所谓“防火墙”(Firewall),是一种将内部网和公众访问网(如Internet)分开的硬件设备或软件系统,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术——隔离技术,为了防止外界恶意程式对内部系统的破坏,或者阻止内部重要信息向外流出,有双向监督功能。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
本篇主要讲解防火墙分类及原理
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术:
1、包过滤技术
上图为包过滤技术工作流程
数据包过滤是指在网络层对数据包进行分析、选择和过滤。制定具体访问规则表,允许哪些类型的数据包可以流入或流出内部网络。就如我们的手机一样,可以设置过滤陌生电话号码、某个省份的电话、某段时间的所有来电。包过滤技术就是通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。
包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。
数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cisco和Sonic System等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。
2、应用代理技术
上图为OSI参考模型
应用代理防火墙工作在OSI的第七层,可以实现基于内容的信息过滤,安全控制会更细化更灵活。就如我们的手机,不以来电归属地和是否陌生号码为标准,而是通过分析通话内容,过滤掉一些无用的、虚假的、重复的信息,只接收有用信息。这样一来,避免发生漏接、拒接一些较为重要的电话。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。由于应用代理防火墙需要逐个分析内容信息,不适用于实时性太高的服务。
3、状态检测技术
上图为状态检测技术
状态检测技术是防火墙近几年才应用的新技术,是传统包过滤功能扩展而来。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
就如我们通过大数据分析我们来电信息,如果该电话号码以前经常通话,而且通话时长比较长、通话质量比较好,就会自动列入白名单。
4、完全内容检测技术
上图为状态检测处理示意图
完全内容检测技术防火墙综合状态检测与应用代理技术,并在此基础上进一步基于多层检测架构,把防病毒、内容过滤、应用识别等功能整合到防火墙里,其中还包括IPS功能,多单元融为一体,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路,(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细等优点,但由于功能集成度高,对产品硬件的要求比较高。
网络安全设备——防火墙的介绍就到这里,如果感兴趣,可关注,我们会用最通俗易懂的方式,让你了解网络安全硬件设备。
点个在看再走吧~~~