防火墙的基础知识大全

防火墙的基础知识大全

什么是防火墙? 防火墙是使用一段"代码墙"把你的电脑和internet 分隔开。它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。下面就让小编带你去看看关于防火墙的基础知识大全吧，希望能帮助到大家!

都0202了，这些防火墙的知识你还不懂吗?

硬件防火墙的原理

软件防火墙及硬件防火墙中还有的其他功能，例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)等等的功能。

也就是说硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定，直接关系到整个内部网络的安全。

因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

4种类型

(1)包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。

包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。

但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

(2)应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机/服务器模式实现的。

每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

所以，应用网关防火墙具有可伸缩性差的缺点。

(3)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。(图 3)

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC 架构，把防病毒、内容过滤整合到防火墙里，其中还包括IDS功能，多单元融为一体，是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。

它在网络边界实施OSI 第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图 4)

四类防火墙的对比

包过滤防火墙

包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

应用网关防火墙

不检查IP、 TCP 报头，不建立连接状态表，网络层保护比较弱。

状态检测防火墙

不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

复合型防火墙

可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

防火墙术语

网关

在两个设备之间提供转发服务的系统。

网关是互联网应用程序在两台主机之间处理流量的防火墙。

这个术语是非常常见的。

DMZ非军事化区

为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。

防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ。

吞吐量

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。

吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

最大连接数

和吞吐量一样，数字越大越好。

但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。

防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。

SSL

SSL(Secure Sockets Layer)是由Netscape 公司开发的一套Internet 数据安全协议。

它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

网络地址转换

网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

堡垒主机

一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

硬件防火墙和软件防火墙对比

成本对比

硬件防火墙是软硬件一体的，用户购买后不需要再投入其他费用。

一般硬件防火墙的报价在1万到2万之间。

软件防火墙有三方面的成本开销：

软件的成本、安装软件的设备成本以及设备上操作系统的成本。

Windows Server 2003 价格在4400-6000 之间。

备注：综合以上的成本，要配置一套软件防火墙按最小的网络要求，其成本在1万左右。

稳定性与安全性对比