所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，下面就讓小編帶你去看看防火墻基礎知識大全科普，希望對你有所幫助吧

防火墻有哪些分類?不同防火墻有什么特點?

正規(guī)的數據中心中，防火墻是必不可少的，要了解防火墻我們先要知道什么是防火墻，以及它的工作原理。

什么是防火墻?

防火墻是監(jiān)視網絡流量的安全設備。它通過根據一組既定規(guī)則過濾傳入和傳出的流量來保護內部網絡。設置防火墻是在系統和惡意攻擊之間添加安全層的最簡單方法。

防火墻如何工作?

防火墻放置在系統的硬件或軟件級別，以保護其免受惡意流量的攻擊。根據設置，它可以保護單臺計算機或整個計算機網絡。設備根據預定義規(guī)則檢查傳入和傳出流量。

通過從發(fā)送方請求數據并將其傳輸到接收方來進行Internet上的通信。由于無法整體發(fā)送數據，因此將其分解為組成初始傳輸實體的可管理數據包。防火墻的作用是檢查往返主機的數據包。

不同類型的防火墻具有不同的功能，我們專注于服務器租用/托管14年，接下來網盾小編來談談防火墻有哪些分類以及他們有哪些特點。

軟件防火墻

軟件防火墻是寄生于操作平臺上的，軟件防火墻是通過軟件去實現隔離內部網與外部網之間的一種保護屏障。由于它連接到特定設備，因此必須利用其資源來工作。所以，它不可避免地要耗盡系統的某些RAM和CPU。并且如果有多個設備，則需要在每個設備上安裝軟件。

由于它需要與主機兼容，因此需要對每個主機進行單獨的配置。主要缺點是需要花費大量時間和知識在每個設備管理和管理防火墻。另一方面，軟件防火墻的優(yōu)勢在于，它們可以在過濾傳入和傳出流量的同時區(qū)分程序。因此，他們可以拒絕訪問一個程序，同時允許訪問另一個程序。

硬件防火墻

顧名思義，硬件防火墻是安全設備，代表放置在內部和外部網絡(Internet)之間的單獨硬件。此類型也稱為設備防火墻。

與軟件防火墻不同，硬件防火墻具有其資源，并且不會占用主機設備的任何CPU或RAM。它是一種物理設備，充當用于進出內部網絡的流量的網關。

擁有在同一網絡中運行多臺計算機的中型和大型組織都使用它們。在這種情況下，使用硬件防火墻比在每個設備上安裝單獨的軟件更為實際。配置和管理硬件防火墻需要知識和技能，因此請確保有一支熟練的團隊來承擔這一責任。

包過濾防火墻

根據防火墻的操作方法來劃分防火墻的類型時，最基本的類型是數據包篩選防火墻。它用作連接到路由器或交換機的內聯安全檢查點。顧名思義，它通過根據傳入數據包攜帶的信息過濾來監(jiān)控網絡流量。

如上所述，每個數據包包括一個報頭和它發(fā)送的數據。此類防火墻根據標頭信息來決定是允許還是拒絕訪問數據包。為此，它將檢查協議，源IP地址，目標IP，源端口和目標端口。根據數字與訪問控制列表的匹配方式(定義所需/不需要的流量的規(guī)則)，數據包將繼續(xù)傳遞或丟棄。

防火墻技術透析

一、Internet 常見的安全威脅分類

隨著網絡技術的普及，網絡攻擊行為出現的越來越頻繁。通過各種攻擊軟件，只要具有一般計算機知識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫，也加劇了網絡被攻擊的危險。目前，Internet網絡上常見的安全威脅分為一下幾類。

1、非法使用：資源被未授權的用戶(也可以稱為非法用戶)或以未授權方式(非法權限)使用。例如：攻擊者通過猜測帳戶和密碼的組合，從而進入計算機系統以非法使用資源。

2、拒絕服務：服務器拒絕合法永福正常訪問信息或資源的請求。例如，攻擊者短時間內使用大量數據包或畸形報文向服務器發(fā)起連接或請求回應，致使服務器負荷過重而不能處理合法任務

3、信息盜竊：攻擊者不直接入侵目標系統，而是通過竊聽網絡來獲取重要數據或信息。

4、數據篡改：攻擊者對系統數據或消息流進行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數據的一致性被破壞。

因此：

網絡安全是Internet必須面對的一個實際問題

網絡安全是一個綜合性的技術

網絡安全具有兩層含義：

保證內部局域網的安全(不被非法侵入)

保護和外部進行數據交換的安全

網絡安全技術需要不斷地完善和更新

二、網絡安全關注點

作為負責網絡安全的管理人員主要關注(并不局限于)以下8個方面：

保護網絡物理線路不會輕易遭受攻擊

有效識別合法的和非法的用戶(AAA)

實現有效的訪問控制(ACL)

保證內部網絡的隱蔽性(NAT)

有效的防偽手段，重要的數據重點保護(v_n)

對網絡設備、網絡拓撲的安全管理(防火墻集中管理)

病毒防范(蠕蟲病毒智能防范)

提高安全防范意識

三、防火墻的必備技術

針對網絡存在的各種安全隱患，防火墻必須具有如下安全特性：

1、網絡隔離及訪問控制：能夠有效防止對外公開的服務器被黑客用于控制內網的一個跳板。

2、攻擊防范：能夠保護網絡免受黑客對服務器、內部網絡的攻擊。

3、地址轉換：在解決網絡地址不足的前提下實現對外的網絡訪問，同時能夠實現對外隱藏內部網絡地址和專用服務器。

4、應用層狀態(tài)監(jiān)測：可以實現單向訪問。

5、身份認證：可以確保資源不會被未授權的用戶(也可以稱為非法用戶)或以授權方式(非法權限)使用。例如，攻擊者通過猜測帳號和密碼的組合，進入計算機系統非法使用資源的行為。

6、內容過濾：能夠過濾掉內部網絡對非法網站/色情網站的訪問，以及阻止通過郵件發(fā)送機密文件所造成的泄密行為。

7、安全管理：主要指日志審計和防火墻的集中管理。

四、網絡隔離與訪問控制

防火墻的主要作用是實現網絡隔離和訪問控制。

防火墻從安全管理的角度出發(fā)，一般將設備本身劃分為不同的安全區(qū)域，通過將端口和網絡設備接到不同的區(qū)域里，從而達到網絡隔離的目的：

1、不受信區(qū)域：一般指的是Internet，主要攻擊都來自于這個區(qū)域。

2、受信區(qū)域：一般指的是內網區(qū)域，這個區(qū)域是可控的。

3、DMZ區(qū)域：放置公共服務器的區(qū)域，一般情況下，這個區(qū)域接受外部的訪問，但不會主動去訪問外部資源。

防火墻通常使用ACL訪問控制列表、ASPF應用層狀態(tài)檢測包過濾的方法來實現訪問控制的目的。

圖1-1通過一個實際網絡典型案例表示了局域網通過防火墻與互聯網的連接，電子郵件服務器接在DMZ區(qū)域接受內外部的訪問。圖中用語言描述了防火墻所實現的網絡隔離和訪問控制的功能。

五、攻擊防范

防火墻主要關注邊界安全，因此一般防火墻提供比較豐富的安全攻擊防范的特性：

1、DOS拒絕服務攻擊防范功能

包括對諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務攻擊方式進行檢測，丟棄攻擊報文，保護網絡內部的主機不受侵害。

2、防止常見網絡層攻擊行為

防火墻一般應該支持對IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見的網絡攻擊行為，主動發(fā)現丟棄報文。

WinNuke也稱為“藍色炸彈”,它是導致你所與之交流用戶的 Windows 操作系統突然的崩潰或終止。“藍色炸彈”實際上是一個帶外傳輸網絡數據包,其中包括操作系統無法處理的信息;這樣便會導致操作系統提前崩潰或終止。

land 攻擊是一種使用相同的源和目的主機和端口發(fā)送數據包到某臺機器的攻擊。結果通常使存在漏洞的機器崩潰。

Tear drop類的攻擊利用UDP包重組時重疊偏移(假設數據包中第二片IP包的偏移量小于第一片結束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現象。)的漏洞對系統主機發(fā)動拒絕服務攻擊,最終導致主機菪掉。

3、針對畸形報文的防范

通過一些畸形報文，如果超大的ICMP報文，非法的分片報文，TCP標志混亂的報文等，可能會造成比較驗證的危害，防火墻應該可以識別出這些報文。

4、針對ICMP重定向、不可達等具有安全隱患的報文應該具有過濾、關閉的能力。

六、地址轉換(NAT)

