详解8种不同类型的防火墙

news2024/11/15 10:23:45

9c0325894ba24fd5968e18948a2050f1.jpg


 

 

f41e8453b3ca46a2a8a27143c573c115.png

什么是防火墙?

 

防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序,作为一道保护屏障,它只允许非威胁性流量进入,阻止危险流量进入。

 

防火墙是client-server模型中网络安全的基础之一,但它们容易受到以下方面的攻击:

 

  • 社会工程攻击(例如,有人窃取密码并进行欺诈)。

  • 内部威胁(例如,内网中的某人故意更改防火墙设置)。

  • 人为错误(例如,员工忘记打开防火墙或忽略更新通知)。

c5ce82ffbc404763bf625ffc26f6e767.png

 

3735cfbe0c864e9fbda29f2d3ca71570.png

防火墙是如何工作的?

 

企业在网络中设置内联防火墙,作为外部源和受保护系统之间的边界。管理员创建阻塞点,防火墙在阻塞点检查所有进出网络的数据包,包含:

 

  • 有效负载(实际内容)。

  • 标头(有关数据的信息,例如谁发送了数据,发给了谁)。

     

防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:

 

  • 源IP和目的IP 地址。

  • 有效负载中的内容。

  • 数据包协议(例如,连接是否使用 TCP/IP 协议)。

  • 应用协议(HTTP、Telnet、FTP、DNS、SSH 等)。

  • 表明特定网络攻击的数据模式。

 

防火墙阻止所有不符合规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:

 

  • 默默地放弃请求。

  • 向发件人发送error信息。

 

这两种选择都可以将危险流量排除在网络之外。通常,安全团队更喜欢默默放弃请求以限制信息,以防潜在的黑客测试防火墙的漏洞。

 

558bcd610bb64de7a766b29a8e29fbb3.png

基于部署方式的防火墙类型

 

根据部署方式,可以将防火墙分为三种类型:硬件防火墙、软件防火墙和基于云的防火墙。

f34582e9f07f4d0ca9f64f2650704492.png

 

软件防火墙

软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙只保护一台机器(网络终端、台式机、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。

 

由于管理员将软件防火墙附加到特定设备上,因此这些防火墙不可避免地会占用一些系统 RAM 和 CPU,这在某些情况下是一个问题。

 

软件防火墙的优点:

  • 为指定设备提供出色的保护。

  • 将各个网络端点彼此隔离。

  • 高精度的安全性,管理员可以完全控制允许的程序。

  • 随时可用。

 

软件防火墙的缺点:

  • 消耗设备的 CPU、RAM 和存储空间。

  • 需要为每个主机设备配置。

  • 日常维护既困难又耗时。

  • 并非所有设备都与每个防火墙兼容,因此可能必须在同一网络中使用不同的解决方案。

     

硬件防火墙

硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。

 

硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。

 

硬件防火墙的优点:

  • 使用一种解决方案保护多台设备。

  • 顶级边界安全性,因为恶意流量永远不会到达主机设备。

  • 不消耗主机设备资源。

  • 管理员只需为整个网络管理一个防火墙。

 

硬件防火墙的缺点:

  • 比软件防火墙更昂贵。

  • 内部威胁是一个相当大的弱点。

  • 与基于软件的防火墙相比,配置和管理需要更多的技能。

     

基于云的防火墙

许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。

 

基于云的防火墙非常适用于:

  • 高度分散的业务。

  • 在安全资源方面存在缺口的团队。

  • 不具备必要的内部专业知识的公司。

 

与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。

 

云防火墙的优点:

  • 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。

  • 用户可以自由扩展云资源以满足流量负载。

  • 无需任何内部硬件。

  • 高可用性。

 

云防火墙的缺点:

  • 供应商究竟如何运行防火墙缺乏透明度。

  • 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。

  • 流量流经第三方可能会增加延迟和隐私问题。

  • 由于高昂的运营成本,从长远来看是比较贵的。

c0f4644cb7124146986108b236072e38.png

基于操作方法的防火墙类型

 

