硬件防火墻的原理
硬件防火墻的原理
大家都知道軟件防火墻,那么硬件防火墻呢?硬件防火墻的原理是什么?學習啦小編現在就帶大家了解硬件防火墻的基本原理。
至于價格高,原因在于,軟件防火墻只有包過濾的功能,硬件防火墻中可能還有除軟件防火墻以外的其他功能,例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及等等的功能。
也就是說硬件防火墻是指把防火墻程序做到芯片里面,由硬件執行這些功能,能減少CPU的負擔,使路由更穩定。
硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩定,直接關系到整個內部網絡的安全。因此,日常例行的檢查對于保證硬件防火墻的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,并盡可能將問題定位,方便問題的解決。
(1)包過濾防火墻
包過濾防火墻一般在路由器上實現,用以過濾用戶定義的內容,如IP地址。包過濾防火墻的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火墻的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是說,防火墻不理解通信的內容,所以可能被黑客所攻破。
(2)應用網關防火墻
應用網關防火墻檢查所有應用層的信息包,并將檢查的內容信息放入決策過程,從而提高網絡的安全性。然而,應用網關防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:一個是從客戶端到防火墻,另一個是從防火墻到服務器。另外,每個代理需要一個不同的應用進程,或一個后臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火墻具有可伸縮性差的缺點。
(3)狀態檢測防火墻
狀態檢測防火墻基本保持了簡單包過濾防火墻的優點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火墻的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火墻規范了網絡層和傳輸層行為,而應用代理型防火墻則是規范了特定的應用協議上的行為。
(4)復合型防火墻
復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻,進一步基于ASIC架構,把防病毒、內容過濾整合到防火墻里,其中還包括、IDS功能,多單元融為一體,是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊,在網絡界面對應用層掃描,把防病毒、內容過濾與防火墻結合起來,這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。
3、四類防火墻的對比
包過濾防火墻:包過濾防火墻不檢查數據區,包過濾防火墻不建立連接狀態表,前后報文無關,應用層控制很弱。
應用網關防火墻:不檢查IP、TCP報頭,不建立連接狀態表,網絡層保護比較弱。
狀態檢測防火墻:不檢查數據區,建立連接狀態表,前后報文相關,應用層控制很弱。
復合型防火墻:可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細,會話控制較弱。
4、防火墻術語
網關:在兩個設備之間提供轉發服務的系統。網關是互聯網應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。
DMZ非軍事化區:為了配置管理方便,內部網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區。防火墻一般配備三塊網卡,在配置時一般分別分別連接內部網,internet和DMZ。
吞吐量:網絡中的數據是由一個個數據包組成,防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。這是測量防火墻性能的重要指標。
最大連接數:和吞吐量一樣,數字越大越好。但是最大連接數更貼近實際網絡情況,網絡中大多數連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源,因此最大連接數成為考驗防火墻這方面能力的指標。
數據包轉發率:是指在所有安全規則配置正確的情況下,防火墻對數據流量的處理速度。
SSL:SSL(SecureSocketsLayer)是由Netscape公司開發的一套Internet數據安全協議,當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。
網絡地址轉換:網絡地址轉換(NAT)是一種將一個IP地址域映射到另一個IP地址域技術,從而為終端主機提供透明路由。NAT包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現NAT后,可以隱藏受保護網絡的內部拓撲結構,在一定程度上提高網絡的安全性。如果反向NAT提供動態網絡地址及端口轉換功能,還可以實現負載均衡等功能。
堡壘主機:一種被強化的可以防御進攻的計算機,被暴露于因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。