8 种不同类型的防火墙

一、什么是防火墙?

防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序,作为一道保护屏障,它只允许非威胁性流量进入,阻止危险流量进入。

防火墙是client-server模型中网络安全的基础之一,但它们容易受到以下方面的攻击:

  • 社会工程攻击(例如,有人窃取密码并进行欺诈)。

  • 内部威胁(例如,内网中的某人故意更改防火墙设置)。

  • 人为错误(例如,员工忘记打开防火墙或忽略更新通知)。

图片

二、防火墙是如何工作的?

企业在网络中设置内联防火墙,作为外部源和受保护系统之间的边界。管理员创建阻塞点,防火墙在阻塞点检查所有进出网络的数据包,包含:

  • 有效负载(实际内容)。

  • 标头(有关数据的信息,例如谁发送了数据,发给了谁)。

防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:

  • 源IP和目的IP 地址。

  • 有效负载中的内容。

  • 数据包协议(例如,连接是否使用 TCP/IP 协议)。

  • 应用协议(HTTP、Telnet、FTP、DNS、SSH 等)。

  • 表明特定网络攻击的数据模式。

防火墙阻止所有不符合规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:

  • 默默地放弃请求。

  • 向发件人发送error信息。

这两种选择都可以将危险流量排除在网络之外。通常,安全团队更喜欢默默放弃请求以限制信息,以防潜在的黑客测试防火墙的漏洞。

三、基于部署方式的防火墙类型

根据部署方式,可以将防火墙分为三种类型:硬件防火墙、软件防火墙和基于云的防火墙。

图片

1、软件防火墙

软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙只保护一台机器(网络终端、台式机、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。

由于管理员将软件防火墙附加到特定设备上,因此这些防火墙不可避免地会占用一些系统 RAM 和 CPU,这在某些情况下是一个问题。

软件防火墙的优点:

  • 为指定设备提供出色的保护。

  • 将各个网络端点彼此隔离。

  • 高精度的安全性,管理员可以完全控制允许的程序。

  • 随时可用。

软件防火墙的缺点:

  • 消耗设备的 CPU、RAM 和存储空间。

  • 需要为每个主机设备配置。

  • 日常维护既困难又耗时。

  • 并非所有设备都与每个防火墙兼容,因此可能必须在同一网络中使用不同的解决方案。

2、硬件防火墙

硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。

硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。

硬件防火墙的优点:

  • 使用一种解决方案保护多台设备。

  • 顶级边界安全性,因为恶意流量永远不会到达主机设备。

  • 不消耗主机设备资源。

  • 管理员只需为整个网络管理一个防火墙。

硬件防火墙的缺点:

  • 比软件防火墙更昂贵。

  • 内部威胁是一个相当大的弱点。

  • 与基于软件的防火墙相比,配置和管理需要更多的技能。

3、基于云的防火墙

许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。

基于云的防火墙非常适用于:

  • 高度分散的业务。

  • 在安全资源方面存在缺口的团队。

  • 不具备必要的内部专业知识的公司。

与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。

云防火墙的优点:

  • 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。

  • 用户可以自由扩展云资源以满足流量负载。

  • 无需任何内部硬件。

  • 高可用性。

云防火墙的缺点:

  • 供应商究竟如何运行防火墙缺乏透明度。

  • 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。

  • 流量流经第三方可能会增加延迟和隐私问题。

  • 由于高昂的运营成本,从长远来看是比较贵的。

四、基于操作方法的防火墙类型

下面是基于功能和 OSI 模型的五种类型的防火墙。

图片

1、包过滤防火墙

包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。这些防火墙检查以下基于标头的信息:

  • 目的地址和源 IP 地址。

  • 数据包类型。

  • 端口号。

  • 网络协议。

这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。 包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。

包过滤防火墙的优点:

  • 低成本。

  • 快速包过滤和处理。

  • 擅长筛选内部部门之间的流量。

  • 低资源消耗。

  • 对网络速度和最终用户体验的影响最小。

  • 多层防火墙策略中出色的第一道防线。

包过滤防火墙的缺点:

  • 不检查数据包有效负载(实际数据)。

  • 对于有经验的黑客来说很容易绕过。

  • 无法在应用层进行过滤。

  • 容易受到 IP 欺骗攻击,因为它单独处理每个数据包。

  • 没有用户身份验证或日志记录功能。       

  • 访问控制列表的设置和管理具有挑战性。

2、电路级网关

电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。

电路级网关的优点:

  • 仅处理请求的事务,并拒绝所有其他流量。

  • 易于设置和管理。

  • 资源和成本效益。

  • 强大的地址暴露保护。

  • 对最终用户体验的影响最小。

电路级网关的缺点:

  • 不是一个独立的解决方案,因为没有内容过滤。

  • 通常需要对软件和网络协议进行调整。

3、状态检测防火墙

状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。

状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息,包括:

  • 源IP。

  • 源端口。

  • 目的 IP。

  • 每个连接的目标端口。

当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。

状态检测防火墙的优点:

  • 过滤流量时会自动通过以前检查过的数据包。

  • 在阻止利用协议缺陷的攻击方面表现出色。

  • 无需打开大量端口来让流量进出,这可以缩小攻击面。

  • 详细的日志记录功能,有助于数字取证。

  • 减少对端口扫描器的暴露。

状态检测防火墙的缺点:

  • 比包过滤防火墙更昂贵。

  • 需要高水平的技能才能正确设置。

  • 通常会影响性能并导致网络延迟。

  • 不支持验证欺骗流量源的身份验证。

  • 容易受到利用预先建立连接的 TCP Flood攻击。

4、代理防火墙

代理防火墙(或应用级网关)充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。

代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。

当客户端发送访问网络的请求时,消息首先到达代理服务器。

防火墙会检查以下内容:

  • 客户端和防火墙后面的设备之间的先前通信(如果有的话)。

  • 标头信息。

  • 内容本身。

然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。

代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。

代理防火墙的优点:

  • DPI检查数据包标头和有效负载 。

  • 在客户端和网络之间添加了一个额外的隔离层。

  • 对潜在威胁行为者隐藏内部 IP 地址。

  • 检测并阻止网络层不可见的攻击。

  • 对网络流量进行细粒度的安全控制。

  • 解除地理位置限制。

代理防火墙的缺点:

  • 由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。

  • 由于处理开销高,不如其他类型的防火墙成本低。

  • 设置和管理具有挑战性。

  • 不兼容所有网络协议。

5、下一代防火墙

下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。这样的系统提供:

  • 分析流量内容的深度数据包检测(DPI)。

  • TCP 握手检查。

  • 表层数据包检测。

下一代防火墙还包括额外的网络安全措施,例如:

  • IDS 和 IPS。

  • 恶意软件扫描和过滤。

  • 高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等)

  • 防病毒程序。

  • 网络地址转换 (NAT)。

  • 服务质量 (QoS)功能。

  • SSH检查。

NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。

下一代防火墙的优点:

  • 将传统防火墙功能与高级网络安全功能相结合。

  • 检查从数据链路层到应用层的网络流量。

  • 日志记录功能。

下一代防火墙的缺点:

  • 比其他防火墙更昂贵。

  • 存在单点故障。

  • 部署时间缓慢。

  • 需要高度的专业知识才能设置和运行。

  • 影响网络性能。

任何一个保护层,无论多么强大,都不足以完全保护你的业务。企业往往会在同一个网络中设置多个防火墙,选择理想的防火墙首先要了解企业网络的架构和功能,确定这些不同类型的防火墙和防火墙策略哪个最适合自己。通常情况下,企业网络应该设置多层防火墙,既在外围保护又在网络上分隔不同的资产,从而使你的网络更难破解。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/344543.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