下面是基于功能和 OSI 模型的五种类型的防火墙。

a2f7b286b64a44438e6b19ef5d7ec7ea.png

 

包过滤防火墙

包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。这些防火墙检查以下基于标头的信息:

 

  • 目的地址和源 IP 地址。

  • 数据包类型。

  • 端口号。

  • 网络协议。

 

这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。 包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。

 

包过滤防火墙的优点:

  • 低成本。

  • 快速包过滤和处理。

  • 擅长筛选内部部门之间的流量。

  • 低资源消耗。

  • 对网络速度和最终用户体验的影响最小。

  • 多层防火墙策略中出色的第一道防线。

 

包过滤防火墙的缺点:

  • 不检查数据包有效负载(实际数据)。

  • 对于有经验的黑客来说很容易绕过。

  • 无法在应用层进行过滤。

  • 容易受到 IP 欺骗攻击,因为它单独处理每个数据包。

  • 没有用户身份验证或日志记录功能。       

  • 访问控制列表的设置和管理具有挑战性。

     

电路级网关

电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。

 

电路级网关的优点:

  • 仅处理请求的事务,并拒绝所有其他流量。

  • 易于设置和管理。

  • 资源和成本效益。

  • 强大的地址暴露保护。

  • 对最终用户体验的影响最小。

 

电路级网关的缺点:

  • 不是一个独立的解决方案,因为没有内容过滤。

  • 通常需要对软件和网络协议进行调整。

     

状态检测防火墙

状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。

 

状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息,包括:

 

  • 源IP。

  • 源端口。

  • 目的 IP。

  • 每个连接的目标端口。

 

当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。

 

状态检测防火墙的优点:

  • 过滤流量时会自动通过以前检查过的数据包。

  • 在阻止利用协议缺陷的攻击方面表现出色。

  • 无需打开大量端口来让流量进出,这可以缩小攻击面。

  • 详细的日志记录功能,有助于数字取证。

  • 减少对端口扫描器的暴露。

 

状态检测防火墙的缺点:

  • 比包过滤防火墙更昂贵。

  • 需要高水平的技能才能正确设置。

  • 通常会影响性能并导致网络延迟。

  • 不支持验证欺骗流量源的身份验证。

  • 容易受到利用预先建立连接的 TCP Flood攻击。

     

代理防火墙

代理防火墙(或应用级网关)充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。

 

代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。

 

当客户端发送访问网络的请求时,消息首先到达代理服务器。

 

防火墙会检查以下内容:

  • 客户端和防火墙后面的设备之间的先前通信(如果有的话)。

  • 标头信息。

  • 内容本身。

 

然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。

 

代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。

 

代理防火墙的优点:

  • DPI检查数据包标头和有效负载 。

  • 在客户端和网络之间添加了一个额外的隔离层。

  • 对潜在威胁行为者隐藏内部 IP 地址。

  • 检测并阻止网络层不可见的攻击。

  • 对网络流量进行细粒度的安全控制。

  • 解除地理位置限制。

 

代理防火墙的缺点:

  • 由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。

  • 由于处理开销高,不如其他类型的防火墙成本低。

  • 设置和管理具有挑战性。

  • 不兼容所有网络协议。

     

下一代防火墙

下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。这样的系统提供:

 

  • 分析流量内容的深度数据包检测(DPI)。

  • TCP 握手检查。

  • 表层数据包检测。

 

下一代防火墙还包括额外的网络安全措施,例如:

  • IDS 和 IPS。

  • 恶意软件扫描和过滤。

  • 高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等)

  • 防病毒程序。

  • 网络地址转换 (NAT)。

  • 服务质量 (QoS)功能。

  • SSH检查。

 

NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。

 

下一代防火墙的优点:

  • 将传统防火墙功能与高级网络安全功能相结合。

  • 检查从数据链路层到应用层的网络流量。

  • 日志记录功能。

 

