8种不同类型的防火墙

news2024/11/29 12:56:13

什么是防火墙?

防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序,作为一道保护屏障,它只允许非威胁性流量进入,阻止危险流量进入。

防火墙是client-server模型中网络安全的基础之一,但它们容易受到以下方面的攻击:

社会工程攻击(例如,有人窃取密码并进行欺诈)。

内部威胁(例如,内网中的某人故意更改防火墙设置)。

人为错误(例如,员工忘记打开防火墙或忽略更新通知)。

图片

防火墙是如何工作的?

企业在网络中设置内联防火墙,作为外部源和受保护系统之间的边界。管理员创建阻塞点,防火墙在阻塞点检查所有进出网络的数据包,包含:

有效负载(实际内容)。

标头(有关数据的信息,例如谁发送了数据,发给了谁)。

防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:

源IP和目的IP 地址。

有效负载中的内容。

数据包协议(例如,连接是否使用 TCP/IP 协议)。

应用协议(HTTP、Telnet、FTP、DNS、SSH 等)。

表明特定网络攻击的数据模式。

防火墙阻止所有不符合规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:

默默地放弃请求。

向发件人发送error信息。

这两种选择都可以将危险流量排除在网络之外。通常,安全团队更喜欢默默放弃请求以限制信息,以防潜在的黑客测试防火墙的漏洞。

基于部署方式的防火墙类型

根据部署方式,可以将防火墙分为三种类型:硬件防火墙、软件防火墙和基于云的防火墙。
图片

软件防火墙

软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙只保护一台机器(网络终端、台式机、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。

由于管理员将软件防火墙附加到特定设备上,因此这些防火墙不可避免地会占用一些系统 RAM 和 CPU,这在某些情况下是一个问题。

软件防火墙的优点:
为指定设备提供出色的保护。

将各个网络端点彼此隔离。

高精度的安全性,管理员可以完全控制允许的程序。

随时可用。

软件防火墙的缺点:
消耗设备的 CPU、RAM 和存储空间。

需要为每个主机设备配置。

日常维护既困难又耗时。

并非所有设备都与每个防火墙兼容,因此可能必须在同一网络中使用不同的解决方案。

硬件防火墙

硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。

硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。

硬件防火墙的优点:
使用一种解决方案保护多台设备。

顶级边界安全性,因为恶意流量永远不会到达主机设备。

不消耗主机设备资源。

管理员只需为整个网络管理一个防火墙。

硬件防火墙的缺点:
比软件防火墙更昂贵。

内部威胁是一个相当大的弱点。

与基于软件的防火墙相比,配置和管理需要更多的技能。

基于云的防火墙

许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。

基于云的防火墙非常适用于:
高度分散的业务。

在安全资源方面存在缺口的团队。

不具备必要的内部专业知识的公司。

与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。

云防火墙的优点:
服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。

用户可以自由扩展云资源以满足流量负载。

无需任何内部硬件。

高可用性。

云防火墙的缺点:
供应商究竟如何运行防火墙缺乏透明度。

与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。

流量流经第三方可能会增加延迟和隐私问题。

由于高昂的运营成本,从长远来看是比较贵的。

图片

基于操作方法的防火墙类型

下面是基于功能和 OSI 模型的五种类型的防火墙。

包过滤防火墙

包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。这些防火墙检查以下基于标头的信息:

目的地址和源 IP 地址。

数据包类型。

端口号。

网络协议。

这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。 包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。

包过滤防火墙的优点:
低成本。

快速包过滤和处理。

擅长筛选内部部门之间的流量。

低资源消耗。

对网络速度和最终用户体验的影响最小。

多层防火墙策略中出色的第一道防线。

包过滤防火墙的缺点:
不检查数据包有效负载(实际数据)。

对于有经验的黑客来说很容易绕过。

无法在应用层进行过滤。

容易受到 IP 欺骗攻击,因为它单独处理每个数据包。

没有用户身份验证或日志记录功能。

访问控制列表的设置和管理具有挑战性。

电路级网关

电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。

电路级网关的优点:
仅处理请求的事务,并拒绝所有其他流量。

易于设置和管理。

资源和成本效益。

强大的地址暴露保护。

对最终用户体验的影响最小。

电路级网关的缺点:
不是一个独立的解决方案,因为没有内容过滤。

通常需要对软件和网络协议进行调整。

状态检测防火墙

状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。

状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息,包括:

