防火墙的基础知识大全.docx

防火墙的基础知识大全 什么是防火墙? 防火墙是运用一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的全部数据包，无论是进入还是发出，从而确定该拦截这个包还是将其放行。下面就让我带你去看看关于防火墙的基础学问大全吧，希望能帮助到大家! 都0202了，这些防火墙的学问你还不懂吗? 硬件防火墙的原理 软件防火墙及硬件防火墙中还有的其他功能，例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)等等的功能。 也就是说硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能削减CPU的负担，使路由更稳定。 硬件防火墙是保障内部网络平安的一道重要屏障。 它的平安和稳定，干脆关系到整个内部网络的平安。 因此，日常例行的检查对于保证硬件防火墙的平安是特别重要的。 系统中存在的许多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发觉这些平安隐患，并尽可能将问题定位，便利问题的解决。 4种类型 (1)包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。 包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展实力强。 但是，包过滤防火墙的平安性有肯定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。 (2)应用网关防火墙 应用网关防火墙检查全部应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的平安性。 然而，应用网关防火墙是通过打破客户机/服务器模式实现的。 每个客户机/服务器通信须要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。 另外，每个代理须要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必需添加针对此应用的服务程序，否则不能运用该服务。 所以，应用网关防火墙具有可伸缩性差的缺点。 (3)状态检测防火墙 状态检测防火墙基本保持了简洁包过滤防火墙的优点，性能比较好，同时对应用是透亮的，在此基础上，对于平安性有了大幅提升。 这种防火墙摒弃了简洁包过滤防火墙仅仅考察进出网络的数据包，不关切数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事务来处理。 可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。(图 3) (4)复合型防火墙 复合型防火墙是指综合了状态检测与透亮代理的新一代的防火墙，进一步基于ASIC 架构，把防病毒、内容过滤整合到防火墙里，其中还包括IDS功能，多单元融为一体，是一种新突破。 常规的防火墙并不能防止隐藏在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息平安的新思路。 它在网络边界实施OSI 第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图 4) 四类防火墙的对比 包过滤防火墙 包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层限制很弱。 应用网关防火墙 不检查IP、 TCP 报头，不建立连接状态表，网络层爱护比较弱。 状态检测防火墙 不检查数据区，建立连接状态表，前后报文相关，应用层限制很弱。 复合型防火墙 可以检查整个数据包内容，依据须要建立连接状态表，网络层爱护强，应用层限制细，会话限制较弱。 防火墙术语 网关 在两个设备之间供应转发服务的系统。 网关是互联网应用程序在两台主机之间处理流量的防火墙。 这个术语是特别常见的。 DMZ非军事化区 为了配置管理便利，内部网中须要向外供应服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。 防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ。 吞吐量 网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。 吞吐量是指在不丢包的状况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 最大连接数 和吞吐量一样，数字越大越好。 但是最大连接数更贴近实际网络状况，网络中大多数连接是指所建立的一个虚拟通道。 防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面实力的指标。 数据包转发率：是指在全部平安规则配置正确的状况下，防火墙对数据流量的处理速度。 SSL SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据平安协议。 它已被广泛地用于Web阅读器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯供应平安支持。 网络地址转换 网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术，从而为终端主机供应透亮路由。 NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。 NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。 在防火墙上实现NAT后，可以隐藏受爱护网络的内部拓扑结构，在肯定程度上提高网络的平安性。 