防火墙的主要技术及实现方式有哪些，防火墙技术有哪几种

防火墙的主要技术及达到方法有什么？

防火墙分类1 假设从防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙还有芯片级防火墙。 第一种：软件防火墙 软 件防火墙运行于特定的计算机上，它需客户预先安装好的计算机操作系统的支持，大多数情况下来说这台计算机就是整个互联网的网关。俗称“个人防火墙”。软件防火墙就 像其它的软件产品一样需先在计算机上安装并做好配置才可以使用。防火墙厂商中做互联网版软件防火墙最出名的莫过于Checkpoint。使用这种类型防火墙， 需网管对所工作的操作系统平台比较熟悉。 第二种：硬件防火墙 这里说的硬件防火墙是指“这里说的的硬件防火墙”。之故此，加上"这里说的"二 字是针对芯片级防火墙说的了。它们最大的差别在于是不是根据专用的硬件平台。现在市场上相当大一部分防火墙都是这样的这里说的的硬件防火墙，他们都根据PC架构，就是 说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一部分经过裁剪和简化的操作系统，最经常会用到的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是，因为这种类型防火墙采取的仍然是别人的内核，因为这个原因仍然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙大多数情况下至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），目前一部分新的硬件防火墙时常扩展了端口，常见四端口防火墙大多数情况下将第四个端口做为配置口、管理端口。不少防火墙还可以进一步扩展端口数目。 第三种：芯片级防火墙 芯 片级防火墙根据针对的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度很快，处理能力更强，性能更高。做这种类型防火墙最出名的厂 商有NetScreen、FortiNet、Cisco等。这种类型防火墙因为是专用OS（操作系统）,因为这个原因防火墙本身的漏洞很少，不过价格相对高于目前的平均水平昂。 防火墙技术虽然产生了不少，但整体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI互联网参考模型的互联网层和传输层，它按照数据包头源地点位置，目标地点位置、端口号和协议类型等标志确定是不是允许通过。唯有满足过滤条件的数据包才被转发到对应的目标地，其余数据包则被从数据流中丢弃。 包 过滤方法是一种通用、廉价和有效的安全手段。之故此，通用是因为它不是针对各个详细的互联网服务采用特殊的处理方法，适用于全部互联网服务；之故此，廉价是因 为相当大一部分路由器都提供数据包过滤功能，故此，这种类型防火墙多数是由路由器集成的；之故此，有效是因为它能很大程度上满足了大部分企业安全要求。 在整个防火墙技术的蓬勃发展和进步途中，包过滤技术产生了两种不一样版本，称为“第一代静态包过滤”和“第二代变动包过滤”。 ●第一代静态包过滤类型防火墙 这 类防火墙基本上是与路由器同时出现的，它是按照定义好的过滤规则审核查验每个数据包，以便确定其是不是与某一条包过滤规则匹配。过滤规则根据数据包的报头信息进行 制订。报头信息中涵盖IP源地点位置、IP目标地点位置、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 ●第二代变动包过滤类型防火墙 这种类型防火墙采取变动设置包过滤规则的方式，不要了静态包过滤所具有的问题。这样的技术后来发展成为包状态监测(Stateful Inspection)技术。采取这样的技术的防火墙对通过其建立的每一个连接都进行跟踪，还按照需可变动地在过滤规则中增多或更新条目。 包 过滤方法的优点是不需要改动客户机和主机上的应用程序，因为它工作在互联网层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是互联网层和传输层 的有限信息，因而各自不同的安全要求不可能充分满足；在不少过滤器中，过滤规则的数目是有限制的，且随着规则数目标增多，性能会受到很大地影响；因为缺乏上文和下文 关联信息，不可以有效地过滤如UDP、RPC（远程过程调用）一类的协议；此外相当大一部分过滤器中缺乏审计和报警机制，它只可以依据包头信息，而不可以对用户身份 进行验证，比较容易受到“地点位置欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，一定要对协议本身及其在不一样应用程序中的作用有较深入的理解。因为这个原因， 过滤器一般是和应用网关配合使用，共同组成防火墙系统。 2007-7-13 19:32 回复 激情小呆 1位粉丝 2楼(2). 应用代理(Application Proxy)型 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了互联网通信流，通过对每种应用服务编制针对的代理程序，达到监视和控制应用层通信流的作用。其典型互联网结构如图所示。 在代理型防火墙技术的蓬勃发展和进步途中，它也经历了两个不一样的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙 这 类防火墙是通过一种代理(Proxy)技术参加到一个TCP连接的整个过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源自于防火墙外部网卡一样， 以此可以达到隐藏内部网结构的作用。这样的类型的防火墙被互联网安全专家和媒体公觉得是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 它 是最近这些年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙 的性能提升10倍以上。组成这样的类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与变动包过滤器(Dynamic Packet filter)。 在“自适应代理服务器”与 “变动包过滤器”当中存在一个控制入口通道。在对防火墙进行配置时，用户仅仅将所需的服务类型、安全级别等信息通过对应Proxy的管理界面进行设置完全就能够 了。然后，自适应代理完全就能够按照用户的配置信息，决定是为了让用代理服务从应用层代理请求还是从互联网层转发包。假设是后者，它将变动地公告包过滤器增减过滤规 则，满足用户对速度和安全性的双重要求。 代理类型防火墙的最突出的优点就是安全。因为它工作于最高层，故此，它可以对互联网中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对互联网层的数据进行过滤。 另 外代理型防火墙采用是一种代理机制，它可以为每一种应用服务建立一个针对的代理，故此，内外部互联网当中的通信不是直接的，而都需先经过代理服务器审查核验，通过 后再由代理服务器代为连接，根本没有给内、外部互联网计算机任何直接会话的机会，以此不要了入侵者使用数据驱动类型的攻击方法入侵内部网。 代理 防火墙的最大缺点就是速度相对比较慢，当用户对内外部互联网网关的吞吐量要求高于目前的平均水平时，代理防火墙就可以成为内外部互联网当中的无法提升的尴尬境地。那因为防火墙需为不一样的 互联网服务建立针对的代理服务，在自己的代理程序为内、外部互联网用户建立连接时需时间，故此，给系统性能带来了一部分不好的错误影响，但一般不会很明显。 防火墙分类3 从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙是最为传统的防火墙，独立于其它互联网设备，它位于互联网边界。 这 种防火墙实际上与一台计算机结构差很少（请看下方具体内容图），同样涵盖CPU、内存、硬盘等基本组件，当然主板更是不可以少了，且主板上也有南、北桥芯片。它与大多数情况下计算 机最主要的区别就是大多数情况下防火墙都集成了两个以上的以太网卡，因为它需连接一个以上的内、外部互联网。这当中的硬盘就是用来存储防火墙所用的基本程序，如包过 滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在这里硬盘上。虽然如此，但我们不可以说它就与我们平常的PC机一样，因为它的工作性质，决定了它要 具备很高的稳定性、实用性，具备很高的系统吞吐性能。正因如此，看似与PC机差很少的配置，价格甚远。

