防火墙的基本分类
给现代人的生产和生活的互联网的快速发展带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,人们的精神来弥补这一空缺;同时也带来了一个日益严重的问题,网络安全,网络安全已经成为当今最热门的话题之一。许多企业已经采用了防火墙,以保证自己的服务器或数据安全。随着科学技术的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是一种高科技产品,很多人都没有彻底了解它。这是对防火墙的分类介绍。我希望你能学到更多关于成长的知识。防火墙的基本分类
1。包过滤防火墙
第一代防火墙和最基本的形式防火墙检查每一个通过、丢弃或释放的包,这取决于所建立的规则集,这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上的网络适配器或接口。例如,一个防火墙可能会有两个网卡的设备(网卡),一个连接到内部网络,和一个公共网络。防火墙的任务就是行动作为一个警察;沟通;指导包装和拦截危险的包。
包过滤防火墙检查每一个传入的包看包中可用的基本信息(源地址和目的地址、端口号、协议等),这些信息与规则设置比较。如果telnet连接已被封锁和包的目的端口是23,然后包将被丢弃。如果网络连接可以通过目的端口是80,数据包将被释放。
多个复杂规则的组合也是可行的。如果允许Web连接,但仅针对特定服务器,目的端口和目的地址2必须与规则相匹配以允许包通过。
最后,您可以确定包到达时发生了什么,如果没有为包定义的规则,接下来会发生什么。通常,对于安全性,不符合传入规则的包将被丢弃。如果有理由让包通过它,则会设置一个规则来处理它。
建立包过滤防火墙规则的示例如下:
从一个专门的网络包,只能从内部地址的数据包被允许通过因为其他套餐包含包头部不正确的信息。这条规则可以防止任何人在网络发起的欺骗性的源地址的攻击。此外,如果黑客在专用网络中的机器都没有什么访问,该滤波器可以防止黑客攻击来自内部网络。
在公共网络中,只有一个具有目的地址的包被允许通过80端口。这个规则只允许传入的连接成为Web连接。这个规则还允许与Web连接使用相同的端口,因此它不是很安全。
丢弃包从公共网络,它都在你的网络中的源地址,从而减少IP欺骗攻击。一个包含源路由信息将被丢弃,以减少源路由攻击。我们应该记住,在源路由攻击,传入的数据包中包含的路由信息,包括包,和正常的路由应该选择通过网络,它可以绕过现有的安全程序。忽略源路由信息,防火墙可以减少这种方式的攻击。
2。状态/动态检测防火墙
状态/动态检测防火墙试图通过防火墙跟踪网络连接和包,以便防火墙可以使用一组附加的标准来决定是否允许或拒绝通信,它使用一些技术来与基本包过滤防火墙通信。
当包过滤防火墙将网络数据包,数据包都是孤立的。它没有历史或未来防火墙的关心。决定允许和拒绝包完全取决于信息包中包含的本身,如源地址、目的地址、端口号、等包呢不包含任何信息,描述了信息流的位置,和包被认为是无状态的;它仅是存在的。
有状态包检查防火墙不仅跟踪包中包含的信息,而且为了跟踪包的状态,防火墙还记录有用的信息,以帮助识别包,如现有的网络连接、数据输出请求等。
例如,如果传入的数据包中包含视频数据流,以及防火墙可能记录的信息,它是关于应用程序位于特定的IP地址请求视频信号最近发送的包的源地址的信息。如果传入的包被传递到同一系统,发送请求,防火墙是匹配的,和包可以允许通过。
状态/动态检测防火墙可以截断所有传入的通信,并允许所有传出的通信。因为防火墙跟踪请求里面,所有请求的数据允许直到连接关闭过。只有未经请求的传入通信被截断。
如果服务器是运行在防火墙,配置变得更复杂一点,但状态包检测是一个强大的、适应性强的技术,例如,防火墙可以被配置为只允许通信是从一个特定的端口进入,只有一个特定的服务器,如果服务器正在运行,防火墙只发送80端口的传入通信到指定的Web服务器。
状态/动态检测防火墙可以提供一些其他的附加服务:
重定向连接的一些类型的审计服务。例如,一个专用的服务器连接可以被发送到secutid服务器(通过一次性密码使用)在网络服务器的连接是不允许的。
拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息或包含ActiveX程序的网页。
跟踪连接状态的方式取决于通过防火墙的包的类型:
TCP包。当建立TCP连接时,传递的第一个包被标记为包的SYN标志。通常,防火墙放弃所有外部连接尝试,除非已经设置了一些规则来处理它们。内部连接试图连接到外部主机。防火墙指示连接包,允许两个系统之间的响应和后续包直到连接结束。
UDP package.udp包比TCP包简单,因为它们不包含任何连接或序列信息。它们包含的地址只源、目的地址、校验和数据。信息的缺乏使得防火墙确定包的合法性很难,因为没有打开的连接可以用来测试无论是传入的包应该被允许通过。然而,如果防火墙跟踪包的状态,它可以确定。对传入的包,包被允许通过采用地址和协议的UDP数据包进行匹配的传出连接请求。像TCP包、UDP包,不通过将被允许通过联合国那么它是即将离任的请求或响应指定的规则已经建立了处理。对于其他类型的包,情况类似于UDP包。防火墙仔细跟踪传出的请求,记录的地址,协议,和类型的包,然后检查与存储的信息传入的数据包来保证这些包的要求。
三.应用程序代理服务器防火墙
应用代理防火墙实际上不允许网络连接之间的直接通信。相反,它接受来自内部网络的通信从一个特定的用户应用程序是建立在从公共网络服务器的一个单独的连接,网络内的用户不直接与外部的服务器进行通信,所以服务器不能直接访问内网的任何部分。
此外,如果没有为特定应用程序安装代理代码,则此服务将不受支持,也无法建立连接。
例如,用户的Web浏览器可能在端口80上,但也可能在1080端口上,连接到内部网络的HTTP代理防火墙。防火墙随后将接受连接请求并将其转换为所请求的Web服务器。
此连接和传输对用户是透明的,因为它由代理防火墙自动处理。
代理防火墙通常支持的一些常见应用程序是:
超文本传输协议
HTTPS / SSL
SMTP
POP3
IMAP
NNTP
Telnet
文件传输协议
IRC
应用代理防火墙可以被配置为允许从内部网络的任何连接,它也可以配置为要求用户身份验证之前建立连接,需要验证的方法是建立一个连接的唯一已知的用户,提供额外的安全保证。如果网络受到伤害,这一特点使内部攻击的可能性大大降低。
4.nat
为了讨论防火墙的主题,你必须提到一个路由器,尽管在技术上它根本不是防火墙,网络地址转换(NAT)协议将内部网络的多个IP地址转换成一个公共地址到Internet。
NAT经常用于小型办公室、家庭和其他网络中,多个用户共享一个IP地址,并为Internet连接提供一些安全机制。
当内部用户与公共主机通信时,哪个用户请求是NAT跟踪,修改输出包,使包类似于一个公共IP地址,然后打开连接。一旦建立连接,内部计算机与Web站点之间的通信是透明的。
当从公共网络中传入未经请求的连接时,NAT有一组规则来决定如何处理它。如果没有预定义的规则,NAT会丢弃所有未经请求的传入连接,就像包过滤防火墙那样。
然而,就像包过滤防火墙一样,您可以配置NAT来接收来自特定端口的传入连接,并将它们发送到特定的主机地址。
5。个人防火墙
现在有很多个人防火墙软件在网络上传输,它是一个应用层,个人防火墙是一个可以保护个人计算机系统安全的软件。它可以直接在用户的计算机上运行,通过动态的动态防火墙检测来保护计算机免受攻击,一般来说,这些防火墙安装在计算机网络接口的较低级别上,使他们能够监视出入网络卡的所有网络通信。
一旦安装个人防火墙,它可以被设置为学习模式;这样,每一个新的网络通信时,个人防火墙会提示用户一次查询如何处理,通信,个人防火墙会记得响应模式应用到网络通信的一种会遇到后。
例如,如果用户已经安装了个人Web服务器,则个人防火墙可以将第一个输入的Web连接作为上层标记,并请求用户是否允许它通过。然后,个人防火墙将此规则应用于所有传入的Web连接。
基本上,您可以想象在个人计算机上创建一个虚拟网络接口的个人防火墙,它不再是通过NIC直接通信的计算机的操作系统。相反,它通过操作系统通过与个人防火墙的对话仔细地检查网络通信,然后通过网络卡进行通信。