防火墙原理介绍大全 _防火墙

文章插图

硬件防火墙的原理
软件防火墙只有包过滤的功能，硬件防火墙中可能还有除软件防火墙以外的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定，直接关系到整个内部网络的安全。
因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。
4种类型
（1）包过滤防火墙
包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。
包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。
但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

文章插图

（2）应用网关防火墙
应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。
然而，应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。
另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。
所以，应用网关防火墙具有可伸缩性差的缺点。

文章插图

（3）状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。
可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

文章插图

（4）复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC 架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。
它在网络边界实施OSI 第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
【防火墙原理介绍大全】四类防火墙的对比
包过滤防火墙
包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。
应用网关防火墙
不检查IP、 TCP 报头，不建立连接状态表，网络层保护比较弱。
状态检测防火墙
不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。
复合型防火墙
可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。
防火墙术语
网关
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
DMZ非军事化区
为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。
防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ 。
吞吐量
网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。