常见的防火墙技术介绍
详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt280
防火墙是一个系统或一组系统,它在内网与Internet间执行一定的安全策略。典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或代理服务器)以及链路层网关。
防火墙的功能大体为以下五个方面:
1、通过防火墙可以定义一个关键点以防止外来入侵
2、监控网络的安全并在异常情况下给出报警提示
3、提供网络地址转换功能
4、防火墙可查询或登记Internet的使用情况
5、防火墙是为客户提供服务的理想位置,即在其上可以配置相应的服务,使Internet用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
2.2.1 传统的边界防火墙
1、过滤式防火墙
包过滤是第一代防火墙技术,它主要包含了前面提到的包过滤路由器。这是一种通用、廉价、有效的安全手段。它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则丢弃。
它的优点很明显:
Ø 它工作在网络层,所以效率高速度也很快而且它不用改动客户机和主机上的应用程序。
Ø 大多数防火墙配置成无状态的包过滤路由器,因而实现包过滤几乎没有任何耗费。
Ø 另外,它对用户和应用来说是透明的,每台主机无需安装特定的软件,使用起来比较方便。
不过它的缺点也很明显:
Ø 在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,将降低路由器包的吞吐量,同时耗费更多CPU的时间而影响系统的性能
Ø 大多数过滤器中缺少审计和报警机制
Ø 不能在用户级别上进行过滤
Ø 任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击
Ø 再者IP包过滤难以进行行之有效的流量控制,因为它可以许可或拒绝一个特定的服务,但无法理解一个特定服务的内容或数据。
2、代理服务器型防火墙
代理服务器型防火墙通常也称为应用代理型防火墙,他主要包含前面提到的应用层网关。这种防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且代理服务器提供日志和审计服务。
它的优点在于:
Ø 代理易于配置
Ø 代理能生成各项记录,便于观察用户的使用情况
Ø 代理能灵活、完全地控制进出的流量和内容
Ø 代理能过滤数据内容
Ø 代理能为用户提供透明的加密机制
Ø 代理可以方便地与其他安全手段集成
Ø 当然,它最大的优点在于网络管理员对每一个服务的完全控制权
它的缺点在于
Ø 代理速度较路由器慢
Ø 代理对用户不透明
Ø 对于每项服务代理可能要求不同的服务器,当然也可以把所有代理集中于一个服务器,但是那样对代理效率影响比较大
Ø 代理服务不能保证你免受所有协议弱点的限制
Ø 代理不能改进底层协议的安全性
2.2.2 主机防火墙
主机防火墙是部署在单个主机上的,它结合一些基于应用的安全检查,它能明显地降低内网攻击的危害。基于网络的IDS监听整个内网上的网络通信,发现攻击行为并报警,能有效地威慑试图在内网中发动攻击的黑客。但是,它们的缺点也很明显。企业内部通常有十几台甚至上百台的计算机,为每一台主机部署主机防火墙,是一件十分吃力的工作。当安全策略需要升级或变更时,控制维护和管理成本将成为很棘手的问题。而基于网络的IDS的缺陷在于它面对高速大流量的网络时,丢包漏报的问题比较突出,且由于它多采用全网监听的工作模式,在交换式网络环境中部署和应用都受到很大限制。
2.2.3 分布式防火墙
分布式防火墙是目前防火墙发展的一个热点,它是针对边界防火墙存在的缺陷来提出的。
分布式防火墙的部署大多数下图所示:
分布式防火墙有狭义和广义之分。堵住内网漏洞是分布式防火墙的专长。
1、广义分布式防火墙
广义分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三部分。
Ø 网络防火墙部署于内部网与外部网之间以及内网子网之间。网络防火墙区别于边界防火墙的特征在于,网络防火墙需支持内部网可能有的IP和非IP协议,而边界防火墙并不需要。
Ø 主机防火墙对网络中的服务器和桌面系统进行防护,主机的物理位置可能在企业网中,也可能在企业网外。
Ø 由于边界防火墙只是网络中的单一设备,对其进行的管理也只能是局部管理。对于广义分布式防火墙来说,每个防火墙作为安全监测机制的组成部分,必须根据不同的安全要求被布置在网络中任何需要的位置上。对广义分布防火墙的管理必须是统一进行的,中心管理是分布式防火墙系统的核心和重要特征之一。安全策略的分发及日志的汇总都是中心管理具备的功能。
2、狭义分布式防火墙
狭义分布式防火墙是指驻留在网络主机(如服务器或桌面机)并对主机系统提供安全防护的软件产品,驻留主机是这类防火墙的重要特征。这类防火墙将该驻留主机以外的其他网络都认作是不可信任的,并对驻留主机运行的应用和对外提供的服务设定针对性很强的安全策略。采用嵌入操作系统内核是狭义防火墙的另一特点。操作系统自身存在许多安全漏洞,使运行其上的应用软件受到威胁,防火墙软件也不能幸免。为彻底堵住操作系统漏洞,狭义防火墙的安全监测核心引擎必须嵌入操作系统内核,直接接管网卡,对所有数据包进行检查后再提交给操作系统。要想实现这种运行机制,防火墙厂商必须要与操作系统厂商进行技术合作。不能实现嵌入式运行模式的狭义防火墙由于受到操作系统安全机制的制约,存在明显的安全隐患。
转载于:https://www.cnblogs.com/grefr/p/6089091.html
常见的防火墙技术介绍相关推荐
- linux下图片加密原理,Linux中常见的加密技术介绍
常见的加密技术: 对称加密:非对称加密:单向加密:SSL/TLS:秘钥交换 1.对称加密 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密 ...
