防火墻的分類及原理
防火墻的分類及原理
防火墻總體上分為包過濾、應用級網關和代理服務器等幾大類型。下面是學習啦小編收集整理的防火墻的分類及原理,希望對大家有幫助~~
防火墻的分類及原理
按防火墻結構分類可以劃分為單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。單一主機防火墻是最為傳統的防火墻,它獨立于其他網絡設備,位于網絡邊界。
這種防火墻其實與一臺計算機結構差不多,同樣包括CPU、內存、硬盤等基本組件,當然主板更是不能少了,且主板上也有南、北橋芯片。它與一般計算機敁主要的區別就是一般防火墻都集成了兩個以上,的以太網卡,因為它需要連接一個以上的內部及外部網絡。
其中的硬盤主要是W來存儲防火墻所用的基本程序,如包過濾程序和代理服務器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC一樣,因為它的工作性質決定了它要具備非常高的穩定性、實用性及系統喬吐性能。正因為如此,看似與PC差不多的配置,其兩者的價格卻相差甚遠。
隨著防火墻技術的發展及應用需求的提高,原來作為單一主機的防火墻現在已發生了許多變化。沿明顯的變化就是現在許多中高檔的路由器中巳集成了防火墻功能,還有的防火墻已不再是一個獨立的硬件實體,而是由多個軟硬件組成的系統。原來單一主機的防火墻由于價格非常昂貴,僅有少數大型企業才能承受得起,為了降低企業M絡投資,現在許多中高檔路由器中集成了防火墻功能,如Ciscoios防火墻系列。但這種防火墻通常是較低級的包過濾勸。
這樣企業就不用再同時購買路由器和防火墻,大大降低了網絡設備購買成本。分布式防火墻再也不是只位于網絡邊界,而是滲透于網絡的每一臺主機,對整個內部網絡的主機實施保護。在網絡服務器中,通常會安裝一個用于防火墻系統管理的軟件,在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡,這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。
這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何并他主機發送的通信連接都視為“不可信”的,都需要經過嚴格過濾,而不是像傳統邊界防火墻那樣,僅對外部網絡發出的通信請求“不信任”。
防火墻NAT原理及分類
影響P2P通訊一個很關鍵的因素是NAT,由于IPV4的地址有限,所以很多在私網后的計算器是通過防火墻的NAT轉換完的映射地址訪問網絡上的資源的.不同的防火墻NAT后的計算機節點很可能是一樣的私網IP地址,這樣兩個處在防火墻NAT后的計算機節點無法找到對方的地址并傳送數據的,這些私網后的計算機只能和有公網IP地址的計算機通訊,只有獲得了公網地址的計算機才有可能處于不同NAT后的計算機節點做轉發數據工作,這也是多數P2P軟件穿越防火墻的根本原理.
P2P數據都大多數是UDP包,通過這種NAT轉換后可以到達目的節點的過程叫NAT穿越.防火墻限制私網和公網通訊,典型的作用如丟棄未驗證的數據包.但防火墻不對包的具體內容改變,無論TCP/UDP他們的IP地址和端口信息都不會變.他通過邊界的數據包頭來允許私網的機器通過有限的公網IP訪問外網,下面介紹幾種NAT類型,他們關系到P2P軟件的設計實現,
Basic NAT
基本NAT轉換不會把私網點IP地址映射到公網IP地址,不改變TCP/UDP數據包的端口
NetWork Address/Port Translator( NAPT )
NAPT 檢查并改變IP地址和TCP/UDP數據包的端口地址
Cone NAT
在建立每次的新會話建立時(私網到公網),原來的已經打開的端口會被使用,只要有通訊這個端口不會關閉.
Symmetric NAT(對稱NAT)
對稱NAT會在每次的新會話時(私網到公網),重新分配一個端口給會話.
Full Cone NAT(全向NAT)
一旦會話建立,全向NAT的通訊可以對任意的公網地址做通訊.
Restricted Cone NAT
端口受限的NAT不光對已經通訊的外部IP地址做捆綁而且對相關的通訊端口做捆綁,所以即使是已經建立通訊的IP地址,它的其他端口發來的數據包也會被拒絕,這在限制級別上和對稱NAT一樣.要想正常的完成最終的通訊,特別是在NAT后的計算機,根據前面的介紹,我們需要找到合適的技術來對實現穿越防火墻的機制,完成處理不同的NAT后的計算機間P2P通訊,在端口控制嚴格的后兩種NAT后的計算機節點通訊,一定要處于公網的計算機做轉發工作.
防火墻的分類及原理相關文章:
1.防火墻分類及原理