下一代防火墙的缺点:

  • 比其他防火墙更昂贵。

  • 存在单点故障。

  • 部署时间缓慢。

  • 需要高度的专业知识才能设置和运行。

  • 影响网络性能。

 

总结

任何一个保护层,无论多么强大,都不足以完全保护你的业务。企业往往会在同一个网络中设置多个防火墙,选择理想的防火墙首先要了解企业网络的架构和功能,确定这些不同类型的防火墙和防火墙策略哪个最适合自己。通常情况下,企业网络应该设置多层防火墙,既在外围保护又在网络上分隔不同的资产,从而使你的网络更难破解。

 

欢迎点赞收藏转发,感谢🙏

-End-



 

 

 

 

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/690443.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

选择低代码平台的正确方式

传统开发模式早已不能满足大多数追求效率的企业的要求,低代码平台的出现正是可以缓解相应的开发压力,作为使用者我们更应该擦亮眼睛,选择合适的平台产品,充分利用新技术带来的新价值。小编在以前的文章有介绍过低代码平台应该如何…

php中的双引号与单引号的基本使用

字符串,在各类编程语言中都是一个非常重要的数据类型 网页当中的图片,文字,特殊符号,HTMl标签,英文等都属于字符串 PHP字符串变量用于存储并处理文本, 在创建字符串之后,我们就可以对它进行操作。我们可以直接在函数中使用字符串,或者把它存储在变量中 字…

360手机命令行进入fastboot线刷模式 360手机刷机

360手机命令行进入fastboot线刷模式 360手机刷机 参考:360手机-360刷机360刷机包twrp、root 360刷机包360手机刷机:360rom.github.io 【前言】 因360手机特殊;且因机器情况而异;导致360手机进不去fastboot线刷模式、360手机进…

基于Java+Swing实现坦克大战游戏

基于JavaSwing实现坦克大战游戏 一、系统介绍二、功能展示三、其他系统四、获取源码 一、系统介绍 此系统是使用Java语言实现坦克大战游戏程序,玩家通过连接访问进入游戏,通过操纵坦克来守卫基地,玩家还可以获得超级武器来提升坦克的属性&am…

点云特征描述子概述、PFH描述子提取

1、 6种点云特征描述子简概 NARF(Normal Aligned Radial Feature)特征点描述子:NARF描述子是一种基于法线对齐的径向特征描述子。它通过将点云表面分割为小的网格单元,并计算每个单元中的法线直方图,从而提取特征。NA…

【网站监控】如何监控自己的网站(接口)

网站监控-如何监控自己的网站 前言一、开始使用1、使用API进行监控数据采集?2、请求参数3、如何查看监控效果? 二、注意点 前端必备工具(免费图床、API、chatAI等)推荐网站LuckyCola: https://luckycola.com.cn/ 前言 网站接口监控是指对接口的状态进…

Keil为啥比IAR更受欢迎?

关注星标公众号,不错过精彩内容 作者 | strongerHuang 微信公众号 | strongerHuang 最近交流群在讨论【选择Keil和IAR的问题】,这就顺便展开来说下。 你可能觉得Keil、IAR这种集成开发环境界面比较古老,又不好用。 但是,这里告诉大…

ConcurrentModificationException异常分析与解决

ConcurrentModificationException异常分析与解决 1、场景重现,制造ConcurrentModificationException异常 Testpublic void ConcurrentModificationExceptionTest() {JSONArray jsonArray new JSONArray();JSONObject jsonObject new JSONObject();jsonObject.put…

改写cocos2d的ProgressTimer实现任意起始点的Radial进度条

解释一下要做的事: 原生ProgressTimer控件的进度起始点只能是在(0.5,1)的位置,如下: 我们要改成可以将矩形边上的任意点作为起始点,如下: 首先讲一下绘制的逻辑: 先根…

3: PCIe BDF(Bus,Device,Function)

