防火墙有哪些分类?不同防火墙有什么特点?
正规的数据中心中,防火墙是必不可少的,要了解防火墙我们先要知道什么是防火墙,以及它的工作原理。
什么是防火墙?
防火墙是监视网络流量的安全设备。它通过根据一组既定规则过滤传入和传出的流量来保护内部网络。设置防火墙是在系统和恶意攻击之间添加安全层的最简单方法。
防火墙如何工作?
防火墙放置在系统的硬件或软件级别,以保护其免受恶意流量的攻击。根据设置,它可以保护单台计算机或整个计算机网络。设备根据预定义规则检查传入和传出流量。
通过从发送方请求数据并将其传输到接收方来进行Internet上的通信。由于无法整体发送数据,因此将其分解为组成初始传输实体的可管理数据包。防火墙的作用是检查往返主机的数据包。
不同类型的防火墙具有不同的功能,我们专注于服务器租用/托管14年,接下来网盾小编来谈谈防火墙有哪些分类以及他们有哪些特点。
软件防火墙
软件防火墙是寄生于操作平台上的,软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。由于它连接到特定设备,因此必须利用其资源来工作。所以,它不可避免地要耗尽系统的某些RAM和CPU。并且如果有多个设备,则需要在每个设备上安装软件。
由于它需要与主机兼容,因此需要对每个主机进行单独的配置。主要缺点是需要花费大量时间和知识在每个设备管理和管理防火墙。另一方面,软件防火墙的优势在于,它们可以在过滤传入和传出流量的同时区分程序。因此,他们可以拒绝访问一个程序,同时允许访问另一个程序。
硬件防火墙
顾名思义,硬件防火墙是安全设备,代表放置在内部和外部网络(Internet)之间的单独硬件。此类型也称为设备防火墙。
与软件防火墙不同,硬件防火墙具有其资源,并且不会占用主机设备的任何CPU或RAM。它是一种物理设备,充当用于进出内部网络的流量的网关。
拥有在同一网络中运行多台计算机的中型和大型组织都使用它们。在这种情况下,使用硬件防火墙比在每个设备上安装单独的软件更为实际。配置和管理硬件防火墙需要知识和技能,因此请确保有一支熟练的团队来承担这一责任。
包过滤防火墙
根据防火墙的操作方法来划分防火墙的类型时,最基本的类型是数据包筛选防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义,它通过根据传入数据包携带的信息过滤来监控网络流量。
如上所述,每个数据包包括一个报头和它发送的数据。此类防火墙根据标头信息来决定是允许还是拒绝访问数据包。为此,它将检查协议,源IP地址,目标IP,源端口和目标端口。根据数字与访问控制列表的匹配方式(定义所需/不需要的流量的规则),数据包将继续传递或丢弃。
防火墙技术透析
一、Internet 常见的安全威胁分类
随着网络技术的普及,网络攻击行为出现的越来越频繁。通过各种攻击软件,只要具有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为一下几类。
1、非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如:攻击者通过猜测帐户和密码的组合,从而进入计算机系统以非法使用资源。
2、拒绝服务:服务器拒绝合法永福正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器发起连接或请求回应,致使服务器负荷过重而不能处理合法任务
3、信息盗窃:攻击者不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
4、数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
因此:
网络安全是Internet必须面对的一个实际问题
网络安全是一个综合性的技术
网络安全具有两层含义:
保证内部局域网的安全(不被非法侵入)
保护和外部进行数据交换的安全
网络安全技术需要不断地完善和更新
二、网络安全关注点
作为负责网络安全的管理人员主要关注(并不局限于)以下8个方面:
保护网络物理线路不会轻易遭受攻击
有效识别合法的和非法的用户(AAA)
实现有效的访问控制(ACL)
保证内部网络的隐蔽性(NAT)
有效的防伪手段,重要的数据重点保护(v_n)
对网络设备、网络拓扑的安全管理(防火墙集中管理)
病毒防范(蠕虫病毒智能防范)
提高安全防范意识
三、防火墙的必备技术
针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:
1、网络隔离及访问控制:能够有效防止对外公开的服务器被黑客用于控制内网的一个跳板。
2、攻击防范:能够保护网络免受黑客对服务器、内部网络的攻击。
3、地址转换:在解决网络地址不足的前提下实现对外的网络访问,同时能够实现对外隐藏内部网络地址和专用服务器。
4、应用层状态监测:可以实现单向访问。
5、身份认证:可以确保资源不会被未授权的用户(也可以称为非法用户)或以授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,进入计算机系统非法使用资源的行为。
6、内容过滤:能够过滤掉内部网络对非法网站/色情网站的访问,以及阻止通过邮件发送机密文件所造成的泄密行为。
7、安全管理:主要指日志审计和防火墙的集中管理。
四、网络隔离与访问控制
防火墙的主要作用是实现网络隔离和访问控制。
防火墙从安全管理的角度出发,一般将设备本身划分为不同的安全区域,通过将端口和网络设备接到不同的区域里,从而达到网络隔离的目的:
1、不受信区域:一般指的是Internet,主要攻击都来自于这个区域。
2、受信区域:一般指的是内网区域,这个区域是可控的。
