防火墙的分类及其优缺点知识防火墙知识

网络安全已经成为当今最热门的话题之一。许多企业已经采用了防火墙，以保证自己的服务器或数据安全。随着科学技术的发展，防火墙也逐渐被大众所接受。但是，由于防火墙是一种高科技产品，很多人都没有彻底了解它。这篇文章的目的是告诉你如何防火墙的工作原理，和防火墙的基本分类，并讨论了各自的优点和缺点，欢迎阅读防火墙。
首先，防火墙的基本分类
1。包过滤防火墙
第一代防火墙和最基本的形式防火墙检查每一个通过、丢弃或释放的包，这取决于所建立的规则集，这称为包过滤防火墙。
本质上，包过滤防火墙是多址的，表明它有两个或两个以上的网络适配器或接口。例如，一个防火墙可能会有两个网卡的设备（网卡），一个连接到内部网络，和一个公共网络。防火墙的任务就是行动作为一个警察；沟通；指导包装和拦截危险的包。
包过滤防火墙检查每一个传入的包看包中可用的基本信息（源地址和目的地址、端口号、协议等），这些信息与规则设置比较。如果telnet连接已被封锁和包的目的端口是23，然后包将被丢弃。如果网络连接可以通过目的端口是80，数据包将被释放。
多个复杂规则的组合也是可行的。如果允许Web连接，但仅针对特定服务器，目的端口和目的地址2必须与规则相匹配以允许包通过。
最后，您可以确定包到达时发生了什么，如果没有为包定义的规则，接下来会发生什么。通常，对于安全性，不符合传入规则的包将被丢弃。如果有理由让包通过它，则会设置一个规则来处理它。
建立包过滤防火墙规则的示例如下：
从一个专门的网络包，只能从内部地址的数据包被允许通过因为其他套餐包含包头部不正确的信息。这条规则可以防止任何人在网络发起的欺骗性的源地址的攻击。此外，如果黑客在专用网络中的机器都没有什么访问，该滤波器可以防止黑客攻击来自内部网络。
在公共网络中，只有一个具有目的地址的包被允许通过80端口。这个规则只允许传入的连接成为Web连接。这个规则还允许与Web连接使用相同的端口，因此它不是很安全。
丢弃公共网络中的包，这些包都具有网络中的源地址，从而减少IP的欺骗性攻击。
一个包含源路由信息将被丢弃，以减少源路由攻击。我们应该记住，在源路由攻击，传入的数据包中包含的路由信息，包括包，和正常的路由应该拿起通过网络，它可以绕过现有的安全程序。通过忽略源
2。状态/动态检测防火墙
状态/动态检测防火墙试图通过防火墙跟踪网络连接和包，以便防火墙可以使用一组附加的标准来决定是否允许或拒绝通信，它使用一些技术来与基本包过滤防火墙通信。
当包过滤防火墙将网络数据包，数据包都是孤立的。它没有历史或未来防火墙的关心。决定允许和拒绝包完全取决于信息包中包含的本身，如源地址、目的地址、端口号、等包呢不包含任何信息，描述了信息流的位置，和包被认为是无状态的；它仅是存在的。
有状态包检查防火墙不仅跟踪包中包含的信息，而且为了跟踪包的状态，防火墙还记录有用的信息，以帮助识别包，如现有的网络连接、数据输出请求等。
例如，如果传入的数据包中包含视频数据流，以及防火墙可能记录的信息，它是关于应用程序位于特定的IP地址请求视频信号最近发送的包的源地址的信息。如果传入的包被传递到同一系统，发送请求，防火墙是匹配的，和包可以允许通过。
状态/动态检测防火墙可以截断所有传入的通信，并允许所有传出的通信。因为防火墙跟踪请求里面，所有请求的数据允许直到连接关闭过。只有未经请求的传入通信被截断。
如果服务器是运行在防火墙，配置变得更复杂一点，但状态包检测是一个强大的、适应性强的技术，例如，防火墙可以被配置为只允许通信是从一个特定的端口进入，只有一个特定的服务器，如果服务器正在运行，防火墙只发送80端口的传入通信到指定的Web服务器。
状态/动态检测防火墙可以提供一些其他的附加服务：
重定向连接的一些类型的审计服务。例如，一个专用的服务器连接可以被发送到secutid服务器（通过一次性密码使用）在网络服务器的连接是不允许的。
拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息或包含ActiveX程序的网页。
跟踪连接状态的方式取决于通过防火墙的包的类型：
