什么是防火墻��?
防火墻是監(jiān)視網(wǎng)絡(luò)流量的安全設(shè)備�。它通過(guò)根據(jù)一組既定規(guī)則過(guò)濾傳入和傳出的流量來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)�。設(shè)置防火墻是在系統(tǒng)和惡意攻擊之間添加安全層的最簡(jiǎn)單方法。
防火墻如何工作��?
防火墻放置在系統(tǒng)的硬件或軟件級(jí)別���,以保護(hù)其免受惡意流量的攻擊���。根據(jù)設(shè)置���,它可以保護(hù)單臺(tái)計(jì)算機(jī)或整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。設(shè)備根據(jù)預(yù)定義規(guī)則檢查傳入和傳出流量���。
通過(guò)從發(fā)送方請(qǐng)求數(shù)據(jù)并將其傳輸?shù)浇邮辗絹?lái)進(jìn)行Internet上的通信�。由于無(wú)法整體發(fā)送數(shù)據(jù)��,因此將其分解為組成初始傳輸實(shí)體的可管理數(shù)據(jù)包����。防火墻的作用是檢查往返主機(jī)的數(shù)據(jù)包。
不同類(lèi)型的防火墻具有不同的功能�����,接下來(lái)藍(lán)隊(duì)云隊(duì)長(zhǎng)來(lái)談?wù)劮阑饓τ心男┓诸?lèi)以及他們有哪些特點(diǎn)�。
· 軟件防火墻
軟件防火墻是寄生于操作平臺(tái)上的,軟件防火墻是通過(guò)軟件去實(shí)現(xiàn)隔離內(nèi)部網(wǎng)與外部網(wǎng)之間的一種保護(hù)屏障�。由于它連接到特定設(shè)備,因此必須利用其資源來(lái)工作��。所以,它不可避免地要耗盡系統(tǒng)的某些RAM和CPU�。并且如果有多個(gè)設(shè)備����,則需要在每個(gè)設(shè)備上安裝軟件。
由于它需要與主機(jī)兼容��,因此需要對(duì)每個(gè)主機(jī)進(jìn)行單獨(dú)的配置�����。主要缺點(diǎn)是需要花費(fèi)大量時(shí)間和知識(shí)在每個(gè)設(shè)備管理和管理防火墻�。另一方面,軟件防火墻的優(yōu)勢(shì)在于����,它們可以在過(guò)濾傳入和傳出流量的同時(shí)區(qū)分程序。因此�,他們可以拒絕訪問(wèn)一個(gè)程序,同時(shí)允許訪問(wèn)另一個(gè)程序��。
· 硬件防火墻
顧名思義���,硬件防火墻是安全設(shè)備��,代表放置在內(nèi)部和外部網(wǎng)絡(luò)(Internet)之間的單獨(dú)硬件����。此類(lèi)型也稱(chēng)為設(shè)備防火墻。
與軟件防火墻不同����,硬件防火墻具有其資源,并且不會(huì)占用主機(jī)設(shè)備的任何CPU或RAM����。它是一種物理設(shè)備,充當(dāng)用于進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量的網(wǎng)關(guān)�����。
擁有在同一網(wǎng)絡(luò)中運(yùn)行多臺(tái)計(jì)算機(jī)的中型和大型組織都使用它們����。在這種情況下,使用硬件防火墻比在每個(gè)設(shè)備上安裝單獨(dú)的軟件更為實(shí)際�����。配置和管理硬件防火墻需要知識(shí)和技能����,因此請(qǐng)確保有一支熟練的團(tuán)隊(duì)來(lái)承擔(dān)這一責(zé)任���。
· 包過(guò)濾防火墻
根據(jù)防火墻的操作方法來(lái)劃分防火墻的類(lèi)型時(shí),最基本的類(lèi)型是數(shù)據(jù)包篩選防火墻��。它用作連接到路由器或交換機(jī)的內(nèi)聯(lián)安全檢查點(diǎn)���。顧名思義,它通過(guò)根據(jù)傳入數(shù)據(jù)包攜帶的信息過(guò)濾來(lái)監(jiān)控網(wǎng)絡(luò)流量�。
如上所述,每個(gè)數(shù)據(jù)包包括一個(gè)報(bào)頭和它發(fā)送的數(shù)據(jù)����。此類(lèi)防火墻根據(jù)標(biāo)頭信息來(lái)決定是允許還是拒絕訪問(wèn)數(shù)據(jù)包。為此��,它將檢查協(xié)議���,源IP地址���,目標(biāo)IP,源端口和目標(biāo)端口�����。根據(jù)數(shù)字與訪問(wèn)控制列表的匹配方式(定義所需/不需要的流量的規(guī)則),數(shù)據(jù)包將繼續(xù)傳遞或丟棄��。
· 電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話(Session)是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高二層�。
電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:代理服務(wù)器(Proxy Server)。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專(zhuān)用應(yīng)用級(jí)代碼�����。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能����。