目录 1.概述 2.BUS:总线号 3.Device:设备号 4.Function:功能号 1.概述 PCIe总线中的每一个功能都有一个唯一的标识符与之对应。这个标识符就是BDF(Bus,Device,Function) 2.BUS:总…

基于Java客户管理系统设计实现(源码+lw+部署文档+讲解等)

博主介绍: ✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战 ✌ 🍅 文末获取源码联系 🍅 👇🏻 精…

SSD202D-GPIO调试驱动-三

前面又两个介绍 SSD202D-GPIO调试驱动-一 SSD202D-GPIO调试驱动-二 主要是调试方法: insmod gpio_lonbon.ko 然后可以再看到一下节点 //出现以下节点 proc/gpio-lb/dbg sys/kernel/debug/gpio-lb/debug sys/class/gpio-lb/ dev/gpio-lb 然后

python中MongoEngine简单使用

python中MongoEngine简单使用 1 MongoEngine介绍 MongoEngine是一个处理MongoDB的对象文档映射器。pymongo是非面向对象的方式操作数据。 MongoEngine开发文档 # 开发文档 http://docs.mongoengine.org/index.html# 数据类型 http://docs.mongoengine.org/apireference.htm…

Excel 2019访问SQL Server数据库的实现过程

源之:https://vip.kingdee.com/article/288066926977041920?productLineId11 在日常ERP系统实施过程中,往往会遇到客户的一些个性化需求,比如有些客户习惯用Excel电子表格来查看ERP系统中的数据,业余拓展学习了一下,借…

STM32cubeMX配置工程(全过程+修改MCU方法+注意事项)

1.修改默认的固件包下载路径,避免占用C盘空间 2、选择ACCESS TO MCU 3、在跳出的界面中的Part Number中搜索对应的芯片型号 4、选好后在右下角双击对应的芯片,然后跳出配置界面 左边可以配置外设,右边可以配置每个IO口的功能 System Core包括…

java之路——带你了解SpringSecurity安全框架与基本应用

文章目录 一、什么是SpringSecurity二、SpringSecurity的主要应用场合三、springsecurity代码步骤 一、什么是SpringSecurity **Spring Security是一个功能强大的开源框架,用于在Java应用程序中实现身份验证和授权功能。它提供了一套全面的安全性解决方案&#xff…

java设计模式(二十三)访问者模式

目录 定义模式结构角色职责代码实现适用场景优缺点定义 访问者模式是一种行为型模式,它允许你定义一个作用于某个对象结构中的各个元素的操作,而同时又不改变这些元素的类。该模式的核心思想是将数据结构与数据操作分离,从而可以在不改变数据结构的前提下定义新的操作。 模…

【爆肝四万字!操作系统原理95+】期末考试知识点超超全总结

本文涵盖了笔者本学期学习“操作系统原理”课程的所有重要内容,还包含了一定量的经典例题。纯干货,不废话!目的在于知识的记录,便于今后的回顾,同时也希望对即将考试的朋友们有帮助。 目录 操作系统概述 操作系统的…

前端Vue自定义加载中loading加载结束end组件 可用于分页展示 页面加载请求

前端Vue自定义加载中loading加载结束end组件 可用于分页展示 页面加载请求&#xff0c; 请访问uni-app插件市场地址&#xff1a;https://ext.dcloud.net.cn/plugin?id13219 效果图如下&#xff1a; 实现代码如下&#xff1a; # cc-paging #### 使用方法 使用方法 <!--…

Floyd 算法研究(P 矩阵详解)

Floyd 算法研究 理论基础 求最短路径Floyd算法&#xff01; Floyed&#xff08;floyd&#xff09;算法详解 Floyd-傻子也能看懂的弗洛伊德算法 最短路径Floyd算法【图文详解】 最短路径问题—Floyd算法详解 算法&#xff1a;最短路径之弗洛伊德&#xff08;Floyd&#xff09;算…