1、地址轉換是在IP地址日益短缺的情況下提出的。

2、一個局域網內部有很多臺主機，可是不能保證每臺主機都擁有合法的IP地址，為了到達所有的內部主機都可以連接Internet網絡的目的，可以使用地址轉換。

3、地址轉換技術可以有效的隱藏內部局域網中的主機，因此同時是一種有效的網絡安全保護技術。

4、地址轉換可以按照用戶的需要，在內部局域網內部提供給外部FTP、WWW、Telnet服務。

防火墻同路由器一樣，必須具備NAT地址轉換功能，因此在NAT的細節(jié)上必須具備：

支持NAT/PAT，支持地址池;

支持策略NAT，根據不同的策略進行不同的NAT;

支持NAT server 模式，可以向外映射內部服務器;

提供端口級別的NAT server 模式，可以將服務器的端口映射為外部的一個端口，不開放服務器的所有端口，增加服務器的安全性。

支持多種ALG： 包括H323/MGCP/SIP/H248/RTSP/HWCC，還支持ICMP、FTP、DNS、PPTP、NBT、ILS等協議。

七、應用層狀態(tài)檢測包過濾(ASPF)

aspf(application specific packet filter)是針對應用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協同工作，以便于實施內部網絡的安全策略。

aspf能夠檢測試圖通過防火墻的應用層協議會話信息，阻止不符合規(guī)則的數據報文穿過。

為保護網絡安全，基于acl規(guī)則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。aspf能夠檢測應用層協議的信息，并對應用的流量進行監(jiān)控。

防火墻，怎么選?

防火墻在保護網絡和數據免受內部和外部威脅，發(fā)揮著至關重要的作用。防火墻是將網絡與互聯網分開的虛擬墻?？蛇^濾流量，限制對內部網絡的訪問，以及阻止拒絕服務(DoS)等威脅。如果沒有部署有效的防火墻，網絡可能容易遭遇數據泄露事故以及其他惡意威脅，最終可能導致企業(yè)面臨巨額損失，甚至失去客戶。

因此，在選購防火墻時，必須做足功課。在選擇防火墻時，應該考慮以下問題，從而選出最符合需求的網絡安全解決方案。

它是否提供DoS/DDoS保護?

選擇具有DDoS檢測和緩解功能的防火墻很重要，防火墻可幫助在最基本層面識別及阻止DDoS攻擊。如果結合防火墻與其他服務(例如入侵檢測系統)，就會得到一個更先進的解決方案。

防火墻是否會發(fā)送攻擊警報?

雖然您依靠防火墻來阻止攻擊，但同樣重要的是，它們可幫助您了解攻擊何時發(fā)生或者正在進行的攻擊。所以，您應該考慮可在發(fā)生重大攻擊時向管理員發(fā)送警報的防火墻。

警報可作為提醒，讓管理員去檢查防火墻和路由器日志，這可幫助確定攻擊的方法。在利用這些知識以及防火墻的幫助下，您可在攻擊造成停機以及損失之前快速緩解攻擊。

您需要為關鍵服務設置備用端口嗎?

攻擊者可利用端口來傳播惡意軟件，考慮到大部分服務都有標準端口，這是一個很大的問題。如果您有特別想要保護的關鍵服務，您可以為這些服務使用備用端口，也被稱為偽裝端口。

您需要遠程訪問嗎?

最近遠程工作非常流行，特別是在IT部門。然而，允許員工遠程訪問公司的網絡帶來安全風險。這也是為什么需要使用虛擬專用網絡(v_n)等解決方案的原因。防火墻可結合v_n處理很多日常工作，例如授權和支持。

雖然您可以購買輔助系統或者v_n解決方案，但整合v_n的硬件防火墻解決方案可能更具成本效益。

供應商的客戶支持是否強大?

對于防火墻，供應商提供的支持也非常重要。不正確的防火墻配置和設置可能會導致嚴重的問題，如果您對防火墻有疑問或者對某些功能不確定，您需要能夠快速與供應商聯系。強大的供應商應該提供必要的支持和資源，以確保網絡安全。

艾塔(艾塔品牌服務網站)作為浙江聯泰信息系統有限公司旗下服務品牌，依托強大的技術專家團隊，和個性化專屬定制服務，結合企業(yè)具體需求，制定切實可行的IT服務解決方案，我們將本著責任、專業(yè)、貼心的服務宗旨，為企業(yè)用戶提供全方位的IT服務。

防火墻基礎知識大全科普相關文章：

★ 防火墻的基礎知識科普有哪些