内网环境pip使用代理服务器安装依赖库

目录 使用proxy参数配置pip代理 使用配置文件配置pip代理 其他 由于公司内部网络无法访问外网导致安装依赖库失败,现将安装方法如下记录。 使用proxy参数配置pip代理 如不使用离线安装方法,可利用pip的--proxy参数进行代理的配置,使用方法…

1.15火星人(全排列+变进制数),涂国旗(搜索)

P1088 [NOIP2004 普及组] 火星人 首先是要得到当前排序的排名&#xff0c;其次是要得到它的排名 n进制就是说满n就进&#xff0c;该位上不可能保持为n&#xff0c;最多保持为n-1&#xff1b; 变进制数 #include<iostream> #include<iomanip> #include<vector…

力扣518. 零钱兑换 II

动态规划 思路&#xff1a; 假设 dp[i] 为金额 i 使用零钱的组合数&#xff0c;其可以由其中的一种零钱 coin 和 i - coin 组合&#xff1b; 遍历零钱数组&#xff0c;对每一种零钱 coin 进行如下操作&#xff1a; 从 coin 到 amount 金额进行遍历&#xff0c;dp[j] dp[j] d…

【深度学习:Collaborative filtering 协同过滤】深入了解协同过滤:技术、应用与示例

此图显示了使用协作筛选预测用户评分的示例。起初&#xff0c;人们会对不同的项目&#xff08;如视频、图像、游戏&#xff09;进行评分。之后&#xff0c;系统将对用户对项目进行评分的预测&#xff0c;而用户尚未评分。这些预测基于其他用户的现有评级&#xff0c;这些用户与…

安全基础~通用漏洞1

文章目录 知识补充Acess数据库注入MySQL数据库PostgreSQL-高权限读写注入MSSQL-sa高权限读写执行注入Oracle 注入Mongodb 注入sqlmap基础命令 知识补充 order by的意义&#xff1a; union 操作符用于合并两个或多个 select语句的结果集。 union 内部的每个 select 语句必须拥有…

k8s详细教程(二)

5. Pod 详解 5.1 Pod 介绍 5.1.1 Pod 结构 每个 Pod 中都可以包含一个或者多个容器&#xff0c;这些容器可以分为两类&#xff1a; 用户程序所在的容器&#xff0c;数量可多可少Pause 容器&#xff0c;这是每个 Pod 都会有的一个根容器&#xff0c;它的作用有两个&#xff1…

感性负载对电路稳定性有什么影响?

感性负载是指带有电感元件的负载&#xff0c;如电动机、变压器等。在电路中&#xff0c;感性负载对电路稳定性有很大的影响。本文将从以下几个方面来分析感性负载对电路稳定性的影响&#xff1a; 当感性负载接通或断开时&#xff0c;会产生一个瞬时电流&#xff0c;这个瞬时电流…

GPT5?OpenAI 创始人:GPT5 已在训练中,需要更多数据

OpenAI 最近发出征集大规模数据集的呼吁&#xff0c;特别是“今天在互联网上尚未公开轻松获取”的数据集&#xff0c;尤其是长篇写作或任何格式的对话。 GPT-5丨AI浪潮席卷全球&#xff0c;OpenAI 推出GPT-4 后&#xff0c;又于上月26日宣布今年9月、10月将推出GPT-4.5&#xf…

C++PythonC# 三语言OpenCV从零开发(4):视频流读取

文章目录 相关链接视频流读取CCSharpPython 总结 相关链接 C&Python&Csharp in OpenCV 专栏 【2022B站最好的OpenCV课程推荐】OpenCV从入门到实战 全套课程&#xff08;附带课程课件资料课件笔记&#xff09; OpenCV 教程中文文档|OpenCV中文 OpenCV教程中文文档|W3Csc…

第九篇 华为云Iot SDK的简单应用

第九篇 华为云Iot SDK的简单应用 一、华为云Iot SDK API的简单使用 1.初始化SDK 2.绑定连接配置信息 3.连接服务器 4.上报属性 5.接收命令 二、实现智能家居灯光状态上报 &#x1f516;以下是上报数据到华为云Iot的代码片段&#xff0c;配合串口控制灯光&#xff0c;改变灯…

【论文阅读】Automated Runtime-Aware Scheduling for Multi-Tenant DNN Inference on GPU

该论文发布在 ICCAD’21 会议。该会议是EDA领域的顶级会议。 基本信息 AuthorHardwareProblemPerspectiveAlgorithm/StrategyImprovment/AchievementFuxun YuGPUResource under-utilization ContentionSW SchedulingOperator-level schedulingML-based scheduling auto-searc…

Ant Design Vue详解a-tree-select使用树形选择器,递归渲染数据,点击选项回显,一二级菜单是否可选等问题

后台给的树形数据&#xff1a; {"code": 200,"data": [{"code": "jsd","children": [{"code": "hx","children": [],"name": "航向","id": 8,"libTable…

Vue开始封装全局防抖和节流函数

封装文件 封装文件的实现思路如下&#xff1a; 首先&#xff0c;我们需要定义两个函数&#xff1a;防抖函数和节流函数。这两个函数的目的是为了减少频繁触发某个事件导致的性能问题&#xff1b;防抖函数的实现思路是创建一个计时器变量&#xff0c;用于延迟执行函数。当触发…

ubuntu下docker卸载和重新安装

卸载&#xff1a;步骤一&#xff1a;停止Docker服务 首先&#xff0c;我们需要停止正在运行的Docker服务。打开终端&#xff0c;执行以下命令&#xff1a; sudo systemctl stop docker 步骤二&#xff1a;删除Docker安装包 接下来&#xff0c;我们需要删除已经安装的Docker软件…

Android 渲染机制

1 Android 渲染流程 一般情况下&#xff0c;一个布局写好以后&#xff0c;使用 Activity#setContentView 调用该布局&#xff0c;这个 View tree 就创建好了。Activity#setContentView 其实是通过 LayoutInflate 来把布局文件转化为 View tree 的&#xff08;反射&#xff09;…

笔记本外接显示器的配置方法

目录 第一步 点击左下角&#xff0c;选择“设置” 第二步 选择系统&#xff0c;默认进入屏幕页面&#xff0c;页面往下拉&#xff0c;找到多显示器下拉框 前提&#xff1a;插好显示器的电源插头且插上笔记本HDMI线 第一步 点击左下角&#xff0c;选择“设置” 第二步 选择系…

STL第一讲

一、认识headers、版本、重要资源 1. C Standard Library和Standard Template Library 前者&#xff1a;c标准库&#xff1b;后者直译为“标准模板库” 区别: C标准库&#xff1a;是c编译器提供的自带的头文件(不带.h后缀)新版兼容C的头文件的形式cxxxx&#xff1b;旧版的xxx…

高清网络视频监控系统技术方案

目 录 一、概述 二、建设目标及需求 &#xff08;一&#xff09;建设总目标 &#xff08;二&#xff09;需求分析 三、设计依据与设计原则 &#xff08;一&#xff09;设计依据 &#xff08;二&#xff09;设计原则 四、建设方案设计 &#xff08;一&…

OpenKruiseGame × KubeSphere 联合发布游戏服运维控制台,推动云原生游戏落地

作者&#xff1a;云原生游戏社区 近日&#xff0c;云原生游戏开源社区旗下 OpenKruiseGame&#xff08;以下简称&#xff1a;OKG&#xff09;基于 KubeSphere 4.0 LuBan 架构开发的游戏服运维控制台 OKG Dashboard 正式发布&#xff01;现已上架 KubeSphere Marketplace 云原生…

MySQL 常用的数据类型【小林出品,必属精品】

数值类型 分为整型和浮点型&#xff1a; 扩展资料&#xff1a; 数值类型可以指定为无符号&#xff08;unsigned&#xff09;&#xff0c;表示不取负数。 1字节&#xff08;bytes&#xff09; 8bit。 对于整型类型的范围&#xff1a; 1. 有符号范围&#xff1a;-2^&#xff08;…