防火墻技術(shù)技術(shù)論文
防火墻技術(shù)技術(shù)論文
防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù),其安全性直接關(guān)系到用戶的切身利益。學(xué)習(xí)啦小編整理的防火墻技術(shù)技術(shù)論文,希望你能從中得到感悟!
防火墻技術(shù)技術(shù)論文篇一
淺析防火墻技術(shù)
【摘要】防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù),其安全性直接關(guān)系到用戶的切身利益。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來了很多便利,于此同時(shí)網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。使用防火墻能很好的提高系統(tǒng)的安全性,減少系統(tǒng)受到網(wǎng)絡(luò)安全方面的威脅。在現(xiàn)在的計(jì)算機(jī)時(shí)代,網(wǎng)絡(luò)信息的安全越顯得重要。而對防火墻技術(shù)的要求也會(huì)越來越高。
【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)技術(shù)
為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問題,近年來新興了防火墻技術(shù)。防火墻具有很強(qiáng)的實(shí)用性和針對性,它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案,可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。
用戶可以根據(jù)自己的需要,通過設(shè)定一些參數(shù),從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機(jī)的攻擊而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對本機(jī)系統(tǒng)的訪問,使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。
一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器,它通過對每一個(gè)到來的IP包依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息。代理服務(wù)器是防火墻中的一個(gè)服務(wù)器進(jìn)程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān),一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。代理服務(wù)器要求用戶提供其要訪問的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后,代理服務(wù)器連通遠(yuǎn)程主機(jī),為兩個(gè)通信點(diǎn)充當(dāng)中繼。整個(gè)過程可以對用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級的認(rèn)證。最簡單的情況是,它只由用戶標(biāo)識(shí)和口令構(gòu)成。但是,如果防火墻是通過Internet可訪問的,應(yīng)推薦用戶使用更強(qiáng)的認(rèn)證機(jī)制。
當(dāng)建設(shè)你的堡壘主機(jī)時(shí)要特別小心。堡壘主機(jī)的定義就是可公共訪問的設(shè)備。當(dāng)Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時(shí),首先進(jìn)入的機(jī)器就是堡壘主機(jī)。因?yàn)楸局鳈C(jī)是直接連接到Internet上的,其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機(jī)就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個(gè)人的身份來確定他們是否可以進(jìn)入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準(zhǔn)備好強(qiáng)制阻止進(jìn)入。同樣地,堡壘主機(jī)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準(zhǔn)備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機(jī)還有日志記錄及警報(bào)的特性來阻止攻擊。有時(shí)檢測到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。
當(dāng)構(gòu)造防火墻設(shè)備時(shí),經(jīng)常要遵循下面兩個(gè)主要的概念。第一,保持設(shè)計(jì)的簡單性。第二,要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。
保持設(shè)計(jì)的簡單性。一個(gè)黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件,無論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過防火墻。
安全,通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國對于計(jì)算機(jī)安全的定義是:“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運(yùn)行。”
從技術(shù)講,計(jì)算機(jī)安全分為3種:
1.實(shí)體的安全。它保證硬件和軟件本身的安全。
2.運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。
3.信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。
隨著網(wǎng)絡(luò)的發(fā)展,計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 面對這一系列的安全性問題的解決,我們就要采用防火墻來進(jìn)行抵御。然而最簡單的防火墻配置,就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全,有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。
1.雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)
這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò),又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器),可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn),一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能,則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)
2.屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)
屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn),安全性好,應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò),同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡,與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則,并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī),確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī),可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。
雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是,堡壘主機(jī)有兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)絡(luò),一塊連接包過濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù),與單宿型相比更加安全。
3.屏蔽子網(wǎng)(Screened Subnet)
這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng),用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”,兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流,另一個(gè)控制Internet數(shù)據(jù)流,Intranet和Internet均可訪問屏蔽子網(wǎng),但禁止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī),為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù),但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對于向Internet公開的服務(wù)器,像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi),這樣無論是外部用戶,還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高,具有很強(qiáng)的抗攻擊能力,但需要的設(shè)備多,造價(jià)高。
不論從功能還是從性能來講,防火墻產(chǎn)品的演進(jìn)并不會(huì)放慢速度,反而產(chǎn)品的豐富程度和推出速度會(huì)不斷的加快,這也反映了安全需求不斷上升的一種趨勢,而相對于產(chǎn)品本身某個(gè)方面的演進(jìn),更值得我們關(guān)注的還是平臺(tái)體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標(biāo)準(zhǔn)的發(fā)布,這些變化不僅僅關(guān)系到某個(gè)環(huán)境的某個(gè)產(chǎn)品的應(yīng)用情況,更關(guān)系到信息安全領(lǐng)域的未來。
參考文獻(xiàn)
[1]石志國,薛為民,尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社,2011.
[2]石志國,薛為民,尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程實(shí)驗(yàn)指導(dǎo)[M].北京:清華大學(xué)出版社,2011.
[3]李太君,林元乖,張晉.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社,2009.
防火墻技術(shù)技術(shù)論文篇二
防火墻技術(shù)研究
摘 要:隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重,網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品和使用量最大的安全產(chǎn)品,也受到用戶和研發(fā)機(jī)構(gòu)的青睞。對防火墻的原理以及分類、作用進(jìn)行了詳細(xì)的介紹,旨在為選擇防火墻的用戶提供借鑒。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3198(2007)09-0240-02
1 從軟、硬件形式上分
如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。
(1)軟件防火墻。
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺(tái)比較熟悉。
(2)硬件防火墻。
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。
(3)芯片級防火墻。
芯片級防火墻基于專門的硬件平臺(tái),沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對比較高昂。
2 從防火墻技術(shù)分
防火墻技術(shù)雖然出現(xiàn)了許多,但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。
(1)包過濾(Packet filtering)型。
包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍Ω鱾€(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。
在整個(gè)防火墻技術(shù)的發(fā)展過程中,包過濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。
包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的:過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
(2)應(yīng)用代理(Application Proxy)型。
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外代理型防火墻采取是一種代理機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。
代理防火墻的最大缺點(diǎn)是速度相對比較慢,當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
3 從防火墻結(jié)構(gòu)分
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的基本程序,如包過濾程序和代理服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此,但我們不能說它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。
隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。
原來單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購買成本。
分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣,僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。
4 按防火墻的應(yīng)用部署位置分
按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。
邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價(jià)格較貴,性能較好。
個(gè)人防火墻安裝于單臺(tái)主機(jī)中,防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶,通常為軟件防火墻,價(jià)格最便宜,性能也最差。
混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。
5 按防火墻性能分
按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。
因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小,對整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
參考文獻(xiàn)
[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇[M].北京:人民郵電出版社,2003,(10).
[2][美]Terry William Ogletree.防火墻原理與實(shí)施[M].北京:電子工業(yè)出版社,2001,(2).
[3]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:人民郵電出版社,2004,(9).
看了“防火墻技術(shù)技術(shù)論文”的人還看: