计算机网络防火墙种类与类型

1.从软、硬件形式上分

从防火墙的软、硬件形式来分, 它可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

1) 软件防火墙

软件防火墙运行于特定的计算机上, 它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关, 俗称“个人防火墙”。 软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 使用这类防火墙, 需要网管对所工作的操作系统平台比较熟悉。

2) 硬件防火墙

硬件防火墙的使用基于专用的硬件平台。 目前市场上大多数防火墙都是基于PC 架构,就是说, 它们和普通的家庭用的PC 没有太大区别。 在这些PC 架构计算机上运行一些经过裁剪和简化的操作系统, 最常用的有老版本的UNIX、Linux 和FreeBSD 系统。 值得注意的是, 由于此类防火墙采用的依然是别人的内核, 因此依然会受到OS (操作系统) 本身的安全性影响。

3) 芯片级防火墙

芯片级防火墙同样基于专门的硬件平台。 专有的ASIC 芯片促使它们比其他种类的防火墙速度更快, 处理能力更强, 性能更高。 做这类防火墙最出名的厂商有NetScreen、FortiNet和Cisco 等。 这类防火墙由于是专用OS (操作系统), 因此防火墙本身的漏洞比较少, 不过价格相对比较高昂。

2.从防火墙技术分

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但从技术上可分为数据包过滤、应用级网关和代理服务等几大类型。

1) 数据包过滤防火墙

数据包过滤(Packet Filtering) 技术是在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Control Table)。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素, 来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单、价格便宜、易于安装和使用、网络性能和透明性好, 它通常安装在路由器上。 路由器是内部网络与Internet 连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的优点： 不用改动客户机和主机上的应用程序, 因为它工作在网络层和传输层, 与应用层无关。(https://www.xing528.com)

数据包过滤防火墙的缺点： 一是非法访问一旦突破防火墙, 即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP 的端口号都在数据包的头部, 很有可能被窃听或假冒。 根据过滤判别的只有网络层和传输层的有限信息, 因而各种安全要求不可能充分满足； 在许多过滤器中, 过滤规则的数目是有限制的, 且随着规则数目的增加, 性能会受到很大的影响； 由于缺少上下文关联信息, 不能有效地过滤如UDP、RPC 一类的协议； 另外, 大多数过滤器中缺少审计和报警机制, 且管理方式和用户界面较差； 对安全管理人员素质要求高, 建立安全规则时, 必须对协议本身及其在不同应用程序中的作用有较深入的理解。

因此, 过滤器通常是和应用级网关配合使用, 共同组成防火墙系统。

2) 应用级网关防火墙

应用级网关(Application Level Gateways) 是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑, 并在过滤的同时, 对数据包进行必要的分析、登记和统计, 形成报告。 实际中的应用网关通常安装在专用的工作站系统上。

数据包过滤和应用级网关防火墙有一个共同的特点, 就是它们仅仅依靠特定的逻辑判定是否允许数据包通过, 一旦满足逻辑, 则防火墙内外的计算机系统就建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态, 这就可能造成非法访问和攻击。

3) 代理服务防火墙

代理服务(Proxy Service) 也称为链路级网关或TCP 通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。 它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“链接”, 由两个终止代理服务器上的“链接” 来实现, 外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。

代理服务也对过往的数据包进行分析、注册、登记, 并且形成报告, 当发现被攻击迹象时就会向网络管理员发出警报, 并保留攻击痕迹。

代理服务防火墙是内部网与外部网的隔离点, 起着监视和隔绝应用层通信流的作用。 它工作在OSI 模型的最高层, 掌握着应用系统中可用做安全决策的全部信息。

4) 复合型防火墙

对于对更高安全的要求, 人们常把基于数据包过滤的方法与基于代理服务的方法结合起来, 形成复合型防火墙产品, 这种结合通常是以下两种方案。

(1) 屏蔽主机防火墙体系结构： 在该结构中, 分组过滤路由器或防火墙与Internet 相连, 同时一个堡垒机安装在内部网络, 通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet 上其他节点所能到达的唯一节点, 这确保了内部网络不受未授权外部用户的攻击。

(2) 屏蔽子网防火墙体系结构： 堡垒机放在一个子网内, 形成非军事化区, 两个分组过滤路由器放在这一子网的两端, 使这一子网与Internet 及内部网络分离。 在屏蔽子网防火墙体系结构中, 堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。