防火墙的分类有哪几种
发布网友
发布时间:2022-04-21 14:43
共1个回答
热心网友
时间:2022-05-29 12:31
网路层(封包过滤型)防火墙[编辑]
运作於TCP/IP协定堆叠上。管理者会先根据企业/组织的策略预先设定好封包通过的规则或采用内建规则,只允许符合规则的封包通过。
一般而言,由於来源IP不易阻挡,通常藉由阻挡非80/443的埠,以阻挡来自非80/443的埠的不需要的流量。
网路层防火墙可分为:状态感知(stateful)与无状态感知(stateless)。
状态感知(stateful)
状态感知防火墙会针对活动中的连线维护前後传输的脉络,并使用这些状态资讯来加速封包过滤处理。
根据需求,现行的网路连线由各种性质描述,包括:来源端IP位置,目的端IP位置、UDP或TCP埠口号码,以及连线所处的状态阶段(连线初始化、交握中,资料传输中、或完成连线)。
如果有封包与现存连线不符,防火墙会根据规则来评估此封包是否该属於另外一个新连线。如果封包符合现存连线,防火墙会根据自己所建立的状态表完成比对,该封包就不必额外处理,即可通过两端网路。
无状态感知(stateless)
无状态感知防火墙所需较少的记忆体,针对於通过的封包,作比较简易与快速的过滤。如此,相较於查询对话工作期间(session),无状态感知防火墙所耗的时间也较少。
这种防火墙可处理无状态网路通讯协定,这种协定并没有对话工作期间(session)的概念。
反之,这种防火墙无法根据沟通的两端所处的状态阶段作出复杂的决策。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项「否定规则」就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 位址、来源埠号、目的 IP 位址或埠号、服务类型(如 HTTP 或是 FTP)。也能经由通讯协定、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙[编辑]
防火墙的视察软体介面范例,纪录IP进出的情况与对应事件
应用层防火墙是在TCP/IP堆叠的「应用层」上运作,使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属於这一层。应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的资料流进受保护的机器里。
防火墙藉由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程式的快速蔓延。实际上,这个方法繁复(因软体种类极多),所以大部份防火墙都不会考虑以这种方法设计。
截至2012年,所谓的下一代防火墙(NGFW)都只是「拓宽」并「深化」了在套用栈检查的能力。例如,现有支援深度分组检测的现代防火墙均可延伸成入侵预防系统(IPS),使用者身分整合(使用者ID与IP或MAC位址系结),和Web套用防火墙(WAF)。