源IP。

源端口。

目的 IP。

每个连接的目标端口。

当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。

状态检测防火墙的优点:
过滤流量时会自动通过以前检查过的数据包。

在阻止利用协议缺陷的攻击方面表现出色。

无需打开大量端口来让流量进出,这可以缩小攻击面。

详细的日志记录功能,有助于数字取证。

减少对端口扫描器的暴露。

状态检测防火墙的缺点:
比包过滤防火墙更昂贵。

需要高水平的技能才能正确设置。

通常会影响性能并导致网络延迟。

不支持验证欺骗流量源的身份验证。

容易受到利用预先建立连接的 TCP Flood攻击。

代理防火墙

代理防火墙(或应用级网关)充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。

代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。

当客户端发送访问网络的请求时,消息首先到达代理服务器。

防火墙会检查以下内容:
客户端和防火墙后面的设备之间的先前通信(如果有的话)。

标头信息。

内容本身。

然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。

代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。

代理防火墙的优点:
DPI检查数据包标头和有效负载 。

在客户端和网络之间添加了一个额外的隔离层。

对潜在威胁行为者隐藏内部 IP 地址。

检测并阻止网络层不可见的攻击。

对网络流量进行细粒度的安全控制。

解除地理位置限制。

代理防火墙的缺点:
由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。

由于处理开销高,不如其他类型的防火墙成本低。

设置和管理具有挑战性。

不兼容所有网络协议。

下一代防火墙

下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。这样的系统提供:

分析流量内容的深度数据包检测(DPI)。

TCP 握手检查。

表层数据包检测。

下一代防火墙还包括额外的网络安全措施,例如:
IDS 和 IPS。

恶意软件扫描和过滤。

高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等)

防病毒程序。

网络地址转换 (NAT)。

服务质量 (QoS)功能。

SSH检查。

NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。

下一代防火墙的优点:
将传统防火墙功能与高级网络安全功能相结合。

检查从数据链路层到应用层的网络流量。

日志记录功能。

下一代防火墙的缺点:
比其他防火墙更昂贵。

存在单点故障。

部署时间缓慢。

需要高度的专业知识才能设置和运行。

影响网络性能。

任何一个保护层,无论多么强大,都不足以完全保护你的业务。企业往往会在同一个网络中设置多个防火墙,选择理想的防火墙首先要了解企业网络的架构和功能,确定这些不同类型的防火墙和防火墙策略哪个最适合自己。通常情况下,企业网络应该设置多层防火墙,既在外围保护又在网络上分隔不同的资产,从而使你的网络更难破解。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/470469.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

R语言 | 处理矩阵与更高维数据

目录 一、矩阵 1.1 建立矩阵 ​1.2 认识矩阵的属性 1.3 将向量组成矩阵 二、取得矩阵元素的值 2.1 矩阵元素的取得 2.2 使用负索引取得矩阵元素 三、修改矩阵的元素值 四、降低矩阵的维度 五、矩阵的行名和列名 5.1 取得和修改矩阵对象的行名和列名 5.2 dimnames()函数…

【MySQL自学之路】第4天——模式、表、视图、索引(数据定义详细版)

目录 前言 数据库 数据库的建立 数据库的使用 数据库的查看 数据库的删除 模式 查看所有的模式 模式和数据库之间的关系 ​编辑建立模式 删除模式 表 数据类型 查看一个数据库下面的所有表(必须进入要查看的数据库) 创建基本表 查看表结构(查看表建…

EU GMP附录一与关键区域空气微生物取样方案及相关法规标准解读

2022版EU GMP附录一与关键区域空气微生物取样方案疑问解答 3月30日2022版EU GMP附录一与关键区域空气微生物取样方案网络研讨会期间,我们收集到了部分参会听众针对该主题所提出的常见问题。根据以下这些问题,lighthouse微生物应用专家将来为您答疑解惑。…

多功能自动化智能运维平台,提升集群的全自动运维效率

一、开源项目简介 致力于打造一个集主机管理、配置部署、监控报警、异常诊断、安全审计等一系列功能的自动化运维平台。 探索创新的sysAK、ossre诊断工具及高效的LCC(Libbpf Compiler Collection)开发编译平台和netinfo网络抖动问题监控系统等&#xff…

放射学中的自然语言处理技术综述

放射学中的自然语言处理技术综述 写在最前面预览CLINICAL APPLICATIONS Automatic Protocoling 临床应用程序自动协议Extraction of Language Features, Patient Cohorting, and Coded Ontology from Charts 从图表中提取语言特征、患者队列和编码本体Medical Imaging Appropri…

vulnhub靶场之bluemoon

1.信息收集 存活主机进行探测,发现主机192.168.239.176存活。 对主机192.168.239.176进行端口扫描,发现21、22、80端口 访问http://192.168.239.176,并查看源码未发现可利用的行为。 进行目录扫描发现可疑路径/hidden_text 浏览器访问h…

Python的经典结构算法

学会了 Python 基础知识,想进阶一下,那就来点算法吧!毕竟编程语言只是工具,结构算法才是灵魂。 那新手如何入门 Python 算法呢? 几位印度小哥在 GitHub 上建了一个各种 Python 算法的新手入门大全。从原理到代码&…

