網絡安全成為當今最熱門的話題之一,很多企業為了保障自身服務器或數據安全都采用了防火牆。隨著科技的發展,防火牆也逐漸被大眾所接受。但是,由於防火牆是屬於高科技產物,許多的人對此還並不是了解的十分透徹。而這篇文章就是給大家講述了防火牆工作的方式,以及防火牆的基本分類,並且討論了每一種防火牆的優缺點。
一、防火牆的基本分類
1.包過濾防火牆
第一代防火牆和最基本形式防火牆檢查每一個通過的網絡包,或者丟棄,或者放行,取決於所建立的一套規則。這稱為包過濾防火牆。
本質上,包過濾防火牆是多址的,表明它有兩個或兩個以上網絡適配器或接口。例如,作為防火牆的設備可能有兩塊網卡(NIC),一塊連到內部網絡,一塊連到公共的Internet。防火牆的任務,就是作為“通信警察”,指引包和截住那些有危害的包。
包過濾防火牆檢查每一個傳入包,查看包中可用的基本信息(源地址和目的地址、端口號、協議等)。然後,將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接,而包的目的端口是23的話,那麼該包就會被丟棄。如果允許傳入Web連接,而目的端口為80,則包就會被放行。
多個復雜規則的組合也是可行的。如果允許Web連接,但只針對特定的服務器,目的端口和目的地址二者必須與規則相匹配,才可以讓該包通過。
最後,可以確定當一個包到達時,如果對該包沒有規則被定義,接下來將會發生什麼事情了。通常,為了安全起見,與傳入規則不匹配的包就被丟棄了。如果有理由讓該包通過,就要建立規則來處理它。
建立包過濾防火牆規則的例子如下:
對來自專用網絡的包,只允許來自內部地址的包通過,因為其他包包含不正確的包頭部信息。這條規則可以防止網絡內部的任何人通過欺騙性的源地址發起攻擊。而且,如果黑客對專用網絡內部的機器具有了不知從何得來的訪問權,這種過濾方式可以阻止黑客從網絡內部發起攻擊。
在公共網絡,只允許目的地址為80端口的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同端口的連接,所以它並不是十分安全。
丟棄從公共網絡傳入的包,而這些包都有你的網絡內的源地址,從而減少IP欺騙性的攻擊。
丟棄包含源路由信息的包,以減少源路由攻擊。要記住,在源路由攻擊中,傳入的包包含路由信息,它覆蓋了包通過網絡應采取得正常路由,可能會繞過已有的安全程序。通過忽略源路2.狀態/動態檢測防火牆