过滤规则简单,只能检查到第三层网络层,只对源或目的IP做检查,防火墙的能力远不及状态检测防火墙,连最基本的黑客攻击手法IP伪装都无法解决,并且要对所经过的所有数据包做检查,所以速度比较慢。

硬件防火墙主要采用第四代状态检测机制。

状态检测是在通信发起连接时就检查规则是否允许建立连接,然后在缓存的状态检测表中添加一条记录,以后就不必去检查规则了只要查看状态监测表就OK了,速度上有了很大的提升。

因其工作的层次有了提高,其防黑功能比包过滤强了很多,状态检测防火墙跟踪的不仅是包中包含的信息。

为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。

例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。

如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。

硬件防火墙比软件防火墙在实现的机制上有很大的不同,也带来了软硬件防火墙在防黑能力上很大差异。

在对内网的控制方面比较

软件防火墙由于本身的工作原理造成了它不具备内网具体化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对具体的IP 和mac 做上网控制等,其主要的功能在于对外。

硬件防火墙在基于状态检测的机制上,安全厂商又可以根据市场的不同需求开发应用层过滤规则,来满足对内网的控制,能够在高层进行过滤,做到了软件防火墙不能做到的很多事。

尤其是ARP病毒,硬件防火墙针对其入侵的原理,都做了相应的策略,彻底解除了ARP病毒的危害。

现在的网络安全(防火墙 )已经不仅仅局限于对外的防止黑客攻击上,更多的企业内部网络经常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。

我们分析其主要的原因,在于内网用户的使用问题,很多的用户上班时间使用BT下载、浏览一些不正规的网站,这样都会引起内网的诸多问题,比如病毒,很多病毒传播都是使用者不良行为而造成的。

所以说内网用户的控制和管理是非常必要的。



Tags:防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Tags: 防火墙  点击:(30)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Tags: 防火墙  点击:(39)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  Tags: 防火墙  点击:(52)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  Tags: 防火墙  点击:(56)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  Tags: 防火墙  点击:(109)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  Tags: 防火墙  点击:(225)  评论:(0)  加入收藏
防火墙是网络和万维网之间的关系,位于网络的入口和出口。它评估网络流量,只允许某些流量进出。防火墙分析网络数据包头,包括关于进出网络流量的信息。然后,根据防火墙配置的策略...【详细内容】
2021-06-22  Tags: 防火墙  点击:(101)  评论:(0)  加入收藏
Windows防火墙是Windows操作系统的组成部分,它管理流经计算机网络端口的流量,以确保未被注意的数据包不会进入计算机并确保其安全。它还负责打开和关闭或侦听网络端口。Window...【详细内容】
2021-04-30  Tags: 防火墙  点击:(215)  评论:(0)  加入收藏
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  Tags: 防火墙  点击:(246)  评论:(0)  加入收藏
为什么要关闭防火墙防火墙对电脑的安全起着重要的保护作用,为什么这一节小课堂会教你如何关闭防火墙呢?因为防火墙在电脑与其他电脑通信的时候会起到保护作用,但是在我们进行一...【详细内容】
2021-03-19  Tags: 防火墙  点击:(200)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条