防火墙灵活地应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等,目的是用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
目前,根据防火墙在ISO/OSI模型中的逻辑位置和网络中的物理位置及其所具备的功能,可以将其分为4种常见的防火墙。
(1)包过滤防火墙(packet filters)在一般路由器的基础上增加了一些新的安全控制功能,是一个检查通过它的数据包的路由器。包过滤路由器的标准由网络管理员在网络访问控制表(access control list)中设定,以检查包的源地址、目的地址及每个IP包的端口,安全性较差。(www.xing528.com)
(2)应用型防火墙主要采用协议代理服务,比包过滤防火墙更安全,但缺少透明性。
(3)包过滤放火墙无法有效地区分同一IP地址的不同用户,应用型防火墙缺少透明性,因此,将两种防火墙技术结合起来就是主机屏蔽防火墙。
(4)子网屏蔽防火墙(screened subnet firewall)在被保护的Intranet与Internet之间加入了一个由两个包过滤防火墙和一台堡垒机组成的子网,是最为安全的一种防火墙体系结构。但其实现的代价也很高,它不易配置且增加了堡垒主机转发数据的复杂性,网络的访问速度减慢,其费用也明显高于以上几种防火墙。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
