大家好,我是IT售前工程师Bernie。
在计算机世界中,防火墙是隔离在内部网络与外界网络之间的一道防御系统,主要的目标是防止内部网络遭到攻击。
从TCP/IP参考模型的网络结构上来看,防火墙可以建立在不同分层结构上的,具有一定安全级别和执行效率的安全通信技术。它就像是一种过滤网,你可以让你喜欢的东西通过这个过滤网,其他的东西都统统过滤掉。
防火墙主要提供6个方面的服务:访问控制、防止外部攻击、进行网络地址转换、提供日志与报警和用户身份认证。
防火墙可以按照三个维度进行分类:按照技术实现方式(分组过滤型和应用代理型),按照应用对象(个人防火墙和企业防火墙),按照形态分类(软件防火墙、硬件防火墙和芯片防火墙)。
一般情况下,防火墙由一台路由器、一台主机构成。重量级的防火墙可以由多台主机共同构成。
防火墙通常放置在网络的边界。极个别情况下,放置在网络边界的内部,以便为特殊的主机提供额外的保护。
防火墙的常用实现技术常用的防火墙技术包含如下6种。
(一)分组过滤技术
分组过滤(packet filter)是所有防火墙中最核心的功能,工作在TCP/IP协议的网络层和传输层。
原理:分组过滤通常安装在路由器上,让路由器控制哪些数据包可以进出网络,哪些则被拒绝。
特点:这种防护措施对用户透明,使用方便。不保留过滤前后的连接信息,容易实现允许或禁止访问。
(二)代理服务器技术
代理服务器常用于页面存储的缓冲区,提高网络通信的响应速度,后来逐渐发展为防火墙技术的一种;
代理服务器工作在应用层,针对每一个特定的应用程序,通过代理实现比分组过滤更严格的安全策略。
(三)应用网关技术
应用网关(application gateway)防火墙主要工作在OSI参考模型的应用层;
原理:在程序内部设置过滤器,应用网关接受内外部网络的通信数据包,并根据自己的安全策略进行过滤。
特点:完全隔离了网络的通信,通过对每一种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用;
(四)电路级网关技术
电路级网关工作在会话层,它是两个主机建立TCP连接时的安全屏障;
在TCP三次握手的时候,监视两台主机连接时的握手信息(ASK\SYN\序列号)是否符合逻辑,符合才允许建立连接。
(五)状态检测技术
状态检测技术既具备过滤防火墙的速度和灵活性,也有应用网关防火墙的安全优点;
原理:利用一个检测模块,从网络层捕获数据包,并抽取与应用层状态相关的信息,并以此作为决定对改连接是否接受还是拒绝。
这个检测模块维护一个动态的状态信息表,数据达到防火墙接口时,首先看是否已经处于连接状态。是,放过。否,进行检测并判断是否需要阻挡连接。
(六)网络地址转换技术
将一个IP地址映域映射到另外一个IP地址域,从而为终端提供透明的路由。
比如:192.168.2.10-->一个预设的符合连接的地址域,符合条件就通过。
