防火墙的分类及特点_防火墙的分类

防火墙的分类如果分为软件防火墙和硬件防火墙，可以分为软件防火墙、硬件防火墙和芯片级防火墙。第一种：软件防火墙软件防火墙运行在特定的电脑上，需要客户预装的电脑操作系统的支持。一般来说，这台电脑是整个网络的网关。俗称“个人防火墙”。软件防火墙和其他软件产品一样，需要在电脑上安装配置后才能使用。在防火墙厂商中，Checkpoint是做在线软件防火墙最有名的一家。使用这种防火墙要求网络管理员熟悉他们工作的操作系统平台。第二种：硬件防火墙这里所说的硬件防火墙是指“所谓的硬件防火墙”。之所以加‘所谓’二字，是针对芯片级防火墙的。两者最大的区别在于是否基于专用的硬件平台。目前市面上大部分防火墙都是所谓的硬件防火墙，基于PC架构，也就是和普通家用PC区别不大。在这些基于PC的计算机上运行一些精简的操作系统，最常用的是旧版的Unix、Linux和FreeBSD系统。值得注意的是，由于这种防火墙仍然使用别人的内核，所以仍然会受到OS本身安全性的影响。传统的硬件防火墙一般应该至少有三个端口，分别连接到内网、外网和DMZ区域(非军事区)。现在一些新的硬件防火墙往往会对端口进行扩展，常见的四端口防火墙一般使用第四个端口作为配置端口和管理端口。许多防火墙可以进一步扩展端口的数量。第三种：芯片级防火墙芯片级防火墙基于特殊的硬件平台，没有操作系统。专有的ASIC芯片使它们比其他种类的防火墙更快、更强大、性能更高。这类防火墙最著名的厂商有NetScreen、FortiNet、Cisco等。因为这种防火墙是专用的OS(操作系统)，防火墙本身漏洞较少，但是价格相对较高。虽然防火墙技术很多，但总的来说可以分为“包过滤”和“应用代理”两大类。前者以以色列的Checkpoint防火墙和思科的PIX防火墙为代表，后者以美国NAI的Gauntlet防火墙为代表。(1)包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据包头的源地址、目的地址、端口号和协议类型来决定是否允许通过。只有满足过滤条件的数据包才会被转发到相应的目的地，其余的数据包会从数据流中丢弃。包过滤是一种通用、廉价而有效的安全手段。之所以通用，是因为它没有对每一种特定的网络服务采取特殊的处理方法，适用于所有的网络服务；之所以便宜是因为大部分路由器都提供包过滤功能，所以这些防火墙大部分都是路由器集成的；它之所以有效，是因为它可以在很大程度上满足大多数企业的安全需求。在防火墙技术的发展过程中，出现了两个不同版本的包过滤技术，分别称为“第一代静态包过滤”和“第二代动态包过滤”。第一代静态包过滤防火墙这种防火墙几乎与路由器同时产生。它根据定义的过滤规则检查每个数据包，以确定它是否与特定的数据包过滤规则匹配。过滤规则是根据数据包的报头信息制定的。报头信息包括IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等。)、TCP/UDP目的端口、ICMP报文类型等。第二代动态包过滤型防火墙采用动态设置包过滤规则的方法，避免了静态包过滤的问题。这项技术后来发展成了状态检测技术。

