当前位置:首页>弱电技术>网络通信>一篇文章让你彻底了解防火墙主要功能和分类

一篇文章让你彻底了解防火墙主要功能和分类

一、防火墙概念

在介绍防火墙功能之前,先简单介绍下防火墙一词的前世今生。防火墙一词源于一种古代的消防建筑。在古代,由于房屋通常是木质结构,一旦失火极易蔓延,造成大量生命财产损失。为了在火灾时隔断火势的传播,人们把结实的石块叠起来,围绕着房子筑起了一堵墙,以此为屏障,这种防护构筑物称为防火墙。时至今日,防火墙一词被引入通信领域中。因为在网络(内部网络)与网络(外部网络)之间存在着安全入侵和威胁,所以人们也需要在网络之间设置一道防火墙。

在网络领域中,防火墙可以是由独立的硬件与软件组合而成的硬件防火墙,也可以是嵌入到其他设备系统的软件防火墙。其本质是将内部网络与外部网络隔离开来的一道防御系统,它会对流经防火墙的数据进行安全审查,只有经过防火墙授权的数据才被允许访问内部网络,从而保护内部网络免受非法用户的攻击和入侵。如今,防火墙已然成为保护网络数据安全不可或缺的一种手段。

一篇文章让你彻底了解防火墙主要功能和分类

图1-1 防火墙数据访问示意图

二、 防火墙主要功能

当面临大量的网络攻击时,防火墙能够作为网络安全防护的第一道屏障,不被非法获取或破坏,依靠的是丰富的安全功能。由于不同安全厂商间的防火墙产品在支持的功能上有所差异,因此,本文仅介绍一些通用的防火墙功能,包括基础的防火墙功能和高级功能。

2.1 基础防火墙功能

本节将介绍如下基础防火墙功能:

  • 访问控制
  • NAT
  • 日志记录与监控

2.1.1 访问控制

访问控制是防火墙常见的功能,它主要通过包过滤来实现。包过滤将检查转发报文的报文头信息,包括源IP地址、目的IP地址、源端口号、目的端口号及协议类型(即五元组)。当用户在防火墙设置了过滤规则后,会在防火墙中形成一个过滤规则表,规则匹配的动作是允许(Permit)或拒绝(Deny)。报文进入防火墙时,防火墙会根据报文的头部信息与过滤规则表进行逐条比对,根据对比的结果来决定是否允许数据包通过。图中IP报文2未能匹配过滤规则2被拒绝通过,而IP报文1和3符合匹配规则被放行通过。

一篇文章让你彻底了解防火墙主要功能和分类

图2-1 包过滤访问控制示意图

2.1.2 NAT

NAT(Network Address Translation,网络地址转换)是指将一个IP地址转换为另一个IP地址的过程,主要用于实现内部网络访问外部网络的功能。由于防火墙大多部署在企业网络的边界出口,用于与外部的Internet网络隔离,内部用户想要访问互联网通常需要借助防火墙的NAT功能。不同的NAT适用于不同场景,这里仅介绍最常用的源NAT地址转换。源NAT主要是对IP报文的源地址进行转换,将用户的私网IP地址转换为公网IP地址,这样能使众多的私网用户利用少量的公网地址即可访问Internet,有助于减缓可用IP地址空间的枯竭。

一篇文章让你彻底了解防火墙主要功能和分类

图2-2 源NAT转换示意图

2.1.3 日志记录

当报文到达防火墙时,防火墙会扫描报文并根据配置的防火墙策略执行动作,这些动作包括允许或拒绝报文通过。防火墙此时会将事件记录在日志当中,这些日志在监控内部网络与Internet之间的流量信息、识别非法的访问连接等流量审计活动中能够发挥重要作用。防火墙通常支持本地保存日志,或是将日志保存在内网专门存放日志的服务器里。

一篇文章让你彻底了解防火墙主要功能和分类

图2-3 防火墙日志记录示意图

2.2 高级防火墙功能

本节将介绍如下高级防火墙功能:

  • IPSec/SSL VPN
  • 安全攻击防范
  • 双机热备功能

2.2.1 IPSec/SSL VPN

防火墙支持多种VPN(Virtual Private Network,虚拟专用网络)的接入,并支持用IPSec(IP Security,IP安全)和SSL(Secure Socket Layer,安全套接层)来加密数据。IPSec通常被应用在站点到站点之间VPN数据加密,如总部的内部主机和和分公司主机存在通信需求时,此时分公司设备可和总部的防火墙建立IPSec VPN连接以接入总部内部主机。而SSL VPN更多地应用在企业用户的移动远程办公接入中,移动办公人员通过SSL VPN连接来接入总部办公系统,邮件系统等。

一篇文章让你彻底了解防火墙主要功能和分类

图2-4 防火墙IPSec VPN接入示意图

2.2.2 安全攻击防范

防火墙的安全攻击防范主要是对应用层的业务实施保护,以避免报文受到安全侵害。安全攻击防范主要可以分为三种类型:

  • 病毒防护:防火墙一般有内置防病毒库,对木马病毒、蠕虫病毒等常见病毒文件进行检测,使得携带病毒的报文无法接入内部网络。
  • 入侵防御:防火墙入侵防御功能通过预先定义的防御规则,对进入防火墙的报文会与入侵防御特征库相匹配,以此来抵御常见的攻击行为。
  • 拒绝服务攻击(DoS,Denial of Service)通过未完成的TCP/IP请求连接大量占用主机会话资源使主机最终崩溃,而防火墙会针对这些不正常的TCP/IP连接进行监控,并设定连接数阈值,一旦接入连接数超过该阈值就会关闭它们,从而抵御外部DoS的攻击。

2.2.3 双机热备

由于防火墙多部署于企业网络的出口,内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断,因此,防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险,防火墙通过使用双机热备技术实现冗余功能,类似于虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),当局域网内承担路由转发功能的设备失效后,另一台将自动接管,从而实现IP路由的热备份与容错。

双机热备技术可以将一组防火墙虚拟成一台防火墙。其中,仅有一台防火墙可以处于活动,称为主设备(Active),其余称为备设备(Backup)。防火墙可通过此技术实现将配置和会话表(协议的连接状态表)信息的同步,若主防火墙发生故障,备防火墙可以平滑的接替,保障网络的稳定运行。

一篇文章让你彻底了解防火墙主要功能和分类

图2-5 防火墙主备切换示意图

三、防火墙的分类

防火墙从软硬件形式上来分类可以分为为软件防火墙和硬件防火墙和芯片级防火墙:

  1. 硬件防火墙:基于PC架构,在PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的老版本的Unix、Linux和FreeBCD系统。
  2. 软件防火墙:运行在特定的计算机上,需要预先安装好的计算机操作系统的支持,也是个人防火墙,一般来说这台计算机就是整个网络的网关。
  3. 芯片级防火墙:基于专门的硬件平台,没有操作系统,因有专用的ASIC芯片比其他种类的防火墙速度更快,处理能力更强,性能更高。

从技术上来说,防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。

  • 数据包过滤型防火墙:数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
  • 应用级网关防火墙:应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
  • 代理服务器防火墙:代理服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
  • 复合型防火墙:由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法合起来,形成复合型防火墙产品。

四、总结

在互联网日益发展的今天,开放式网络受到的安全威胁日益增多,为了提高网络的安全性,越来越多的用户选择了部署防火墙。通过对防火墙功能的灵活运用,可以有效地保证网络安全和信息安全,保障网络正常运行,为人们提供良好的上网环境。

本文由 @夜归人 发布于弱电智能网 。

题图来自Unsplash,基于CC0协议

内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。

如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

添加微信ydian188免费入群,记得备注“弱电智能网”。

给TA打赏
共{{data.count}}人
人已打赏
网络通信

刚插上网线,电脑怎么知道自己的IP是什么?

2022-11-8 15:51:51

网络通信

什么是防毒墙它和防火墙有什么区别?

2022-11-15 11:51:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
搜索