防火墙无非就这8种类型,小白完全不用怕!

news2024/11/16 7:55:47

你们好,我的网工朋友。

当我们谈到网络开放性带来的安全挑战时,都会想起黑客、病毒、恶意软件等等。

而正是因为这些威胁,让网络安全变成了网络世界里的重要议题,如果说起怎么保护网络安全,基本上我们都会第一时间想到防火墙吧。

毕竟防火墙是计算机网络安全的基本组件了。

网络威胁的复杂多样,衍生出了不同类型的防火墙,而且每种都有着独特的功能、优点和应用场景。

今天就带你一起探索一下,深入了解这8种类型的防火墙。

今日文章阅读福利:《 思科防火墙白皮书 》

私信我,发送暗号“防火墙”,即可获取该份高清优质电子书资源。

01 什么是防火墙?

防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序,作为一道保护屏障,它只允许非威胁性流量进入,阻止危险流量进入。

防火墙是client-server模型中网络安全的基础之一,但它们容易受到以下方面的攻击:

  • 社会工程攻击(例如,有人窃取密码并进行欺诈)。
  • 内部威胁(例如,内网中的某人故意更改防火墙设置)。
  • 人为错误(例如,员工忘记打开防火墙或忽略更新通知)。

02 防火墙是如何工作的?

企业在网络中设置内联防火墙,作为外部源和受保护系统之间的边界。

管理员创建阻塞点,防火墙在阻塞点检查所有进出网络的数据包,包含:

  • 有效负载(实际内容)。
  • 标头(有关数据的信息,例如谁发送了数据,发给了谁)。

防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:

  • 源IP和目的IP 地址。
  • 有效负载中的内容。
  • 数据包协议(例如,连接是否使用 TCP/IP 协议)。
  • 应用协议(HTTP、Telnet、FTP、DNS、SSH 等)。
  • 表明特定网络攻击的数据模式。

防火墙阻止所有不符合规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:

  • 默默地放弃请求。
  • 向发件人发送error信息。

这两种选择都可以将危险流量排除在网络之外。

通常,安全团队更喜欢默默放弃请求以限制信息,以防潜在的黑客测试防火墙的漏洞。

03 基于部署方式的防火墙类型

根据部署方式,可以将防火墙分为三种类型:软件防火墙、硬件防火墙和基于云的防火墙。

01 软件防火墙

软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙只保护一台机器(网络终端、台式机、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。

由于管理员将软件防火墙附加到特定设备上,因此这些防火墙不可避免地会占用一些系统 RAM 和 CPU,这在某些情况下是一个问题。

软件防火墙的优点:

  • 为指定设备提供出色的保护。
  • 将各个网络端点彼此隔离。
  • 高精度的安全性,管理员可以完全控制允许的程序。
  • 随时可用。

软件防火墙的缺点:

  • 消耗设备的 CPU、RAM 和存储空间。
  • 需要为每个主机设备配置。
  • 日常维护既困难又耗时。
  • 并非所有设备都与每个防火墙兼容,因此可能必须在同一网络中使用不同的解决方案。

02 硬件防火墙

硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。

与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。

硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。

硬件防火墙的优点:

  • 使用一种解决方案保护多台设备。
  • 顶级边界安全性,因为恶意流量永远不会到达主机设备。
  • 不消耗主机设备资源。
  • 管理员只需为整个网络管理一个防火墙。

硬件防火墙的缺点:

  • 比软件防火墙更昂贵。
  • 内部威胁是一个相当大的弱点。
  • 与基于软件的防火墙相比,配置和管理需要更多的技能。

03 基于云的防火墙

许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。

这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。

基于云的防火墙非常适用于:

  • 高度分散的业务。
  • 在安全资源方面存在缺口的团队。
  • 不具备必要的内部专业知识的公司。

与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。

云防火墙的优点:

  • 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。
  • 用户可以自由扩展云资源以满足流量负载。
  • 无需任何内部硬件。
  • 高可用性。

云防火墙的缺点:

  • 供应商究竟如何运行防火墙缺乏透明度。
  • 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。
  • 流量流经第三方可能会增加延迟和隐私问题。
  • 由于高昂的运营成本,从长远来看是比较贵的。

04 基于操作方法的防火墙类型

下面是基于功能和 OSI 模型的五种类型的防火墙。

01 包过滤防火墙

包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。

这些防火墙检查以下基于标头的信息:

  • 目的地址和源 IP 地址。
  • 数据包类型。
  • 端口号。
  • 网络协议。

这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。

包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。

包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。

包过滤防火墙的优点:

  • 低成本。
  • 快速包过滤和处理。
  • 擅长筛选内部部门之间的流量。
  • 低资源消耗。
  • 对网络速度和最终用户体验的影响最小。
  • 多层防火墙策略中出色的第一道防线。

包过滤防火墙的缺点:

  • 不检查数据包有效负载(实际数据)。
  • 对于有经验的黑客来说很容易绕过。
  • 无法在应用层进行过滤。
  • 容易受到 IP 欺骗攻击,因为它单独处理每个数据包。
  • 没有用户身份验证或日志记录功能。
  • 访问控制列表的设置和管理具有挑战性。

