亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 > 硬件防火墻介紹

      硬件防火墻介紹

      時間: 林輝766 分享

      硬件防火墻介紹

        硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。它的安全和穩(wěn)定,直接關(guān)系到整個內(nèi)部網(wǎng)絡(luò)的安全,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的硬件防火墻介紹!希望對你有幫助!

        硬件防火墻介紹:

        至于價格高,原因在于,軟件防火墻只有包過濾的功能,硬件防火墻中可能還有除軟件防火墻以外的其他功能,例如CF(內(nèi)容過濾)IDS(入侵偵測)IPS(入侵防護(hù))以及等等的功能。

        也就是說硬件防火墻是指把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,能減少CPU的負(fù)擔(dān),使路由更穩(wěn)定。

        因此,日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

        系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會出現(xiàn)這樣或那樣的苗頭,例行檢查的任務(wù)就是要發(fā)現(xiàn)這些安全隱患,并盡可能將問題定位,方便問題的解決。

        (1)包過濾防火墻

        包過濾防火墻一般在路由器上實現(xiàn),用以過濾用戶定義的內(nèi)容,如IP地址。包過濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能,可擴(kuò)展能力強。但是,包過濾防火墻的安全性有一定的缺陷,因為系統(tǒng)對應(yīng)用層信息無感知,也就是說,防火墻不理解通信的內(nèi)容,所以可能被黑客所攻破。

        包過濾防火墻工作原理圖

        (2)應(yīng)用網(wǎng)關(guān)防火墻

        應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,并將檢查的內(nèi)容信息放入決策過程,從而提高網(wǎng)絡(luò)的安全性。然而,應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機/服務(wù)器模式實現(xiàn)的。每個客戶機/服務(wù)器通信需要兩個連接:一個是從客戶端到防火墻,另一個是從防火墻到服務(wù)器。另外,每個代理需要一個不同的應(yīng)用進(jìn)程,或一個后臺運行的服務(wù)程序,對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序,否則不能使用該服務(wù)。所以,應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。(圖2)

        應(yīng)用網(wǎng)關(guān)防火墻工作原理圖

        (3)狀態(tài)檢測防火墻

        狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點,性能比較好,同時對應(yīng)用是透明的,在此基礎(chǔ)上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點,在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的事件來處理??梢赃@樣說,狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。(圖3)

        狀態(tài)檢測防火墻工作原理圖

        (4)復(fù)合型防火墻

        復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻,進(jìn)一步基于ASIC架構(gòu),把防病毒、內(nèi)容過濾整合到防火墻里,其中還包括、IDS功能,多單元融為一體,是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊,在網(wǎng)絡(luò)界面對應(yīng)用層掃描,把防病毒、內(nèi)容過濾與防火墻結(jié)合起來,這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描,實現(xiàn)了實時在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。(圖4)

        3、四類防火墻的對比

        包過濾防火墻:包過濾防火墻不檢查數(shù)據(jù)區(qū),包過濾防火墻不建立連接狀態(tài)表,前后報文無關(guān),應(yīng)用層控制很弱。

        應(yīng)用網(wǎng)關(guān)防火墻:不檢查IP、TCP報頭,不建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)比較弱。

        狀態(tài)檢測防火墻:不檢查數(shù)據(jù)區(qū),建立連接狀態(tài)表,前后報文相關(guān),應(yīng)用層控制很弱。

        復(fù)合型防火墻:可以檢查整個數(shù)據(jù)包內(nèi)容,根據(jù)需要建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)強,應(yīng)用層控制細(xì),會話控制較弱。

        4、防火墻術(shù)語

        網(wǎng)關(guān):在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)是互聯(lián)網(wǎng)應(yīng)用程序在兩臺主機之間處理流量的防火墻。這個術(shù)語是非常常見的。

        DMZ非軍事化區(qū):為了配置管理方便,內(nèi)部網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個單獨的網(wǎng)段,這個網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡,在配置時一般分別分別連接內(nèi)部網(wǎng),internet和DMZ。

        吞吐量:網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成,防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標(biāo)。

        最大連接數(shù):和吞吐量一樣,數(shù)字越大越好。但是最大連接數(shù)更貼近實際網(wǎng)絡(luò)情況,網(wǎng)絡(luò)中大多數(shù)連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源,因此最大連接數(shù)成為考驗防火墻這方面能力的指標(biāo)。

        數(shù)據(jù)包轉(zhuǎn)發(fā)率:是指在所有安全規(guī)則配置正確的情況下,防火墻對數(shù)據(jù)流量的處理速度。

        SSL:SSL(SecureSocketsLayer)是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議,當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。

        網(wǎng)絡(luò)地址轉(zhuǎn)換:網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一種將一個IP地址域映射到另一個IP地址域技術(shù),從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后,可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部拓?fù)浣Y(jié)構(gòu),在一定程度上提高網(wǎng)絡(luò)的安全性。如果反向NAT提供動態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換功能,還可以實現(xiàn)負(fù)載均衡等功能。

        堡壘主機:一種被強化的可以防御進(jìn)攻的計算機,被暴露于因特網(wǎng)之上,作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點,以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。
      看過“硬件防火墻介紹 ”人還看了:

      1.防火墻的基本分類

      2.防火墻的分類

      3.防火墻的分類

      4.電腦防火墻的相關(guān)知識介紹

      5.什么是計算機防火墻

      595523