防火墙种类

时间:2024-06-29 03:34:32编辑:分享君

按照实现技术分类,防火墙分为几类?各有什么特点?

是不是要些论文交作业啊! 呵呵
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。

包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。

代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且代理服务器提供日志(Log)和审计(Audit)服务。

复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机(Bastion Host)提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙(Dua1-Homed Host Firewall),它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙( Screened Host Firewall)是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器(Encryptinn Router),加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

各类防火墙的基本功能、作用与不足

典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或代理服务器)以及链路层网关。

1、包过滤路由器

包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。

与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP�UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。

独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击(包中包含一个错误的内部系统源IP地址,经掩饰后变成一个似乎来自于一个可以信任的内部主机,此时的过滤规则为:当一个具有内部源IP地址的包到达路由器的任意一个外部接口时,将此包丢弃。)、源路由攻击、细小碎片攻击(入侵者使用IP分裂技术将包划分成很小的一些碎片,然后将TCP头的信息插入包的一个小碎片中,寄希望过滤规则为丢弃协议类型为TCP而IP帧偏移量为1的所有包)等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。

包过滤路由器的优点,大多数防火墙配置成无状态的包过滤路由器,因而实现包过滤几乎没有任何耗费。另外,它对用户和应用来说是透明的,每台主机无需安装特定的软件,使用起来比较方便。

包过滤路由器的局限性在于定义包过滤是个复杂的工作,网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解:面对复杂的过滤需求,过滤规则将是一个冗长而复杂、不易理解和管理的集合,同样也很难测试规则的正确性;任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击;随着过滤数目的增加,将降低路由器包的吞吐量,同时耗费更多CPU的时间而影响系统的性能;再者IP包过滤难以进行行之有效的流量控制,因为它可以许可或拒绝一个特定的服务,但无法理解一个特定服务的内容或数据。

3、应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码(一个代理服务),同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关(bastion host)。

应用层网关安全性的提高是以购买同关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。

应用层网关的好处,在于它授予网络管理员对每一个服务的完全控制权,由代理服务限制了命令集合和哪一台内部主机支持相应的服务。同时,网络管理员对支持哪些服务可以完全控制。另外,应用层网关支持强的用户认证、提供详细的日志信息、以及较包过滤路由器更易于配置和测试的过滤规则。

当然,应用层网关的最大的局限性在于它需要用户或者改变其性能,或者在需要访问代理服务的系统上安装特殊的软件。

3、链路层网关

链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。


防火墙分为哪两种类型?比较它们在维护网络安全方面的优缺点

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。

  2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。

  3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

  4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

其实目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下:
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。


防火墙有什么作用?包括哪几种类型?

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙包括网络层防火墙、应用层防火墙、数据库防火墙


防火墙的种类分几种?都有哪些作用?

随着网络的高速发整,现在使用防火墙的企业越来越多,产品也越来越多,但可能很多人还不了解防火墙,到底能干什么。下面我就简单的说说软件防火墙到底能干些什么吧。 什么是软件防火墙?
顾名思义,软件防火墙就是像office等,是一个安装在PC上(当然,这里是指可以在PC上安装,但具体使用的时候最好用服务器),的一个软件,而且一般的防火墙都带了gateway功能。
一般需要使用防火墙的网络拓扑图:
<IMGSRC=" http://edu.chinaz.com/Files/BeyondPic/net_topo.gif"border=0
交换机�8�1企业内网。
一般的企业网络结构图就是,路由器-防火墙
交换机�8�1DMZ区。
OK,这样一个大致的企业网络拓扑图就出来了。乍一看防火墙在这里就起到了路由的作用。其实也是,防火墙,在没有定致规则以前,也就是一个路由。 防火墙的作用:
有些人可能会问到以前一些问题
软件防火墙能防黑客吗?能,前提是,你必须及时的升级,及定制正确的策略。
软件防火墙能防DOS攻击吗?能,绝对可以,现在DOS攻击已经不再可怕。
软件防火墙能防DDOS攻击吗?也许可能。看攻击量是否很大,结合你的代宽。
软件防火墙能防反射性DDOS攻击吗?不能。所谓的反射性DDOS攻击,所攻击的对象不是防火墙,而是你的带宽,你将面临的是几千、几万甚至更多的服务器,来对你一条10M、100M或者1000M的带宽来进行攻击,在理论上,任何防火墙都无法做到完全防止这种攻击,至于在使用IPv4的时候,软件防火墙还做不到。除非你不用TCP/IP协议。 那么说到底,防火墙到底能做些什么呢?在这里就说一下比较常用的(结合上图)。
�8�5内网对外网:
一般而言,一个企业都会对用户访问外网做限制。如:是否允许使用HTTP、FTP、TELNET,都可以在防火墙中策略、规则。
�8�5外网对内网:
跟上面相反,内网的资源是否允许外网进来防问。一般而言是禁止的,即使要限问的话,一般也用到VPN(详见下篇文章)。只要这样才能最大可能的保证内网的安全。
�8�5内网与DMZ:
内网与DMZ都是属于防火保护区。一般而言都是允许内网对DMZ区进行访问,但不允许DMZ区对内网访问。
�8�5DMZ与外网:
DMZ区的服务器一般都是以NAT到Internet。可以理解成路由器的端口映射。
�8�5DMZ区的保护:
对从Internet来访问DMZ数据做的一些限制,如:web服务器只许访问web资源、mail服务器只允许防问mail资源等。
一般而言,这是防火墙建立起来后常常要做的一些规则、策略。并不是说防火墙只能做到这些。当然,还有VPN等防火墙与防火墙的会话等都是可以做限制的。 说到这就顺便说说软件防火墙与硬件防火墙的区别吧。
其实说到底,软件防火墙与硬件防火墙是没有区别的,几乎硬件防火墙有的功能他都有了。不同点在于,软件防火墙是基于操作系统的如:2000/linux/Sun等。而硬件防火墙呢,是基于硬件的(当然它也带有系统,但并不是像2000/Linux/Sun这类的)。一个简单的例子。相信大家都知道刻录机吧,它就分为内置和外置的。系统配置可以直接影响到刻盘的的效果,比如内置刻录机在刻盘的时候,你在玩游戏(星际、雷神等)的时候,可能刻出的光盘会有很多你意想不到的问题。而外置的刻录机,一般都是带有缓存的,就是说,你可以把他看作是一个独立的系统,他的工作是在操作系统之外的,但是必须有操作系统支配。而软件防火墙也一样,服务器的性能也可以直接影响到他的性能,比如在装有防火墙的机器上上网、玩游戏等都是可能给防火墙带来负面的影响。