TCP包。当建立TCP连接时，传递的第一个包被标记为包的SYN标志。通常，防火墙放弃所有外部连接尝试，除非已经设置了一些规则来处理它们。内部连接试图连接到外部主机。防火墙指示连接包，允许两个系统之间的响应和后续包直到连接结束。
UDP package.udp包比TCP包简单，因为它们不包含任何连接或序列信息。它们包含的地址只源、目的地址、校验和数据。信息的缺乏使得防火墙确定包的合法性很难，因为没有打开的连接可以用来测试无论是传入的包应该被允许通过。然而，如果防火墙跟踪包的状态，它可以确定。对传入的包，包被允许通过采用地址和协议的UDP数据包进行匹配的传出连接请求。像TCP包、UDP包，不通过将被允许通过联合国那么它是即将离任的请求或响应指定的规则已经建立了处理。对于其他类型的包，情况类似于UDP包。防火墙仔细跟踪传出的请求，记录的地址，协议，和类型的包，然后检查与存储的信息传入的数据包来保证这些包的要求。
通过信息，防火墙可以通过这种方式减少攻击。
三.应用程序代理服务器防火墙
应用代理防火墙实际上不允许网络连接之间的直接通信。相反，它接受来自内部网络的通信从一个特定的用户应用程序是建立在从公共网络服务器的一个单独的连接，网络内的用户不直接与外部的服务器进行通信，所以服务器不能直接访问内网的任何部分。
此外，如果没有为特定应用程序安装代理代码，则此服务将不受支持，也无法建立连接。
例如，用户的Web浏览器可能在端口80上，但也可能在1080端口上，连接到内部网络的HTTP代理防火墙。防火墙随后将接受连接请求并将其转换为所请求的Web服务器。
此连接和传输对用户是透明的，因为它由代理防火墙自动处理。
代理防火墙通常支持的一些常见应用程序是：
超文本传输协议
HTTPS / SSL
SMTP
POP3
IMAP
NNTP
Telnet
文件传输协议
IRC
应用代理防火墙可以被配置为允许从内部网络的任何连接，它也可以配置为要求用户身份验证之前建立连接，需要验证的方法是建立一个连接的唯一已知的用户，提供额外的安全保证。如果网络受到伤害，这一特点使内部攻击的可能性大大降低。
4.nat
为了讨论防火墙的主题，你必须提到一个路由器，尽管在技术上它根本不是防火墙，网络地址转换（NAT）协议将内部网络的多个IP地址转换成一个公共地址到Internet。
NAT经常用于小型办公室、家庭和其他网络中，多个用户共享一个IP地址，并为Internet连接提供一些安全机制。
当内部用户与公共主机通信时，哪个用户请求是NAT跟踪，修改输出包，使包类似于一个公共IP地址，然后打开连接。一旦建立连接，内部计算机与Web站点之间的通信是透明的。
当从公共网络中传入未经请求的连接时，NAT有一组规则来决定如何处理它。如果没有预定义的规则，NAT会丢弃所有未经请求的传入连接，就像包过滤防火墙那样。
然而，就像包过滤防火墙一样，您可以配置NAT来接收来自特定端口的传入连接，并将它们发送到特定的主机地址。
5。个人防火墙
现在有很多个人防火墙软件在网络上传输，它是一个应用层，个人防火墙是一个可以保护个人计算机系统安全的软件。它可以直接在用户的计算机上运行，通过动态的动态防火墙检测来保护计算机免受攻击，一般来说，这些防火墙安装在计算机网络接口的较低级别上，使他们能够监视出入网络卡的所有网络通信。
一旦安装个人防火墙，它可以被设置为学习模式；这样，每一个新的网络通信时，个人防火墙会提示用户一次查询如何处理，通信，个人防火墙会记得响应模式应用到网络通信的一种会遇到后。
例如，如果用户已经安装了个人Web服务器，则个人防火墙可以将第一个输入的Web连接作为上层标记，并请求用户是否允许它通过。然后，个人防火墙将此规则应用于所有传入的Web连接。
基本上，您可以想象在个人计算机上创建一个虚拟网络接口的个人防火墙，它不再是通过NIC直接通信的计算机的操作系统。相反，它通过操作系统通过与个人防火墙的对话仔细地检查网络通信，然后通过网络卡进行通信。
两。各种防火墙的优缺点
1。包过滤防火墙
使用包过滤防火墙的优点包括：
防火墙对每个传入和传出网络包都具有较低的控制级别。
检查每个IP包的字段，如源地址、目的地址、协议、端口等。防火墙将根据这些信息应用过滤规则。
防火墙可以识别和丢弃带有欺骗性源IP地址的数据包。
