防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内网是安全和可信赖的,而外网是不安全和不可信赖的。
防火墙作用:防止不希望的、未经授权地进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。
分类 | 说明 | 备注 | |
1 | 包过滤防火墙 | 包过滤防火墙具有包检查块(包过滤器),数据包过滤根据数据包头中的信息来控制访问,但无法控制传输数据的内容(位于应用层),包过滤器处在网络层和数据链路层(即TCP和IP层)之间。 通过检查模块,防火墙能够拦截和检查所有进出站数据,它首先打开包取出包头,根据包头信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。 过滤型防火墙通常直接转发报文,对用户完全透明,速度较快。 | 优点: 对每条传入和传出网络的包实行低水平控制;每个IP包字段都被检查,例如源地址、目的地址、协议和端口等; 可以识别和丢弃带欺骗性源IP地址的包; 包过滤防火墙是两个网络之间访问的唯一来源;包过滤通常被包含在路由器数据包中,不需要额外系统处理。 缺点: 不能防范黑客攻击,无法区分出可信网络与不可信网络的界限;不支持应用层协议,访问控制粒度太粗糙;不能处理新的安全威胁。 |
2 | 应用代理网关防火墙 | 彻底隔断内网与外网直接通信,内网用户对外网访问变成防火墙对外网访问,再由防火墙转发给内网用户。 所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接TCP连接,应用层协议会话过程必须符合代理的安全策略要求。 | 优点: 可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。 缺点: 难以配置,处理速度非常慢。 |
3 | 状态检测技术防火墙 | 结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性基础上,提高了代理防火墙的性能。 摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成会话,利用状态表跟踪每个会话状态。状态监测对每个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处状态,提供了完整的对传输层的控制能力,同时也改进了流量处理速度。 防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。 |
典型防火墙的体系结构分为包过滤路由器、双宿主主机、屏蔽主机网关和被屏蔽子网等类型。