文章插图
## 1.3、并不是任何场合都适合部署防火墙谁都知道安全性和方便性有时候会有那么一些冲突 。你去坐飞机,会经过非常严格的安检,没个十几二十分钟完成不了;但是在坐高铁,火车或者大巴的时候,安检可能就没那么严格了 。防火墙作为一种网络安全设备,部署在网络中会对穿过防火墙的数据包进行拦截,然后确定它符合策略要求以后才会放行 。这会对网络传输效率造成一定影响 。所以在一些十几个人的小公司或者是网络功能单一的环境(网络就是用来上网用的)是不会使用防火墙的 。加上企业级防火墙价格一般比较高(十几万到一百多万不等的价格),在那些以节约成本为先的偏小型私人企业一般不会使用防火墙 。所以防火墙一般用于数据中心,大型企业总部,国有企业省级、地区级办公机构,带有服务器区域的网络环境或机密性较高的单位 。二、防火墙的生厂商根据防火墙的部署方式,防火墙分为硬件防火墙和软件防火墙两种 。硬件防火墙:防火墙是一台网络设备,独立上架安装使用 。下图为大家展示了思科的硬件防火墙,Cisco ASA和Cisco Firepower
文章插图
软件防火墙:用一台多网卡服务器,安装windows或linux操作系统,再在操作系统上安装与防火墙相关的功能软件 。下图为大家展示Microsoft ISA正在发布Exchange服务器
文章插图
硬件防火墙的生产商很多,但是在国内大多数都是用以下几种产品:
文章插图
捷哥列出这些生产商也只是其中一部分,上述厂商的防火墙捷哥都接触过,但是经常遇到的还是Cisco ASA,Juniper SRX,华为USG,天融信NGFW,迪普DPTec-FW1000这些设备 。这里捷哥本人也不敢乱说谁好谁坏吧,只是经过一段时间的观察,发现了这样一个小小规律:一般来说Cisco ASA和Juniper SRX,华为USG,H3C FW,迪普FW系列用作内网防火墙较多,而天融信和深信服系列更多用于互联网出口 。软件防火墙一般都是由软件公司生产:Windows 自带的防火墙(一般Windows都作终端使用,很少让其作为路由设备转发数据)Linux自带的防火墙(Netfilter,管理工具叫IPtables)ISA/TMG(微软软件)Squid(开源软件,更多的情况用于代理服务器)## 三、防火墙的分类防火墙按照功能和级别的不同,一般分类这么三类:* 包过滤型防火墙* 状态检测型防火墙* 代理型防火墙## 3.1、包过滤型防火墙这种防火墙只能实现最基础的包过滤功能,按照既定的访问控制列表对数据包的三、四层信息进行控制,详细一点就是:三层信息:源IP地址,目标IP地址四层信息:源端口,目标端口这种情况其实用一个路由器或者三层交换机,配置ACL就能实现只有符合了条件的数据包才能被放行,不符合条件的数据包无论如何都不会被放行 。但是包过滤型防火墙的性质就是那么"教条"与"顽固不化"!
文章插图
如果是使用一个路由器,强行设置"从外部到内部拒绝所有流量"会有什么后果呢?
文章插图
文章插图
文章插图
当然,外部的流量全部被ACL阻止了,但是这么设置在某些场合会造成网络通信故障:比如内部的主机访问外部TCP协议的服务,需要经过三次握手,其中第二次握手的流量就是从外部到内部的,如果单使用一个路由器的ACL实现包过滤,并且在外部接口配置拒绝所有流量进入,就会导致三次握手无法完成,从而内部主机访问不到外部的服务 。
文章插图
第一次握手,内部主机10.112.100.101使用随机端口10025访问外部的WebServer`200.100.1.2的TCP 80`三层信息源IP地址:10.112.100.101目标IP地址:200.100.1.2源端口:TCP 10025目标端口:TCP 80由于内部接口放行所有流量,所以这个第一次握手的流量被放行了
推荐阅读
- 正山小种价格多少 决定正山小种价格的因素有哪些
- 正山小种红茶价格 正山小种多少钱斤
- 好的云南滇红茶贵不贵 滇红茶的价格多少钱斤
- 云南滇红茶多少钱一斤? 滇红茶的选购方法
- 茅山青峰茶价格茅山青峰茶多少钱一斤?
- 安吉白茶价格 安吉白茶多少钱一斤?
- 正版暴力熊有哪些款式,暴力熊有多少种
- 金芽 金丝 古树 松针滇红红茶价格分别是多少钱斤
- 绝对零度是什么意思 绝对零度是多少度
- 百年荔枝树头要多少钱一个 一百年荔枝树值多少钱