采用这种技术的防火墙跟踪通过它建立的每个连接，并且可以根据需要动态地添加或更新过滤规则中的条目。包过滤的优点是不需要改变客户端和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是显而易见的：过滤判别的依据只是网络层和传输层的有限信息，因此无法完全满足各种安全需求；在很多过滤器中，过滤规则的数量是有限的，随着规则数量的增加，性能会受到很大影响；由于缺乏上下文相关信息，无法有效过滤UDP、RPC等协议；此外，大多数过滤器缺乏审计和报警机制，只能依赖头部信息，而无法验证用户的身份，因此容易受到“地址欺骗”攻击。安全管理人员的素质较高，所以在建立安全规则时，一定要对协议本身及其在不同应用中的作用有更深入的了解。因此，过滤器通常与应用程序网关结合使用，形成防火墙系统。(2)应用代理防火墙工作在OSI的最高层，即应用层。其特点是完全‘阻断’网络通信流量，通过为每个应用服务编写专门的代理程序，实现对应用层通信流量的监控功能。其典型网络结构如图所示。在代理防火墙技术的发展过程中，也经历了两个不同的版本，即第一代应用网关代理防火墙和第二代自适应代理防火墙。第一代应用网关防火墙是一种通过代理技术参与TCP连接全过程的防火墙。从内部发出的数据包经过这样的防火墙处理后，看起来像是源自防火墙的外部网卡，从而达到隐藏内部网络结构的功能。这类防火墙被网络安全专家和媒体公认为最安全的防火墙。其核心技术是代理服务器技术。第二代自适应代理防火墙是近年来广泛使用的一种新型防火墙。它可以将代理防火墙的安全性与包过滤防火墙的高速性结合起来，在不损失安全性的情况下，将代理防火墙的性能提高10倍以上。这种类型的防火墙有两个基本要素：自适应代理服务器和动态包过滤。在自适应代理服务器和动态包过滤之间有一个控制信道。在配置防火墙时，用户只需通过相应代理的管理界面设置所需的服务类型、安全级别等信息。然后，根据用户的配置信息，自适应代理可以决定是使用代理服务来代理来自应用层的请求还是转发来自网络层的数据包。如果是后者，它会动态通知包过滤增加或减少过滤规则，以满足用户对速度和安全的双重要求。代理防火墙最突出的优势是安全性。因为它工作在最高层，所以它可以在网络的任何一层过滤和保护数据通信，而不是像包过滤那样只在网络层过滤数据。另外，代理防火墙是一种代理机制，可以为每个应用服务建立一个专门的代理，所以内外网之间的通信不是直接的，而是需要先经过代理服务器的审计，再由代理服务器连接，这样内外网计算机之间就没有任何直接对话的机会，从而防止入侵者利用数据驱动攻击入侵内网。代理防火墙最大的缺点就是速度比较慢。当用户对内外网网关的吞吐量要求较高时，代理防火墙就会成为内外网之间的瓶颈。

那是因为防火墙需要为不同的网络服务建立专门的代理服务，其自身的代理程序为内外网用户建立连接需要时间，所以给系统带来一些负面影响，但通常并不明显。从防火墙结构来看，有三种防火墙：单主机防火墙、路由器集成防火墙和分布式防火墙。单主机防火墙是最传统的防火墙，它独立于其他网络设备，位于网络边界。其实这个防火墙类似于一个计算机结构(如下图)，它还包括CPU、内存、硬盘等基本部件。当然主板是不可或缺的，主板上也有南桥和北桥芯片。它和一般电脑的主要区别在于，一般的防火墙集成了两个以上的以太网卡，因为它需要连接一个以上的内外网。硬盘用于存储防火墙使用的基本程序，如包过滤、代理服务器程序等，有些防火墙还会在这个硬盘上记录日志记录。即便如此，也不能说它就像我们普通的PC一样，因为它的工作性质决定了它应该具有非常高的稳定性、实用性和非常高的系统吞吐性能。正因为如此，看似和PC差不多的配置，价格却相差甚远。根据防火墙的部署位置，可以分为三类：边界防火墙、个人防火墙和混合防火墙。边界防火墙是最传统的防火墙。它们隔离内部和外部网络，并在边界保护内部网络。这种防火墙一般都是硬件型的，价格更贵，性能更好。个人防火墙安装在单个主机中，并且它只保护单个主机。这种防火墙应用于广大的个人用户，通常是软件防火墙，最便宜，性能最差。混合防火墙可以说是“分布式防火墙”，也可以说是“嵌入式防火墙”。它是一套完整的防火墙系统，由若干软硬件组件组成，分布在内外网络边界和内部主机之间。它不仅过滤内部和外部网络之间的通信，还过滤网络内主机之间的通信。属于最新的防火墙技术之一，性能最好，价格最贵。根据防火墙的性能，分为百兆防火墙和千兆防火墙两大类。因为防火墙通常位于网络的边界，不可能只是十兆。这主要是指防火的通道带宽，或者说吞吐量。当然，信道带宽越宽，性能越高，包过滤或应用代理带来的延迟越小，对全网通信性能的影响也就越小。

标签：防火墙代理网络

防火墙