常見的三種防火墻類型，防火墻如何分類

發(fā)布時間：2024-03-01

1，防火墻如何分類2，防火墻包括哪些類型3，防火墻的種類分幾種都有哪些作用4，目前防火墻主要分為哪三種類型5，防火墻的分類1，防火墻如何分類 如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。如果按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。
2，防火墻包括哪些類型 目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。 主要分類如下： 1. 從軟、硬件形式上分為 軟件防火墻和硬件防火墻以及芯片級防火墻。 2.從防火墻技術(shù)分為 “包過濾型”和“應(yīng)用代理型”兩大類。3.從防火墻結(jié)構(gòu)分為 < 單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。 4. 按防火墻的應(yīng)用部署位置分為 邊界防火墻、個人防火墻和混合防火墻三大類。 5. 按防火墻性能分為 百兆級防火墻和千兆級防火墻兩類。1 zonealarm pro 2 outpost firewall pro 3 norton personal firewall 4 norman personal firewall 5 surfsecret personal firewall 6 mcafee personal firewall plus 7 bullguard 8 sygate personal firewall pro 9 injoy firewall 10 blackice pc protection 11 personal firewall pro 12 kaspersky anti-hacker 13 f-secure internet security 14 pc-cillin internet security 15 armor2net 16 tiny firewall 17 privatefirewall 18 freedom firewall lns
3，防火墻的種類分幾種都有哪些作用 防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等三種類型：數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)、代理服務(wù)。第一、數(shù)據(jù)包過濾：數(shù)據(jù)包過濾(packet filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表(access control table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。 數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及ip的端口號都在數(shù)據(jù)包的頭部，很有可能假冒。第二、應(yīng)用級網(wǎng)關(guān) ：應(yīng)用級網(wǎng)關(guān)(application level gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點，就是它們僅僅依*特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實施非法訪問和攻擊。 第三、代理服務(wù) ：代理服務(wù)(proxy service)也稱鏈路級網(wǎng)關(guān)或tcp通道(circuit level gateways or tcp tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的 鏈接，由兩個終止代理服務(wù)器上的 鏈接來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。
4，目前防火墻主要分為哪三種類型 原發(fā)布者:uhpxiowdls本文由caifan21cn貢獻(xiàn)防火墻的三種類型1．　包過濾技術(shù)包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過濾”（static　packet　filtering），使用包過濾技術(shù)的防火墻通常工作在osi模型中的網(wǎng)絡(luò)層（network　layer）上，后來發(fā)展更新的“動態(tài)包過濾”（dynamic　packet　filtering）增加了傳輸層（transport　layer），簡而言之，包過濾技術(shù)工作的地方就是各種基于tcp／ip協(xié)議的數(shù)據(jù)報文進(jìn)出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對象，對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析，并與預(yù)先設(shè)定好的防火墻過濾規(guī)則（filtering　rule）進(jìn)行核對，一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候，這個包就會被丟棄。適當(dāng)?shù)脑O(shè)置過濾規(guī)則可以讓防火墻工作得更安全有效，但是這種技術(shù)只能根據(jù)預(yù)設(shè)的過濾規(guī)則進(jìn)行判斷，一旦出現(xiàn)一個沒有在設(shè)計人員意料之中的有害數(shù)據(jù)包請求，整個防火墻的保護(hù)就相當(dāng)于擺設(shè)了。也許你會想，讓用戶自行添加不行嗎？但是別忘了，我們要為是普通計算機(jī)用戶考慮，并不是所有人都了解網(wǎng)絡(luò)協(xié)議的，如果防火墻工具出現(xiàn)了過濾遺漏問題，他們只能等著被入侵了。一些公司采用定期從網(wǎng)絡(luò)升級過濾規(guī)則的方法，這個創(chuàng)意固然可以方便一部分家庭用戶，但是對相對比較專1、雙宿主機(jī)網(wǎng)關(guān)（dual homed gateway）.這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò).2、屏蔽主機(jī)網(wǎng)關(guān)（screened host gateway）.屏蔽主機(jī)網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為從internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問internet。3、屏蔽子網(wǎng)（screened subnet）.這種方法是在intranet和internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與intranet和internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”,兩個路由器一個控制intranet 數(shù)據(jù)流，另一個控制internet數(shù)據(jù)流，intranet和internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向internet公開的服務(wù)器，像www、ftp、mail等internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價高。防火墻的類型主要包括包過濾防火墻、代理防火墻和雙穴主機(jī)防火墻三種 5，防火墻的分類 防火墻大體分為3類，一類是基于包過濾技術(shù)的防火墻，一種是基于代理技術(shù)的防火墻，一種是基于混合時的防火墻網(wǎng)絡(luò)和個人火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上，企業(yè)對安全系統(tǒng)提出的問題是：所有的ip是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)？如果答案是 “是”，則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。 ----作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 ----根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為三種基本類型：包過濾型、代理型和監(jiān)測型。 ----1．包過濾型 ----包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、 tcp/udp源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包” 是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 ----包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的