假如反向NAT供应动态网络地址及端口转换功能，还可以实现负载均衡等功能。 堡垒主机 一种被强化的可以防卫进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的平安问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的平安的目的。 硬件防火墙和软件防火墙对比 成本对比 硬件防火墙是软硬件一体的，用户购买后不须要再投入其他费用。 一般硬件防火墙的报价在1万到2万之间。 软件防火墙有三方面的成本开销： 软件的成本、安装软件的设备成本以及设备上操作系统的成本。 Windows Server 2003 价格在4400-6000 之间。 备注：综合以上的成本，要配置一套 软件防火墙按最小的网络要求，其成本在1万左右。 稳定性与平安性对比 稳定性和平安性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。 硬件防火墙一般运用经过内核编译后的Linu_ ，凭借Linu_本身的高牢靠性和稳定性保证了防火墙整体的稳定性。 Linu_ 恒久都不会崩溃，其稳定性是由于它没有像其他操作系统一样内核浩大且漏洞百出。 系统的稳定性主要取决于系统设计的结构。 计算机硬件的结构自从1981设计起先就没有作特殊大的改动，而连续向后兼容性使那些编程风格极差的应用软件牵强移植到Windows的最新版本，这种将就的软件开发模式极大地阻碍了系统稳定性的发展。 最令人注目的Linu_开放源代码的开发模式，它保证了任何系统的漏洞都能被刚好发觉和修正。 Linu_ 实行了很多平安技术措施，包括对读、写进行权限限制、带爱护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户供应了必要的平安保障。 软件防火墙一般要安装在windows 平台上，实现简洁，但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的平安性和稳定性的问题。 虽然 Microsoft 也在努力的弥补这些问题，Windows 2003 server本身的漏洞就比前期的Windows NT少了许多，但与Linu_ 比起来还是漏洞倍出。 在病毒侵害方面，从linu_发展到如今，Linu_ 几乎不感染病毒。 而作为Windows平台下的病毒我们就不必多说了，只要是运用过电脑的人都有感受。 假如遭受广泛传播的ARP欺瞒病毒，简单造成了内网不稳定、网络时断时序、常常掉线，无法开展正常的工作，使得许多的网络管理人员手足无措。 软硬件防火墙的吞吐量和包转发率比较 吞吐量和报文转发率是关系防火墙应用的主要指标。 硬件防火墙的硬件设备是经专业厂商定制的，在定制之初就充分考虑了吞吐量的问题，在这一点上远远胜于软件防火墙。 因为软件防火墙的硬件是用户自己选择的许多状况下都没有考虑吞吐量的问题，况且windows系统本身就很耗费硬件资源，其吞吐量和处理大数据流的实力远不及硬件防火墙，这一点是不言而喻的。 吞吐量太小的话，防火墙就是网络的瓶颈，会带来网络速度慢、上网带宽不够等等问题。 防火墙工作原理上的比较 软件防火墙一般可以是包过滤机制。 包过滤过滤规则简洁，只能检查到第三层网络层，只对源或目的IP做检查，防火墙的实力远不及状态检测防火墙，连最基本的黑客攻击手法IP伪装都无法解决，并且要对所经过的全部数据包做检查，所以速度比较慢。 硬件防火墙主要采纳第四代状态检测机制。 状态检测是在通信发起连接时就检查规则是否允许建立连接，然后在缓存的状态检测表中添加一条记录，以后就不必去检查规则了只要查看状态监测表就OK了，速度上有了很大的提升。 因其工作的层次有了提高，其防黑功能比包过滤强了许多，状态检测防火墙跟踪的不仅是包中包含的信息。 为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出恳求等。 例如，假如传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP 地址的应用程序最近向发出包的源地址恳求视频信号的信息。 假如传入的包是要传给发出恳求的相同系统，防火墙进行匹配，包就可以被允许通过。 硬件防火墙比软件防火墙在实现的机制上有很大的不同，也带来了软硬件防火墙在防黑实力上很大差异。 在对内网的限制方面比较 软件防火墙由于本身的工作原理造成了它不具备内网详细化的限制管理，比如，不能限制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对详细的IP 和MAC 做上网限制等，其主要的功能在于对外。 硬件防火墙在基于状态检测的机制上，平安厂商又可以依据市场的不同需求开发应用层过滤规则，来满意对内网的限制，能够在高层进行过滤，做到了软件防火墙不能做到的许多事。 尤其是ARP病毒，硬件防火墙针对其入侵的原理，都做了相应的策略，彻底解除了ARP病毒的危害。 现在的网络平安(防火墙 )已经不仅仅局限于对外的防止黑客攻击上，更多的企业内部网络常常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。 我们分析其主要的缘由，在于内网用户的运用问题，许多的用户上班时间运用BT下载、阅读一些不正规的网站，这样都会引起内网的诸多问题，比如病毒，许多病毒传播都是运用者不良行为而造成的。 所以说内网用户的限制和管理是特别必要的。 防火墙基础学问 防火墙的分类 防火墙有许多种分类方法:依据采纳的核心技术,根据应用对象的不同,或者根据实现方法的不同。 每种分类方法都各有特点,例如,基于详细实现方法分类,可以分为三种类型: 一、软件防火墙 防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,须要先在计算机上安装并做好配置后方可运用。运用这类防火墙,须要网络管理人员对运用的操作系统平台比较熟识。 