02 电路级网关

电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。

其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。

电路级网关的优点:

  • 仅处理请求的事务,并拒绝所有其他流量。
  • 易于设置和管理。
  • 资源和成本效益。
  • 强大的地址暴露保护。
  • 对最终用户体验的影响最小。

电路级网关的缺点:

  • 不是一个独立的解决方案,因为没有内容过滤。
  • 通常需要对软件和网络协议进行调整。

03 状态检测防火墙

状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。

状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。

该数据库存储所有与关键数据包相关的信息,包括:

  • 源IP。
  • 源端口。
  • 目的 IP。
  • 每个连接的目标端口。

当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。

状态检测防火墙的优点:

  • 过滤流量时会自动通过以前检查过的数据包。
  • 在阻止利用协议缺陷的攻击方面表现出色。
  • 无需打开大量端口来让流量进出,这可以缩小攻击面。
  • 详细的日志记录功能,有助于数字取证。
  • 减少对端口扫描器的暴露。

状态检测防火墙的缺点:

  • 比包过滤防火墙更昂贵。
  • 需要高水平的技能才能正确设置。
  • 通常会影响性能并导致网络延迟。
  • 不支持验证欺骗流量源的身份验证。
  • 容易受到利用预先建立连接的 TCP Flood攻击。

04 代理防火墙

代理防火墙(或应用级网关)充当内部和外部系统之间的中介。

这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。

代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。

当客户端发送访问网络的请求时,消息首先到达代理服务器。

防火墙会检查以下内容:

  • 客户端和防火墙后面的设备之间的先前通信(如果有的话)。
  • 标头信息。
  • 内容本身。

然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。

代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。

代理防火墙的优点:

  • DPI检查数据包标头和有效负载 。
  • 在客户端和网络之间添加了一个额外的隔离层。
  • 对潜在威胁行为者隐藏内部 IP 地址。
  • 检测并阻止网络层不可见的攻击。
  • 对网络流量进行细粒度的安全控制。
  • 解除地理位置限制。

代理防火墙的缺点:

  • 由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。
  • 由于处理开销高,不如其他类型的防火墙成本低。
  • 设置和管理具有挑战性。
  • 不兼容所有网络协议。

05 下一代防火墙

下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。

这样的系统提供:

  • 分析流量内容的深度数据包检测(DPI)。
  • TCP 握手检查。
  • 表层数据包检测。

下一代防火墙还包括额外的网络安全措施,例如:

  • IDS 和 IPS。
  • 恶意软件扫描和过滤。
  • 高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等)
  • 防病毒程序。
  • 网络地址转换 (NAT)。
  • 服务质量 (QoS)功能。
  • SSH检查。

NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。

下一代防火墙的优点:

  • 将传统防火墙功能与高级网络安全功能相结合。
  • 检查从数据链路层到应用层的网络流量。
  • 日志记录功能。

下一代防火墙的缺点:

  • 比其他防火墙更昂贵。
  • 存在单点故障。
  • 部署时间缓慢。
  • 需要高度的专业知识才能设置和运行。
  • 影响网络性能。

任何一个保护层,无论多么强大,都不足以完全保护你的业务。

企业往往会在同一个网络中设置多个防火墙,选择理想的防火墙首先要了解企业网络的架构和功能,确定这些不同类型的防火墙和防火墙策略哪个最适合自己。

通常情况下,企业网络应该设置多层防火墙,既在外围保护又在网络上分隔不同的资产,从而使你的网络更难破解。

整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1309957.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java8新特性:函数式(Functional)接口

我是南城余!阿里云开发者平台专家博士证书获得者! 欢迎关注我的博客!一同成长! 一名从事运维开发的worker,记录分享学习。 专注于AI,运维开发,windows Linux 系统领域的分享! 本…

Spark环境搭建和使用方法

目录 一、安装Spark (一)基础环境 (二)安装Python3版本 (三)下载安装Spark (四)配置相关文件 二、在pyspark中运行代码 (一)pyspark命令 &#xff08…

HTTP 403错误:禁止访问,如何解除

“HTTP 403错误,禁止访问!”这句话是不是听起来就像是在告诉你:“嘿,你没有权限进这个房间!”没错,这就是你尝试访问某个网站或资源时可能会遇到的问题。别急,这里有一份秘籍,教你如…

Cobalt Strike四种提权方法

简介 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战&a…

剧本杀小程序成为创业者新选择,剧本杀小程序开发

剧本杀作为现下年轻人最喜欢的新兴行业,发展前景非常乐观,即使剧本杀目前处于创新发展阶段,但剧本杀行业依然在快速发展中。 根据业内数据,预计2025年剧本杀市场规模能达到四百多亿元。市场规模的扩大自然也吸引来了不少的创业者…

