云杰为您介绍防火墙的类型

2020-04-28 17:46:37 云杰 103

云杰为您介绍防火墙的类型

防火墙可以是软件,也可以是硬件,尽管最好同时拥有两者。软件防火墙是安装在每台计算机上的程序,用于通过端口号和应用程序管理流量,而物理防火墙是安装在网络和网关之间的设备。

数据包筛选防火墙是最常见的防火墙类型,它检查数据包并在它们与已建立的安全规则集不匹配时禁止它们通过。这种类型的防火墙检查数据包的源IP地址和目标IP地址。如果数据包与防火墙上允许规则的数据包匹配,则可以信任进入网络。

包过滤防火墙分为两类:有状态和无状态。无状态防火墙彼此独立地检查数据包,并且缺少上下文,这使它们成为黑客的轻松目标。相反,有状态防火墙会记住有关先前传递的数据包的信息,并且被认为更加安全。

尽管包过滤防火墙可以有效,但它们最终提供了非常基本的保护,并且可能非常有限例如,它们无法确定正在发送的请求的内容是否会对到达的应用程序产生不利影响。如果从受信任的源地址允许的恶意请求将导致例如数据库的删除,则防火墙将无法得知。下一代防火墙和代理防火墙更能够检测此类威胁。

 

下一代防火墙将传统的防火墙技术与其他功能结合在一起,例如加密的流量检查,入侵防御系统,防病毒等。最值得注意的是,它包括深度包检查(DPI)。基本防火墙只查看数据包头,而深度数据包检查则检查数据包本身中的数据,使用户可以更有效地识别,分类或阻止带有恶意数据的数据包。

 

代理防火墙在应用程序级别过滤网络流量。与基本防火墙不同,代理充当两个终端系统之间的中介。客户端必须将请求发送到防火墙,然后在防火墙中根据一组安全规则对其进行评估,然后允许或阻止该请求。最值得注意的是,代理防火墙监视第7层协议(例如HTTPFTP)的流量,并同时使用状态和深度数据包检查来检测恶意流量。

 

网络地址转换(NAT)防火墙允许具有独立网络地址的多个设备使用单个IP地址连接到Internet,从而使各个IP地址保持隐藏状态。结果,扫描网络中的IP地址的攻击者无法捕获特定的细节,从而为攻击提供了更高的安全性。NAT防火墙与代理防火墙相似,因为它们充当一组计算机和外部流量之间的中介。

 

状态多层检查(SMLI)防火墙在网络,传输和应用程序层过滤数据包,并将其与已知的受信任数据包进行比较。与NGFW防火墙一样,SMLI也检查整个数据包,并且仅当它们分别通过每个层时才允许它们通过。这些防火墙检查数据包以确定通信状态(因此称为名称),以确保所有启动的通信仅与可信源进行。