3、DMZ区域:放置公共服务器的区域,一般情况下,这个区域接受外部的访问,但不会主动去访问外部资源。
防火墙通常使用ACL访问控制列表、ASPF应用层状态检测包过滤的方法来实现访问控制的目的。
图1-1通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接,电子邮件服务器接在DMZ区域接受内外部的访问。图中用语言描述了防火墙所实现的网络隔离和访问控制的功能。
五、攻击防范
防火墙主要关注边界安全,因此一般防火墙提供比较丰富的安全攻击防范的特性:
1、DOS拒绝服务攻击防范功能
包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片攻击等Dos拒绝服务攻击方式进行检测,丢弃攻击报文,保护网络内部的主机不受侵害。
2、防止常见网络层攻击行为
防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为,主动发现丢弃报文。
WinNuke也称为蓝色炸弹,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。蓝色炸弹实际上是一个带外传输网络数据包,其中包括操作系统无法处理的信息;这样便会导致操作系统提前崩溃或终止。
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。
Tear drop类的攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉。
3、针对畸形报文的防范
通过一些畸形报文,如果超大的ICMP报文,非法的分片报文,TCP标志混乱的报文等,可能会造成比较验证的危害,防火墙应该可以识别出这些报文。
4、针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。
六、地址转换(NAT)
1、地址转换是在IP地址日益短缺的情况下提出的。
2、一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了到达所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。
3、地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。
4、地址转换可以按照用户的需要,在内部局域网内部提供给外部FTP、WWW、Telnet服务。
防火墙同路由器一样,必须具备NAT地址转换功能,因此在NAT的细节上必须具备:
支持NAT/PAT,支持地址池;
支持策略NAT,根据不同的策略进行不同的NAT;
支持NAT server 模式,可以向外映射内部服务器;
提供端口级别的NAT server 模式,可以将服务器的端口映射为外部的一个端口,不开放服务器的所有端口,增加服务器的安全性。
支持多种ALG: 包括H323/MGCP/SIP/H248/RTSP/HWCC,还支持ICMP、FTP、DNS、PPTP、NBT、ILS等协议。
七、应用层状态检测包过滤(ASPF)
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。
aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流量进行监控。
防火墙,怎么选?
防火墙在保护网络和数据免受内部和外部威胁,发挥着至关重要的作用。防火墙是将网络与互联网分开的虚拟墙。可过滤流量,限制对内部网络的访问,以及阻止拒绝服务(DoS)等威胁。如果没有部署有效的防火墙,网络可能容易遭遇数据泄露事故以及其他恶意威胁,最终可能导致企业面临巨额损失,甚至失去客户。
因此,在选购防火墙时,必须做足功课。在选择防火墙时,应该考虑以下问题,从而选出最符合需求的网络安全解决方案。
它是否提供DoS/DDoS保护?
选择具有DDoS检测和缓解功能的防火墙很重要,防火墙可帮助在最基本层面识别及阻止DDoS攻击。如果结合防火墙与其他服务(例如入侵检测系统),就会得到一个更先进的解决方案。
防火墙是否会发送攻击警报?
虽然您依靠防火墙来阻止攻击,但同样重要的是,它们可帮助您了解攻击何时发生或者正在进行的攻击。所以,您应该考虑可在发生重大攻击时向管理员发送警报的防火墙。
警报可作为提醒,让管理员去检查防火墙和路由器日志,这可帮助确定攻击的方法。在利用这些知识以及防火墙的帮助下,您可在攻击造成停机以及损失之前快速缓解攻击。
您需要为关键服务设置备用端口吗?
攻击者可利用端口来传播恶意软件,考虑到大部分服务都有标准端口,这是一个很大的问题。如果您有特别想要保护的关键服务,您可以为这些服务使用备用端口,也被称为伪装端口。
您需要远程访问吗?
最近远程工作非常流行,特别是在IT部门。然而,允许员工远程访问公司的网络带来安全风险。这也是为什么需要使用虚拟专用网络(v_n)等解决方案的原因。防火墙可结合v_n处理很多日常工作,例如授权和支持。
虽然您可以购买辅助系统或者v_n解决方案,但整合v_n的硬件防火墙解决方案可能更具成本效益。
供应商的客户支持是否强大?
对于防火墙,供应商提供的支持也非常重要。不正确的防火墙配置和设置可能会导致严重的问题,如果您对防火墙有疑问或者对某些功能不确定,您需要能够快速与供应商联系。强大的供应商应该提供必要的支持和资源,以确保网络安全。
艾塔(艾塔品牌服务网站)作为浙江联泰信息系统有限公司旗下服务品牌,依托强大的技术专家团队,和个性化专属定制服务,结合企业具体需求,制定切实可行的IT服务解决方案,我们将本着责任、专业、贴心的服务宗旨,为企业用户提供全方位的IT服务。