包过滤防火墙是两个网络之间唯一的接入源，因为所有的通信都要经过防火墙，所以很难绕过。
包过滤通常包含在路由器包中，因此不需要额外的系统来处理这个特性。
使用包过滤防火墙的缺点包括：
难以配置。因为包过滤防火墙是非常复杂的，人们往往忽视建立一些必要的规则，或者错误配置的现有规则，留下漏洞防火墙上。然而，在市场上，许多新版本的防火墙正在改善，例如这一缺点，开发商已经意识到，基于图形用户接口的配置（GUI）和更直接的规则定义。
打开特定的服务端口是危险的，可能会被用于其他传输。例如，端口80上的默认Web服务器和计算机上安装RealPlayer，它将搜索可以连接到RealAudio服务器端口，无论端口被其他协议使用RealPlayer使用端口80和搜索。这样，RealPlayer使用Web服务器的端口。
可能有其他方法绕过防火墙进入网络，比如拨号连接，但这并不是防火墙本身的缺陷，而是防火墙不应该仅仅依赖于网络的安全性的原因。
2。状态/动态检测防火墙
状态/动态检测防火墙的优点是：
检查IP包的每个字段的功能，并根据包中的信息跟踪过滤规则。
识别具有欺骗性源IP地址包的能力。
包过滤防火墙是两个网络之间唯一的接入源，因为所有的通信都要经过防火墙，所以很难绕过。
根据应用程序信息验证包状态的能力，例如已经建立的FTP连接，允许返回的FTP包通过。
基于应用程序信息来验证包状态的能力，例如允许先前经过验证的连接继续与已授权的服务通信。
记录每个包的详细信息的能力。基本上，防火墙可以用来确定包状态的所有信息都可以记录下来，包括对包的应用请求、连接的持续时间、内部和外部系统之间的连接请求等。
状态/动态检测防火墙的不足：
动态状态检测防火墙/唯一的缺点是，所有的这些记录、测试和分析工作可能会导致延迟的网络连接，特别是大量连接时激活的同时，或大量的过滤网络通信的规则的存在。然而，更快的硬件速度，意识不到这个问题，与防火墙的制造商一直致力于提高产品的速度。
三.应用程序代理服务器防火墙
使用应用程序代理防火墙的优点是：
指定连接的控制，例如允许或拒绝基于服务器IP地址的访问，或允许基于用户请求的IP地址拒绝访问。
通过限制某些协议的传出请求来减少网络中不必要的服务。
大多数代理防火墙可以记录所有连接，包括地址和持续时间。此信息可用于跟踪发生未经授权访问的攻击和事件。
使用应用程序代理防火墙的缺点是：
根据用户使用的应用程序，有必要在一定范围内定制用户系统。
有些应用程序可能根本不支持代理连接。
4.nat
使用NAT的优点如下：
所有内部IP地址都隐藏在外面，因此，网络之外的任何人都不能通过指定IP地址直接攻击网络中的任何特定计算机。
如果由于某种原因，公共IP地址资源很短，NAT可以使整个内部网络共享一个IP地址。
可以启用基本包过滤器防火墙安全机制，因为如果没有特别配置到NAT，所有传入的包都会被丢弃。内部网络的计算机不能直接访问外部网络。
使用NAT的缺点：
NAT的缺点是，包过滤防火墙一样。虽然可以保证内部网络的安全，这也是一些类似的限制。此外，内部网络可以利用广泛的木马程序可以通过NAT进行外部连接，就可以通过包过滤防火墙。
注意：许多厂商开发的防火墙，尤其是状态/动态检测防火墙，除了提供功能外，还提供NAT功能。
5。个人防火墙
个人防火墙的优点是：
添加保护级别，不需要额外的硬件资源。
除了能够抵御外来攻击，个人防火墙还可以抵御内部攻击。
个人防火墙是对公共网络中的单个系统的保护。例如，一个家庭用户正在使用调制解调器或ISDN或ADSL上网，可能他是一个硬件防火墙太贵了，或是太多的麻烦。和个人防火墙已经能够隐藏用户的网络信息，如IP地址等信息。
个人防火墙的缺点：
个人防火墙的主要缺点是，公共网络只有一个物理接口。请记住，真正的防火墙应该监视和控制两个网络。
一个或多个网络接口之间的通信。这样，个人防火墙本身可能很容易受到威胁，或者有这样的弱点。网络通信可以绕过防火墙规则。
好的，我们已经介绍了这几种防火墙和讨论的优点和缺点每个防火墙。记住，任何防火墙提供了更为安全的网络通信和数据传输，但是我们不能完全依靠防火墙。除了防火墙来保证安全，我们还需要加强系统的安全性提高自己的安全意识。作为一个结果，数据和通信，以及网站，会更安全。