二、硬件防火墙 由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采纳通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linu_,FreeBSD和Solaris等经过最小化平安处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能好用,而且稳定性和扩展性较好。但是由于此类防火墙依靠操作系统内核,因此受到操作系统本身平安性的影响,处理速度较慢。 三、专用防火墙 采纳特殊优化设计的硬件体系结构,运用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,速度快、处理实力强、性能高。由于采纳专用操作系统,因而简单配置和管理,本身漏洞也比较少,但是扩展实力有限,价格也较高。由于专用防火墙系列化程度好,用户可以依据应用环境选择合适的产品 防火墙功能 防火墙可以监控进出网络的通信量,从而仅让平安的或者经过审核的网络数据进入内部网络,同时抵制对企业构成威逼的数据。防火墙的作用是防止不希望的、未授权的通信进出被爱护的网络,迫使网络管理员强化网络平安政策。 防火墙能增加机构内部网络的平安性。防火墙系统确定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务及哪些外部服务可以被内部人员访问。防火墙只允许授权的数据通过,同时防火墙本身也必需能够免于渗透。一般来说,防火墙具有以下几种功能: 允许网络管理员定义网络边界来防止非法用户进入内部网络,过滤掉担心全服务和非法用户。防火墙在公司私有网络和分网间建立网络边界,强制全部进出流量都通过这些网络边界,从而在较少的地方来实现平安目的。网络边界的另一个名字叫做检查点。 很便利地监视网络的平安性,并刚好报警。防火墙还能够强制记录日志,并且供应警报功能。通过在防火墙上实现日志服务,平安管理员可以监视全部来自外部网络的流量。优秀的防火墙应当设置合理的平安策略。 可以作为部署NAT(Network Address Translation,网络地址变换)的位置。利用NAT技术可以将有限的外网IP地址与内部IP地址对应起来,有效缓解地址空间短缺的问题。 是审计和记录网络运用费用的合适地点,也可以查出潜在的带宽瓶颈位置。 限定用户访问特别站点。 防止入侵者接近自己的防卫设施。 可以设置某独立网段,并在此部署WWW服务器和厂丁尸服务器,作为向外部发布内部信息的地点,这就是常常提到的停火区(DMZ)。 防火墙局限性 即使拥有最先进的防火墙,假如没有良好的管理,网络也会面临很大的威逼。由于互联网的开放性,即使具有很多防范功能的防火墙也可能无法抵抗网络攻击。简洁而言,防火墙具有如下局限性: 没有经过防火墙的数据,防火墙无法检查。 防火墙不能解决来自内部网络的攻击和平安问题。防火墙可以设计为既防外也防内,但绝大多数公司会因为不便利而不要求防火墙防内。 防火墙不能防止策略配置不当或错误配置引起的平安威逼。防火墙是一个被动的平安策略执行设备,就像门卫一样,只能根据对其配置的规则进行有效的工作,而不能自作主见。 防火墙不能防止可接触的人为或自然的破坏。防火墙是一个平安设备,但防火墙本身必需存放在平安的地方。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,就不能防止利用该协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙无法发觉并阻挡这种攻击。 防火墙不能防止被病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀全部的病毒。 防火墙不能防止数据驱动式的攻击。当表面看来无害的文件被拷贝到内部网的主机上并执行时,可能会发生数据驱动式的攻击。 防火墙不能防止内部的泄密行为。防火墙内部的合法用户主动泄密,防火墙是无能为力的。 防火墙不能防止本身的平安漏洞的威逼。防火墙有时无法爱护自己,目前还没有厂商肯定保证防火墙不会存在平安漏洞。 可以阻断攻击,但不能歼灭攻击源。 不能反抗最新的未设置策略的攻击漏洞。 在某些流量大、并发恳求多的状况下,很简单导致拥塞,成为整个网络的瓶颈。 大多数防火墙无法阻挡针对服务器合法开放端口的攻击。 分布式防火墙体系结构 分布式防火墙负责对网络边界、各子网和网络内部各结点之间的平安防护。分布式防火墙是一个完整的系统,而不是单一的产品。依据其须要完成的功能,分布式防火墙体系结构包含如下部分: 网络防火墙(Network Firewall)这一部分有的公司采纳的是纯软件方式,而有的还可以供应相应的硬件支持。网络防火墙用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,网络防火墙增加了一种针对内部子网之间的平安防护层,这样整个网络的平安防护体系就显得更加全面,更加牢靠。 主机防火墙(Host Firewall)同样也有纯软件和硬件两种,用于爱护网络中的服务器和桌面机。这也是传统边界防火墙所不具有的,算是对传统边界防火墙在平安体系方面的一个完善。该类防火墙作用在同一内部子网之间的工作站与服务器之间,确保内部网络服务器的平安。这样一来,防火墙的作用不仅用于内部网与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。 中心管理(Central Management)这是防火墙服务器管理软件,负责总体平安策略的策划、管理、分发及日志的汇总。这是新的防火墙管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙平安防护的敏捷性,具备了可管理性。 分布式防火墙特点 分布式防火墙的技术具有以下几个主要特点: 采纳主机驻留方式,驻留在被爱护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不行信任的,因此可以针对该主机上运行的详细应用和对外供应的服务设定针对性很强的平安策略。 