SQL server 数据库同步(发布与订阅)【解决办法】

SQL server 数据库同步(发布与订阅)【解决办法】 一、本地防火墙放通二、创建共享文件夹2.1 在发布服务器上创建共享文件夹,该文件夹用于提供数据库信息同步的媒介2.2 设置共享权限,添加所有人,权限为读取 三、发布服务…

NetMQ | 发布订阅时使用含通配符的Topic

NetMQ | 发布订阅时使用含通配符的Topic 文章目录 NetMQ | 发布订阅时使用含通配符的Topic前言通配符如何使用通配符通配符的作用结束语 前言 今天我来介绍一下NetMQ发布订阅时如何使用含通配符的Topic,让我们能够更加灵活地订阅消息。 什么是Topic? 在NetMQ中&am…

这一次,让Kotlin Flow 操作符真正好用起来

前言 Kotlin Flow 如此受欢迎大部分归功于其丰富、简洁的操作符,巧妙使用Flow操作符可以大大简化我们的程序结构,提升可读性与可维护性。 然而,虽然好用,但有些操作符不太好理解,可惜的是网上大部分文章只是简单介绍其…

1970-01-01是什么?为什么计算机起始时间是1970年1月1日

我们是不是也曾见到过或者听说过1970-01-01,而且它好像常常存在于计算机行业,非常常见,从事IT行业的兄弟应该都接触过,那么到底为什么是1970-01-01,而不是其他呢? 其实,1970-01-01对于开发者来说都是不陌生…

带你了解现在的LED显示屏技术

随着LED显示屏技术的空前繁荣,LED显示屏产品备受关注,广泛应用于商业广告、实况播映、交通诱导、舞台演绎等领域,发展至今。你了解十大中国LED显示屏制造商吗? LED显示屏技术已经得到了长足的发展,现在的LED显示屏技术…

智融合·共未来丨智合同携手百融云创打造合同智能化应用服务平台

人工智能技术是当今社会的热议话题之一。近年来,众多企业在人工智能领域持续布局,相关技术已在社会生产各环节极大地提高了生产效率。如果把过去信息技术产业的发展比喻为“手工时代”,那么人工智能技术的出现则将把信息技术产业推向“自动化…

数据库迁移 | DBMotion v23.04 支持异地多活

Squids DBMotion新版本支持异地多中心双活同步了。异地多活支持业务在多个数据中心同时操作数据库,能极大地提升高可用性、容错性和用户体验。其中最关键的技术,无疑是数据同步、同步防环和数据冲突解决。Squids DBMotion通过复制数据打标和预置冲突策略…

生产凭证补传操作步骤

凭证包文件包含:身份证正面、身份证背面、拍照图片、身份证头像图片、联网核查文件、签名文件、签名轨迹文本、凭证json文件。 一、证件信息重复或者模糊。 1.提供业务流水号、证件信息。 2.将证件信息通过安全U盘导入生产机。 3.根据业务流水号前8位设备号及业务流…

电信及互联网行业数据安全内控审计建设实践 | 盾见

文|龚磊 伴随数据安全“五法一典”出齐,2021年成为我国数据安全元年。各地、各行业不断加快数据安全政策体系的完善与落地执行。政企机构不断强化数据安全建设,共同助力网络安全行业高景气度维系。 2021年6月,网络安全等保测评报告模板新版发…

计算机网络学习02

1、TCP 与 UDP 的区别? 是否面向连接 : UDP 在传送数据之前不需要先建立连接。而 TCP 提供面向连接的服务,在传送数据之前必须先建立连接,数据传送结束后要释放连接。是否是可靠传输: 远地主机在收到 UDP 报文后&…

《2023中国企业数智化转型升级服务全景图/产业图谱1.0版》重磅发布

‍ 数据猿出品 本次“数据猿2023年度三大媒体策划活动——《2023企业数智化转型升级服务全景图/产业图谱1.0版》”的发布,是数据猿在2022年3.0版本的基础上,迭代升级的2023开年的第一个版本。本年度下一次版本迭代将于2023年8月底发布2023年2.0版&#x…

Java学习18(Java内存区域详解)

对于 Java 程序员来说,在虚拟机自动内存管理机制下,不再需要像 C/C程序开发程序员这样为每一个 new 操作去写对应的 delete/free 操作,不容易出现内存泄漏和内存溢出问题。正是因为 Java 程序员把内存控制权利交给 Java 虚拟机,一…

前端web3入门脚本二:初探dex,在dex完成一笔swap

前言 现在市面上大多数去中心化交易所(简称dex)都是fork的uniswap的代码,名气比较大的如eth上的sushi 以及 bsc上的pancake。博主这里说的都是V2,uniswapV3在这里不做讨论。那么知道了他们的代码都是来自同一父亲之后,…