最前端|Locofy试用报告:设计稿直接转换为代码

目录 一、调研目的 二、调研报告设计 三、调研报告 (一)操作步骤 (二)结果初见 (三)初步结论 四、总结 五、补充 一、调研目的 初步调研的目标: locofy 的 实操流程locofy 涉及到的相关工作角色及其…

TOUGH系列软件实践技术应用

TOUGH系列软件是由美国劳伦斯伯克利实验室开发的,旨在解决非饱和带中地下水、热运移的通用模拟软件。和传统地下水模拟软件Feflow和Modflow不同,TOUGH系列软件采用模块化设计和有限积分差网格剖分方法,通过配合不同状态方程(EOS模…

el-tree搜索的使用

2023.12.11今天我学习了如何对el-tree进行搜索的功能,效果如下: 代码如下: 重点部分:给el-tree设置ref,通过监听roleName的变化过滤数据。 default-expand-all可以设置默认展开全部子节点。 check可以拿到当前节点的…

程序员必读:Python 中如何完美处理日志记录?

日志记录在软件开发中扮演着至关重要的角色。它不仅可以帮助开发人员跟踪应用程序的状态和行为,还能提供有价值的诊断信息。Python 提供了内置的 logging 模块,为开发者提供了一个强大且灵活的日志记录工具。 日志的重要性 在软件开发中,对…

数字孪生的开发平台

数字孪生在国内得到了越来越多的关注,一些公司和平台提供了数字孪生的开发服务。以下是一些国内数字孪生的开发平台或服务提供商,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1.华为数字…

低功耗全极霍尔开关国产芯片D02,适用于手机或笔记本电脑等产品中,数字输出 2.4V~5.5V的电池供电

D02 是一款低功耗全极霍尔开关,用于检测施加的磁通量密度,并提供一个数字输出,该输出指示所感测磁通量幅度的当前状态。这些应用的一个例子是翻盖手机中的 ON/OFF 开关。 微功耗设计特别适合电池供电系统,如手机或笔记本电脑&…

短视频自媒体创作者都在用的去水印小程序

如今可以发短视频的平台越来越多,我们经常看到喜欢的视频想下载下来,或者当做手机壁纸,由于直接下载下来视频都会带有平台的水印,让我们用着看起来非常不美观,所以我们就要想办法去掉这个水印,下载没有水印…

HarmonyOS4.0从零开始的开发教程15HTTP数据请求

HarmonyOS(十三)HTTP数据请求 1 概述 日常生活中我们使用应用程序看新闻、发送消息等,都需要连接到互联网,从服务端获取数据。例如,新闻应用可以从新闻服务器中获取最新的热点新闻,从而给用户打造更加丰富…

ubuntu解决问题:E: Unable to locate package manpages-posix-dev

sudo apt-get install manpages-posix-dev 想要在ubuntu里面安装manpages-posix-dev这个包,发现弹出错误 E: Unable to locate package manpages-posix-dev 解决方法如下: 1 查看当前ubuntu的版本 abhishekitsfoss:~$ lsb_release -a No LSB module…

基于ssm神马物流系统论文

摘 要 本神马物流管理系统设计目标是实现神马物流的信息化管理,提高管理效率,使得神马物流管理作规范化、科学化、高效化。 本文重点阐述了神马物流管理系统的开发过程,以实际运用为开发背景,基于SSMVue框架,运用了Ja…

mybatis动态SQL-sql片段

1、建库建表 create database mybatis-example; use mybatis-example; create table emp (empNo varchar(40),empName varchar(100),sal int,deptno varchar(10) ); insert into emp values(e001,张三,8000,d001); insert into emp values(e002,李四,9000,d001); insert into…

用CHAT分析问题的作用

问CHAT:电网数据中心的数据生命周期管理的管理平台是数据资产目录管理平台,简述一下它的作用。 CHAT回复:数据资产目录管理平台 (Data Catalog Management Platform) 是电网数据中心对于数据生命周期管理的重要工具。 1. 提供统一视图&#…

量子计算挑战赛启动!空中客车公司和宝马集团联手发起

(图片来源:网络) 空中客车公司(Airbus)和宝马集团(BMW)共同发起了一项名为“探索量子迁移率”的全球量子计算挑战赛,旨在解决航空和汽车领域仍未克服的紧迫难题。 此次挑战赛汇聚了…

map|二分查找|离线查询|LeetCode:2736最大和查询

本文涉及的基础知识点 二分查找算法合集 题目 给你两个长度为 n 、下标从 0 开始的整数数组 nums1 和 nums2 ,另给你一个下标从 1 开始的二维数组 queries ,其中 queries[i] [xi, yi] 。 对于第 i 个查询,在所有满足 nums1[j] > xi 且…

css3 clip-path剪切图片

大致看了一下,反正以后用到就慢慢调吧 剪切四个角 clip-path: polygon(14px 0, calc(100% - 14px) 0, 100% 14px, 100% calc(100% - 14px), calc(100% - 14px) 100%, 14px 100%, 0 calc(100% - 14px), 0 14px); 三角形 clip-path: polygon(50% 0,0 100%, 100% 100…