采纳嵌入操作系统内核,这主要是针对目前的纯软件式分布式防火墙来说的。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为了自身的平安和彻底堵住操作系统的漏洞,主机防火墙的平安监测核心引擎要以嵌入操作系统内核的形态运行,干脆接管网卡,在检查全部数据包之后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为须要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统平安性的制约,存在着明显的平安隐患。 类似于个人防火墙,但分布式防火墙与个人防火墙之间有着本质的差别。首先个人防火墙的平安策略由系统运用者自己设置,全面功能和管理都在本机上实现,其目标是防止主机以外的任何外部用户攻击;而分布式防火墙的平安策略由整个系统管理员统一支配和设置,除了对主机起到爱护作用外,还对该主机的对外访问加以限制,并且这种平安机制是主机运用者不行见和不行改动的。其次,个人防火墙干脆面对个人用户,而分布式防火墙体系中的主机防火墙是面对企业级用户的,与分布式防火墙其他产品共同构成一个企业级应用方案,形成一个平安策略中心进行统一管理,所以在肯定程度上也面对整个网络。 防火墙基础学问讲解 什么是防火墙？ 防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络平安系统，可以将内部网络和外部网络隔离。通常，防火墙可以爱护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的状况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻挡未经授权的流量。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它事实上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问限制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻挡网络中的黑客来访问你的网络。换句话说，假如不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 除了将内部局域网与外部Internet隔离之外，防火墙还可以将局域网中的一般数据和重要数据进行分别，所以也可以避开内部入侵。 防火墙的工作原理 防火墙有硬件防火墙和软件防火墙这两种类型，硬件防火墙允许您通过端口的传输限制协议(TCP)或用户数据报协议(UDP)来定义堵塞规则，例如禁止不必要的端口和IP地址的访问。软件防火墙就像互连内部网络和外部网络的代理服务器，它可以让内部网络不干脆与外部网络进行通信，但是许多企业和数据中心会将这两种类型的防火墙进行组合，主要是因为这样做可以更加有效地提升网络的平安性。 硬件防火墙如何选择 一、网络吞吐量 因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合平安策略的，所以在流量比较高时，要求防火墙能以最快的速度刚好对全部数据包进行检测。否则就可能造成比较长的延时，甚至发生死机。所以网络吞吐量指标特别重要，它体现了防火墙的可用性能，也体现了企业用户运用防火墙产品的延时代价。假如防火墙对网络造成较大的延时，给用户造成较大的损失。 选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然，这个吞吐量也不是越大越好。因为吞吐量越大的话，防火墙的价格也就越高。要依据企业的实际状况，如现在接入互联网的带宽等因素，来选择的合适的带宽。 二、协议的优先级。 现在视频应用在企业中运用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。假如企业带宽跟不上的话，这些应用的质量将会受到很大的影响，如通话的质量可能会时断时续。就似乎手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种状况，但是这不是首选方案。因为增加带宽须要企业花费比较大的投资。故最志向的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 三、具有肯定的扩展性。 企业的网络不行能恒久的一成不变。随着企业规模的扩大，公司内部的网络会不断的升级，以符合企业日益发展的须要。那么如何考虑呢? 一是为了后续扩展的须要，最好能够购买那些模块化设计的防火墙。如此的话，后续增加其他功能的话，只须要购买模块即可。而不须要更换整个硬件防火墙。也就是说选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能型包过滤器，最终到一个独立的应用网关的等等。只有如此，才能轻松面对企业信息化应用的升级。 二是考虑网络接口的问题。通常状况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不行信任的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能须要和公司的主要部分连接，这时可能比外部网络的信任度高，但又略微低于内部网络的信任度。但是随着公司因特网商业需求的困难化，只有两个接口的防火墙明显具有局限性，可能无法满意企业业务方面的需求。如企业可能出于平安的须要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，在防火墙选购时，还须要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第24页 共24页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页第 24 页 共 24 页