10.1.3 防火墙的分类
根据物理特性,防火墙分为两大类,即硬件防火墙与软件防火墙;从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种;按工作位置分为边界防火墙、个人防火墙和混合防火墙;按防火墙性能分为百兆级防火墙和千兆级防火墙两类;而按技术方面,又可以分为包过滤技术、应用代理技术和状态检测技术;我们也可以按防火墙对数据包的获取方式来进行分类,主要可以分为两大类,分别是代理服务器(Proxy)以及IP Filter。
硬件防火墙是由厂商设计好的主机硬件,硬件防火墙内的操作系统主要以提供数据包过滤机制为主,并将其他的功能去掉。因为只是作为防火墙使用,所以数据包过滤机制的速度与效率较佳。至于软件防火墙,在独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。
IP Filter利用数据包过滤的方式来实现防火墙的功能。
1.IP Filter(数据包过滤机制)
直接使用进入本机的TCP/IP数据包协议来进行过滤分析,例如利用TCP/IP数据包表头的IP来源、端口号等数据进行过滤,以判断该数据包是否能够进入本机取得本机资源。由于这种方式可以直接分析最底层的数据包表头数据,所以包括硬件地址(MAC),软件地址(IP),TCP,UDP,ICMP等数据包的信息都可以进行过滤分析,因此用途非常广泛。
在Linux上,使用内核中内置的iptables软件作为防火墙数据包过滤机制,由于iptables是内核内置的功能,因此它的效率非常高,适合一般小型企业环境。它利用一些数据包过滤规则设置来定义出什么数据可以接收,什么数据必须剔除,实现保护主机的目的。
2.Proxy(代理服务器)
在代理服务器方面,由名称就可以知道,代理服务器仅是代理客户端向Internet请求数据,所以Proxy其实已经将可代理的协议限制得很少,并且由于内部与外部计算机并不能直接互通,所以可以实现良好的保护效果。代理服务器是一种网络服务(Service,守护进程),它可以代理用户的需求,前往服务器取得相关的资料。
一般Proxy Server主机仅开放端口80、21、20等WWW与FTP端口,而且通常ProxyServe架设在Roster上,因此可以完整地掌控局域网的对外联机,让LAN变得更安全。
常见各类防火墙的优点以及缺点见表10-1。
表10-1 常见各类防火墙的优点以及缺点
续 表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
