硬件防火牆的原理
軟件防火牆只有包過濾的功能,硬件防火牆中可能還有除軟件防火牆以外的其他功能,例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。
也就是說硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火牆是保障內部網絡安全的一道重要屏障。
它的安全和穩定,直接關係到整個內部網絡的安全。
因此,日常例行的檢查對於保證硬件防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
4種類型
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。
包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。
但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火牆不理解通信的內容,所以可能被黑客所攻破。
硬件防火牆的原理
軟件防火牆只有包過濾的功能,硬件防火牆中可能還有除軟件防火牆以外的其他功能,例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。
也就是說硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火牆是保障內部網絡安全的一道重要屏障。
它的安全和穩定,直接關係到整個內部網絡的安全。
因此,日常例行的檢查對於保證硬件防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
4種類型
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。
包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。
但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火牆不理解通信的內容,所以可能被黑客所攻破。
(2)應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。
然而,應用網關防火牆是通過打破客戶機/服務器模式實現的。
每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火牆,另一個是從防火牆到服務器。
另外,每個代理需要一個不同的應用進程,或一個後臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。
所以,應用網關防火牆具有可伸縮性差的缺點。
硬件防火牆的原理
軟件防火牆只有包過濾的功能,硬件防火牆中可能還有除軟件防火牆以外的其他功能,例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。
也就是說硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火牆是保障內部網絡安全的一道重要屏障。
它的安全和穩定,直接關係到整個內部網絡的安全。
因此,日常例行的檢查對於保證硬件防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
4種類型
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。
包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。
但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火牆不理解通信的內容,所以可能被黑客所攻破。
(2)應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。
然而,應用網關防火牆是通過打破客戶機/服務器模式實現的。
每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火牆,另一個是從防火牆到服務器。
另外,每個代理需要一個不同的應用進程,或一個後臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。
所以,應用網關防火牆具有可伸縮性差的缺點。
(3)狀態檢測防火牆
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。
這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。
可以這樣說,狀態檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
硬件防火牆的原理
軟件防火牆只有包過濾的功能,硬件防火牆中可能還有除軟件防火牆以外的其他功能,例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。
也就是說硬件防火牆是指把防火牆程序做到芯片裡面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火牆是保障內部網絡安全的一道重要屏障。
它的安全和穩定,直接關係到整個內部網絡的安全。
因此,日常例行的檢查對於保證硬件防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並儘可能將問題定位,方便問題的解決。
4種類型
(1)包過濾防火牆
包過濾防火牆一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。
包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。
但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火牆不理解通信的內容,所以可能被黑客所攻破。
(2)應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。
然而,應用網關防火牆是通過打破客戶機/服務器模式實現的。
每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火牆,另一個是從防火牆到服務器。
另外,每個代理需要一個不同的應用進程,或一個後臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。
所以,應用網關防火牆具有可伸縮性差的缺點。
(3)狀態檢測防火牆
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。
這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。
可以這樣說,狀態檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
(4)複合型防火牆
複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC 架構,把防病毒、內容過濾整合到防火牆裡,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。
常規的防火牆並不能防止隱蔽在網絡流量裡的攻擊,在網絡界面對應用層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網絡與信息安全的新思路。
它在網絡邊界實施OSI 第七層的內容掃描,實現了實時在網絡邊緣佈署病毒防護、內容過濾等應用層服務措施。
四類防火牆的對比
包過濾防火牆
包過濾防火牆不檢查數據區,包過濾防火牆不建立連接狀態表,前後報文無關,應用層控制很弱。
應用網關防火牆
不檢查IP、 TCP 報頭,不建立連接狀態表,網絡層保護比較弱。
狀態檢測防火牆
不檢查數據區,建立連接狀態表,前後報文相關,應用層控制很弱。
複合型防火牆
可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細,會話控制較弱。
防火牆術語
網關
在兩個設備之間提供轉發服務的系統。
網關是互聯網應用程序在兩臺主機之間處理流量的防火牆。
這個術語是非常常見的。
DMZ非軍事化區
為了配置管理方便,內部網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區。
防火牆一般配備三塊網卡,在配置時一般分別分別連接內部網,Internet和DMZ。
吞吐量
網絡中的數據是由一個個數據包組成,防火牆對每個數據包的處理要耗費資源。
吞吐量是指在不丟包的情況下單位時間內通過防火牆的數據包數量。這是測量防火牆性能的重要指標。
最大連接數
和吞吐量一樣,數字越大越好。
但是最大連接數更貼近實際網絡情況,網絡中大多數連接是指所建立的一個虛擬通道。
防火牆對每個連接的處理也好耗費資源,因此最大連接數成為考驗防火牆這方面能力的指標。
數據包轉發率:是指在所有安全規則配置正確的情況下,防火牆對數據流量的處理速度。
SSL
SSL(Secure Sockets Layer)是由 Netscape 公司開發的一套Internet 數據安全協議。
它已被廣泛地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸SSL協議位於TCP/IP 協議與各種應用層協議之間,為數據通訊提供安全支持。
網絡地址轉換
網絡地址轉換(NAT)是一種將一個IP地址域映射到另一個IP 地址域技術,從而為終端主機提供透明路由。
NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。
NAT常用於私有地址域與公用地址域的轉換以解決IP地址匱乏問題。
在防火牆上實現NAT後,可以隱藏受保護網絡的內部拓撲結構,在一定程度上提高網絡的安全性。
如果反向NAT提供動態網絡地址及端口轉換功能,還可以實現負載均衡等功能。
堡壘主機
一種被強化的可以防禦進攻的計算機,被暴露於因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。
硬件防火牆和軟件防火牆對比
成本對比
硬件防火牆是軟硬件一體的,用戶購買後不需要再投入其他費用。
一般硬件防火牆的報價在1萬到2萬之間。
軟件防火牆有三方面的成本開銷:
軟件的成本、安裝軟件的設備成本以及設備上操作系統的成本。
Windows Server 2003 價格在4400-6000 之間。
備註:綜合以上的成本,要配置一套 軟件防火牆按最小的網絡要求,其成本在1萬左右。
穩定性與安全性對比
穩定性和安全性比較穩定性能的優劣主要來自於防火牆運行平臺即操作系統上。
硬件防火牆一般使用經過內核編譯後的Linux ,憑藉Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性。
Linux 永遠都不會崩潰,其穩定性是由於它沒有像其他操作系統一樣內核龐大且漏洞百出。
系統的穩定性主要取決於系統設計的結構。
計算機硬件的結構自從1981設計開始就沒有作特別大的改動,而連續向後兼容性使那些編程風格極差的應用軟件勉強移植到Windows的最新版本,這種將就的軟件開發模式極大地阻礙了系統穩定性的發展。
最令人注目的Linux開放源代碼的開發模式,它保證了任何系統的漏洞都能被及時發現和修正。
Linux 採取了許多安全技術措施,包括對讀、寫進行權限控制、帶保護的子系統、審計跟蹤、核心授權等,這為網絡多用戶環境中的用戶提供了必要的安全保障。
軟件防火牆一般要安裝在windows 平臺上,實現簡單,但同時由於windows 本身的漏洞和不穩定性帶來了軟件防火牆的安全性和穩定性的問題。
雖然 Microsoft 也在努力的彌補這些問題,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但與Linux 比起來還是漏洞倍出。
在病毒侵害方面,從linux發展到如今,Linux 幾乎不感染病毒。
而作為Windows平臺下的病毒我們就不必多說了,只要是使用過電腦的人都有感受。
如果遭遇廣泛傳播的ARP欺騙病毒,容易造成了內網不穩定、網絡時斷時序、經常掉線,無法開展正常的工作,使得很多的網絡管理人員束手無策。
軟硬件防火牆的吞吐量和包轉發率比較
吞吐量和報文轉發率是關係防火牆應用的主要指標。
硬件防火牆的硬件設備是經專業廠商定製的,在定製之初就充分考慮了吞吐量的問題,在這一點上遠遠勝於軟件防火牆。
因為軟件防火牆的硬件是用戶自己選擇的很多情況下都沒有考慮吞吐量的問題,況且windows系統本身就很耗費硬件資源,其吞吐量和處理大數據流的能力遠不及硬件防火牆,這一點是不言而喻的。
吞吐量太小的話,防火牆就是網絡的瓶頸,會帶來網絡速度慢、上網帶寬不夠等等問題。
防火牆工作原理上的比較
軟件防火牆一般可以是包過濾機制。
包過濾過濾規則簡單,只能檢查到第三層網絡層,只對源或目的IP做檢查,防火牆的能力遠不及狀態檢測防火牆,連最基本的黑客攻擊手法IP偽裝都無法解決,並且要對所經過的所有數據包做檢查,所以速度比較慢。
硬件防火牆主要採用第四代狀態檢測機制。
狀態檢測是在通信發起連接時就檢查規則是否允許建立連接,然後在緩存的狀態檢測表中添加一條記錄,以後就不必去檢查規則了只要查看狀態監測表就OK了,速度上有了很大的提升。
因其工作的層次有了提高,其防黑功能比包過濾強了很多,狀態檢測防火牆跟蹤的不僅是包中包含的信息。
為了跟蹤包的狀態,防火牆還記錄有用的信息以幫助識別包,例如已有的網絡連接、數據的傳出請求等。
例如,如果傳入的包包含視頻數據流,而防火牆可能已經記錄了有關信息,是關於位於特定IP 地址的應用程序最近向發出包的源地址請求視頻信號的信息。
如果傳入的包是要傳給發出請求的相同系統,防火牆進行匹配,包就可以被允許通過。
硬件防火牆比軟件防火牆在實現的機制上有很大的不同,也帶來了軟硬件防火牆在防黑能力上很大差異。
在對內網的控制方面比較
軟件防火牆由於本身的工作原理造成了它不具備內網具體化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP 和MAC 做上網控制等,其主要的功能在於對外。
硬件防火牆在基於狀態檢測的機制上,安全廠商又可以根據市場的不同需求開發應用層過濾規則,來滿足對內網的控制,能夠在高層進行過濾,做到了軟件防火牆不能做到的很多事。
尤其是ARP病毒,硬件防火牆針對其入侵的原理,都做了相應的策略,徹底解除了ARP病毒的危害。
現在的網絡安全(防火牆 )已經不僅僅侷限於對外的防止黑客攻擊上,更多的企業內部網絡經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。
我們分析其主要的原因,在於內網用戶的使用問題,很多的用戶上班時間使用BT下載、瀏覽一些不正規的網站,這樣都會引起內網的諸多問題,比如病毒,很多病毒傳播都是使用者不良行為而造成的。
所以說內網用戶的控制和管理是非常必要的。
歡迎關注的我的頭條號,私信交流,學習更多的網絡技術