《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 安全專家淺談防火墻分類及應(yīng)用
安全專家淺談防火墻分類及應(yīng)用
摘要: 防火墻通常位于一個網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器的位置,它可以保護一個企業(yè)的私有網(wǎng)絡(luò)資源免受外部網(wǎng)絡(luò)的影響,。防火墻在IT安全中扮演著一個中心的角色,它面向外部世界對企業(yè)網(wǎng)絡(luò)起著重要的保護作用。
Abstract:
Key words :

     防火墻通常位于一個網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器的位置,它可以保護一個企業(yè)的私有網(wǎng)絡(luò)資源免受外部網(wǎng)絡(luò)的影響,。防火墻在IT安全中扮演著一個中心的角色,它面向外部世界對企業(yè)網(wǎng)絡(luò)起著重要的保護作用,。

  雖然現(xiàn)在有幾種防火墻,,但這個詞基本上可被定義為存儲在網(wǎng)關(guān)服務(wù)器上的相關(guān)安全程序的組合,這些程序共同地保護網(wǎng)絡(luò)資源免受其它網(wǎng)絡(luò)用戶的訪問或破壞,。

  從其形式上來看,,有兩大種類,一是硬件防火墻,,二是軟件防火墻,。硬件防火墻是一個擁有多個端口的金屬盒子,它是一套預(yù)裝有安全軟件的專用安全設(shè)備,,一般采用專用的操作系統(tǒng),。而軟件防火墻通常可以安裝在通用的網(wǎng)絡(luò)操作系統(tǒng)(如Windows和Linux)上。

  根據(jù)數(shù)據(jù)通信發(fā)生的位置,,可將防火墻分為幾種類型,,一是網(wǎng)絡(luò)層防火墻,它也被稱為數(shù)據(jù)包過濾器,它運行在TCP/IP堆棧結(jié)構(gòu)的第三層,,在數(shù)據(jù)包與所建立的規(guī)則相匹配時才準許其通過,。這意味著防火墻根據(jù)預(yù)先定義的規(guī)則接受或拒絕IP數(shù)據(jù)包。如下圖1所示:
 

        通過數(shù)據(jù)過濾,,這種防火墻仔細檢查每個數(shù)據(jù)包的協(xié)議和地址信息,,卻不考慮其內(nèi)容和上下文數(shù)據(jù)。數(shù)據(jù)包過濾防火墻的主要優(yōu)點是其相對而言的簡單性,、低成本,、易于部署等特性。Windows某些版本中的防火墻就屬于此類型,。

  應(yīng)用層防火墻:它運行在TCP/IP堆棧結(jié)構(gòu)的最高層,,它可以截獲一個應(yīng)用程序的所有數(shù)據(jù)包。大體上,,應(yīng)用層防火墻可以阻止所有外部的惡意通信達到受保護的機器,。通過這種方法,防火墻實際上代表了一個應(yīng)用程序代理,,它支持與遠程系統(tǒng)的所有數(shù)據(jù)交換,。其主要觀念是要使防火墻后的服務(wù)對遠程系統(tǒng)不可見。

  應(yīng)用層防火墻根據(jù)特定的規(guī)則集接受或拒絕數(shù)據(jù)通信,。例如,,防火墻準許某些命令進入服務(wù)器而禁用其它命令,。這種技術(shù)還可以被用于限制特定文件類型的訪問,,并可以對獲得授權(quán)和未獲得授權(quán)的用戶提供不同的訪問級別。那些要求詳細的數(shù)據(jù)監(jiān)視和登錄信息的用戶喜歡應(yīng)用層防火墻,,因為它不會影響性能,。IT管理員可以設(shè)置應(yīng)用層防火墻,在預(yù)先定義的條件發(fā)生后,,它可以激發(fā)警告,。應(yīng)用層網(wǎng)關(guān)一般部署在一個獨立的與網(wǎng)絡(luò)連接的計算機上,通常它稱為一個代理服務(wù)器,。代理服務(wù)器屬于一種特殊的應(yīng)用層防火墻,,它使得從外部網(wǎng)絡(luò)破壞內(nèi)部資源更加困難,使得對一個內(nèi)部系統(tǒng)的濫用或誤用不會被防火墻外部的攻擊者造成安全損害,。

  電路級防火墻:這種防火墻并不是簡單地接受或拒絕數(shù)據(jù)包,,它還可以根據(jù)一套可配置的規(guī)則來決定一個連接是否合法。如果通過檢查,防火墻就打開一個會話,,并準許與經(jīng)過認證的源進行數(shù)據(jù)通信,。防火墻也可以限制這種通信的時間長短。此外,,防火墻還可以執(zhí)行源IP地址和端口,、目標IP地址和端口、使用的協(xié)議,、用戶ID,、口令等的驗證。它也可以執(zhí)行數(shù)據(jù)包過濾,。

  電路防火墻的缺點是其運行在傳輸層上,,因此它可能需要對傳輸功能設(shè)計的重大修改,這就會影響網(wǎng)絡(luò)性能,。此外,,這種防火墻要求一些專業(yè)性強的安裝和維護技術(shù)。

  狀態(tài)檢查多級防火墻:有人稱之為最好的防火墻,,這種防火墻的目的是為了將多種防火墻的最好特性結(jié)合起來,。狀態(tài)檢查多級防火墻可以執(zhí)行網(wǎng)絡(luò)層的數(shù)據(jù)包過濾,同時又可以識別和處理應(yīng)用層的數(shù)據(jù),。這種防火墻可以提供更高級的網(wǎng)絡(luò)保護,,不過其價格也相對較高。

  企業(yè)一般根據(jù)其需要和喜好來選擇防火墻,。通常情況下,,購買防火墻會考慮:防火墻的體系結(jié)構(gòu)、所需要的并發(fā)防火墻會話的數(shù)量,、所需要的外部訪問的范圍和類型,、所需要的VPN協(xié)議的類型和數(shù)量、需要保護的并發(fā)VPN的數(shù)量,、管理用戶接口的種類(屬于命令行接口,、圖形用戶接口還是Web界面),以及對高可用性特性的需要,。

  還要注意,,多數(shù)防火墻廠商都提供了附加功能,這些附加功能可以擴展防火墻的功能,。這種特性有許多,,如反病毒功能、入侵防御,、防火墻的使有和活動報告,。有些防火墻已經(jīng)具備了統(tǒng)一威脅管理(UTM)的特點。考慮到現(xiàn)在的網(wǎng)絡(luò)威脅層出不窮,,企業(yè)最好購買一種可以升級從而增強性能又能適應(yīng)新情況,、具備新性能的防火墻。
 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。