防火墙分类1假设从防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙还有芯片级防火墙。

第一种：软件防火墙软 件防火墙运行于特定的计算机上，它需客户预先安装好的计算机操作系统的支持，大多数情况下来说这台计算机就是整个互联网的网关。俗称“个人防火墙”。软件防火墙就 像其它的软件产品一样需先在计算机上安装并做好配置才可以使用。防火墙厂商中做互联网版软件防火墙最出名的莫过于Checkpoint。使用这种类型防火墙， 需网管对所工作的操作系统平台比较熟悉。

第二种：硬件防火墙这里说的硬件防火墙是指“这里说的的硬件防火墙”。之故此，加上"这里说的"二 字是针对芯片级防火墙说的了。它们最大的差别在于是不是根据专用的硬件平台。现在市场上相当大一部分防火墙都是这样的这里说的的硬件防火墙，他们都根据PC架构，就是 说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一部分经过裁剪和简化的操作系统，最经常会用到的有老版本的Unix、Linux和 FreeBSD系统。 值得注意的是，因为这种类型防火墙采取的仍然是别人的内核，因为这个原因仍然会受到OS（操作系统）本身的安全性影响。传统硬件防火墙大多数情况下至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），目前一部分新的硬件防火墙时常扩展了端口，常见四端口防火墙大多数情况下将第四个端口做为配置口、管理端口。不少防火墙还可以进一步扩展端口数目。

第三种：芯片级防火墙芯 片级防火墙根据针对的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度很快，处理能力更强，性能更高。做这种类型防火墙最出名的厂 商有NetScreen、FortiNet、Cisco等。这种类型防火墙因为是专用OS（操作系统）,因为这个原因防火墙本身的漏洞很少，不过价格相对高于目前的平均水平昂。

社会工作者备考资料及辅导课程

社会工作者培训班-名师辅导课程