- Cisco 防火墙 技术介绍
我们知道防火墙有四种类型:集成防火墙功能的路由器,集成防火墙功能的代理服务器,专用的软件防火墙和专用的软硬件结合的防火墙.Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种,即:集成防火墙功 ...
- Centri防火墙(技术介绍)
主要特性: l 核心代理体系结构 l 针对Windows NT定制TCP/IP栈 l 图形用户结构可制订安全政策 l 可将安全政策拖放到网络.网络组.用户和用户组 l ActiveX.Java小应用程 ...
- 网络存储技术介绍(1) ( based on zt)
最近由于某同学微信发了一些网络存储的文章,开始感兴趣,稍微收集了一些 一. 网络存储技术 http://ask.zol.com.cn/q/187044.html (yxr:很老的技术介绍吧) 网络 ...
- 大数据技术介绍:01大数据概述
大数据技术介绍:01大数据概述 大数据技术框架: Hadoop生态系统(1) Hadoop生态系统(2) Hadoop构成:Flume(非结构化数据收集): Cloudera开源的日志收集系统 用于非 ...
- 微软网络访问保护 (NAP) 技术介绍
本专栏中有关 Windows Server"Longhorn"的预发布信息可能会有所变动. 目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备.任何组织,不论其 ...
- rp:防火墙技术原理
防火墙技术原理 2018年10月16日 11:37:27 石硕页 阅读数 1933 文章标签: 防火墙 更多 分类专栏: 其他 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议, ...
- 线上分享会预告之三维模型检索技术介绍
大家好.本周公众号将迎来第一位线上直播分享会,此次分享是一次接力,我们希望更多的加入我们一起分享.这里先预告一下,线上直播的时间在本周三晚上19::00,大家多多关注. 本周线上分享会预告 主讲题目: ...
- 《CCNP安全防火墙642-618认证考试指南》——1.4节防火墙技术
本节书摘来自异步社区<CCNP安全防火墙642-618认证考试指南>一书中的第1章,第1.4节防火墙技术,作者[美]David Hucaby , Dave Garneau , Anthon ...
- 网易视频云分享:流媒体技术介绍(上篇)
网易视频云分享:流媒体技术介绍(上篇) 网易视频云2016-04-14 11:49:49 创业 媒体 技术 阅读(949)评论(0) 声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代 ...
最新文章
- 写论文神器APEX-NET:自动重新绘制图像
- 瞎聊Spring Cloud
- 每日一皮:妹子们写的代码,Bug为什么这么多?
- 【小白学习C++ 教程】十八、C++ 中文件处理
- python有没有帮助_没想到,python给我的帮助竟然这么大
- 20170102-文件处理
- java 协议处理器_协议处理器urlstreamhandler及contenthandler
- 贵广网络跨界转型 实现智慧城市的平台创新
- 加强计算机网络应用,如何加强计算机网络管理技术创新应用
- Netty 编解码器和 Handler 调用机制
- TensorFlow2.0:单层感知机梯度计算
- 1.封包(二)(雷电模拟器+ProxyDroid+CCProxy+WPE) 的使用
- 什么是DNS?为什么选择UDP?详细的DNS解析过程?
- Java实现人脸识别登录、注册等功能
- 关于导入百度导航SDK报错以及解决方案
- python list diff_PythonList交集,并集,差集的应用
- 网络爬虫判断页面是否更新
- 简单易懂的颜色透明度计算
- 服务器的虚拟机网速如何分配,管理ESXi主机网络与虚拟机网络
- 怎么查自己电脑ip地址