· 規(guī)則檢查防火墻
該防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)�����。它同包過(guò)濾防火墻一樣�����,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)���,過(guò)濾進(jìn)出的數(shù)據(jù)包��。它也象電路級(jí)網(wǎng)關(guān)一樣�����,能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序��。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣���,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容����,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則�����。
規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)�����,但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是����,它并不打破客戶(hù)機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶(hù)機(jī)和不受信任的主機(jī)建立直接連接��。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理�,而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包�����,這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效�。
· 代理防火墻
代理防火墻充當(dāng)通過(guò)Internet通信的內(nèi)部和外部系統(tǒng)之間的中間設(shè)備。它通過(guò)轉(zhuǎn)發(fā)來(lái)自原始客戶(hù)端的請(qǐng)求并將其掩蓋為自己的網(wǎng)絡(luò)來(lái)保護(hù)網(wǎng)絡(luò)��。代理的意思是充當(dāng)替代者����,因此,代理就發(fā)揮了作用�����。它代替了發(fā)送請(qǐng)求的客戶(hù)端����。當(dāng)客戶(hù)端發(fā)送訪問(wèn)網(wǎng)頁(yè)的請(qǐng)求時(shí),代理服務(wù)器將與該消息相交���。代理將消息轉(zhuǎn)發(fā)到Web服務(wù)器���,假裝是客戶(hù)端�����。這樣做可以隱藏客戶(hù)端的標(biāo)識(shí)和地理位置���,從而保護(hù)其不受任何限制和潛在的攻擊。然后����,Web服務(wù)器做出響應(yīng),并將請(qǐng)求的信息提供給代理���,該信息將傳遞給客戶(hù)端。
· 下一代防火墻
下一代防火墻是結(jié)合了許多其他防火墻功能的安全設(shè)備��。它合并了數(shù)據(jù)包�����,狀態(tài)和深度數(shù)據(jù)包檢查�����。簡(jiǎn)而言之,NGFW會(huì)檢查數(shù)據(jù)包的實(shí)際有效負(fù)載����,而不是僅關(guān)注標(biāo)頭信息。
與傳統(tǒng)防火墻不同�,下一代防火墻檢查數(shù)據(jù)的整個(gè)事務(wù),包括TCP握手���,表面級(jí)別和深度包檢查���。使用NGFW可以充分防御惡意軟件攻擊,外部威脅和入侵����。這些設(shè)備非常靈活,并且沒(méi)有明確定義它們提供的功能��。因此���,請(qǐng)確保研究每個(gè)特定選項(xiàng)提供的內(nèi)容����。
· 云防火墻
云防火墻或防火墻即服務(wù)(Faas)是用于網(wǎng)絡(luò)保護(hù)的云解決方案。像其他云解決方案一樣�����,它由第三方供應(yīng)商維護(hù)并在Internet上運(yùn)行���?���?蛻?hù)端通常將云防火墻用作代理服務(wù)器����,但是配置可以根據(jù)需求而變化。它們的主要優(yōu)點(diǎn)是可伸縮性���。它們與物理資源無(wú)關(guān)�����,從而可以根據(jù)流量負(fù)載擴(kuò)展防火墻容量。企業(yè)使用此解決方案來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)或其他云基礎(chǔ)架構(gòu)(Iaas / Paas)����。
以上就是不同的防火墻對(duì)應(yīng)的特點(diǎn)���!想必閱讀過(guò)后你會(huì)對(duì)防火墻有更深的了解!
如果有防火墻的需求可以了解一下藍(lán)隊(duì)云web應(yīng)用防火墻���!藍(lán)隊(duì)云應(yīng)用防火墻可以幫助客戶(hù)防范常見(jiàn)Web安全問(wèn)題�����,比如拖庫(kù)�����、命令注入���、敏感文件訪問(wèn)等高危攻擊。用戶(hù)還可以設(shè)置開(kāi)啟����、停用內(nèi)置信譽(yù)庫(kù),防范惡意IP�����、惡意爬蟲(chóng)掃描器等威脅����!