防火墙技术有哪些?

从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。2、应用级网关应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 3、电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关代理服务器功能,代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,成功地实现了防火墙内外计算机系统的隔离。4、规则检查防火墙该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包,也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据。扩展资料应用防火墙技术考虑以下方面:1、防火墙是不能防病毒的。2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。防火墙是企业网安全问题的常用方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。参考资料来源:百度百科—防水墙技术

防火墙包括哪些类型?

目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下:
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。


防火墙技术的基本分类有哪些

目前防火墙产品非常之多,划分的标准也比较杂。
主要分类如下:
1.
从软、硬件形式上分为
软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为
“包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为
<
单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4.
按防火墙的应用部署位置分为
边界防火墙、个人防火墙和混合防火墙三大类。
5.
按防火墙性能分为
百兆级防火墙和千兆级防火墙两类。


防火墙的主要功能和几种类型?

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。主要功能:1、入侵检测功能网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。 2、网络地址转换功能利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。 3、网络操作的审计监控功能通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。 4、强化网络安全服务防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。类型1、过滤型防火墙过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。 2、应用代理类型防火墙应用代理防火墙主要的工作范围就是在OIS的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。 3、复合型目前应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,譬如发过来的安全策略是包过滤策略,那么可以针对报文的报头部分进行访问控制。如果安全策略是代理策略,就可以针对报文的内容数据进行访问控制,因此复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。扩展资料具体应用1、内网中的防火墙技术防火墙在内网中的设定位置是比较固定的,一般将其设置在服务器的入口处,通过对外部的访问者进行控制,从而达到保护内部网络的作用,而处于内部网络的用户,可以根据自己的需求明确权限规划,使用户可以访问规划内的路径。总的来说,内网中的防火墙主要起到以下两个作用:一是认证应用,内网中的多项行为具有远程的特点,只有在约束的情况下,通过相关认证才能进行;二是记录访问记录,避免自身的攻击,形成安全策略。 2、外网中的防火墙技术应用于外网中的防火墙,主要发挥其防范作用,外网在防火墙授权的情况下,才可以进入内网。针对外网布设防火墙时,必须保障全面性,促使外网的所有网络活动均可在防火墙的监视下,如果外网出现非法入侵,防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下,内网对于外网而言,处于完全封闭的状态,外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径,所以防火墙能够详细记录外网活动,汇总成日志,防火墙通过分析日常日志,判断外网行为是否具有攻击特性。参考资料来源:百度百科-防火墙

防火墙的主要功能和几种类型

防火墙的主要功能:

1.过滤掉不安全的服务和非法用户;

2.防止入侵者进入内部网络;

3.限定对特殊站点的访问;



4.监视局域网的安全。

防火墙类型:

1.从软、硬件形式上分为 :软件防火墙、硬件防火墙、芯片级防火墙;

2.从防火墙技术分为 :“包过滤型”、“应用代理型”;

3.从防火墙结构分为 :单一主机防火墙、路由器集成式、防火墙分布式;

4.按防火墙的应用部署位置分为 :边界防火墙、个人防火墙、混合防火墙;

5.按防火墙性能分为: 百兆级防火墙、千兆级防火墙。


上一篇:联想柳传志

下一篇:首个活体机器人