正文

防火墻的結(jié)構(gòu)（防火墻和網(wǎng)閘的區(qū)別）

發(fā)布時間：2023-03-20 13:24:29 稿源：創(chuàng)意嶺閱讀： 1286 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關于防火墻的結(jié)構(gòu)的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關鍵詞，就能返回你想要的內(nèi)容，越精準，寫出的就越詳細，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、防火墻的種類有哪些?
2、防火墻的設置及構(gòu)造要求是什么?
3、硬件防火墻的基本原理及內(nèi)部構(gòu)造
4、網(wǎng)絡防火墻是什么？

防火墻的結(jié)構(gòu)（防火墻和網(wǎng)閘的區(qū)別）

一、防火墻的種類有哪些?

什么是防火墻？防火墻的類型有哪些

1、包過濾型(Packet Filter):包過濾通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。另外, PC機上同樣可以安裝包過濾軟件。包過濾規(guī)則以IP包信息為基礎,對IP源地址、IP目標地址、封裝協(xié)議(TCP/UDP/ICMPIP Tunnel)、端口號等進行...

防火墻包括哪些類型?

2、代理服務型(Proxy Service):代理服務型防火墻通常由兩部分構(gòu)成:服務器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點(Proxy Server)連接,中間節(jié)點再與要訪問的外部服務器實際連接。與包過濾型防火墻不同的是,內(nèi)部網(wǎng)與外部網(wǎng)之間不存在直接的連接,同時提供日志(Log)及審計(Audit)服務。

3、復合型(Hybrid)防火墻:把包過濾和代理服務兩種方法結(jié)合起來,可以形成新的防火墻,所用主機稱為堡壘主機(Bastion Host),負責提供代理服務。

4、其它防火墻:路由器和各種主機按其配置和功能可組成各種類型的防火墻。雙端主機防火墻(Dyal-Homed Host Firewall)堡壘主機充當網(wǎng)關,并在其上運行防火墻軟件。內(nèi)部網(wǎng)與外部網(wǎng)之間不能直接進行通信,必須經(jīng)過堡壘主機。屏蔽主機防火墻(Screened Host Firewall)一個包過濾路由器與外部網(wǎng)相連,同時,一個堡壘主機安裝在內(nèi)部網(wǎng)上,使堡壘主機成為外部網(wǎng)所能到達的唯一節(jié)點,確保內(nèi)部網(wǎng)不受外部非授權用戶的攻擊。加密路由器(Encrypting Router):加密路由器對通過路由器的信息流進行加密和壓縮,然后通過外部網(wǎng)絡傳輸?shù)侥康亩诉M行解壓縮和解密。

防火墻有哪幾種類型，常見的防火墻類型

目前防火墻產(chǎn)品非常之多，劃分的標準也比較雜。主要分類如下：

1. 從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級防火墻。 2.從防火墻技術分為 “包過濾型”和“應用代理型”兩大類。

3.從防火墻結(jié)構(gòu)分為 < 單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

4. 按防火墻的應用部署位置分為邊界防火墻、個人防火墻和混合防火墻三大類。

5. 按防火墻性能分為百兆級防火墻和千兆級防火墻兩類。

防火墻的種類分幾種？都有哪些作用？

隨著網(wǎng)絡的高速發(fā)整，現(xiàn)在使用防火墻的企業(yè)越來越多，產(chǎn)品也越來越多，但可能很多人還不了解防火墻，到底能干什么。下面我就簡單的說說軟件防火墻到底能干些什么吧。什么是軟件防火墻？

顧名思義，軟件防火墻就是像office等，是一個安裝在PC上（當然，這里是指可以在PC上安裝，但具體使用的時候最好用服務器），的一個軟件，而且一般的防火墻都帶了gateway功能。

一般需要使用防火墻的網(wǎng)絡拓撲圖：

交換機??企業(yè)內(nèi)網(wǎng)。

一般的企業(yè)網(wǎng)絡結(jié)構(gòu)圖就是，路由器-防火墻

交換機??DMZ區(qū)。

OK，這樣一個大致的企業(yè)網(wǎng)絡拓撲圖就出來了。乍一看防火墻在這里就起到了路由的作用。其實也是，防火墻，在沒有定致規(guī)則以前，也就是一個路由。防火墻的作用：

有些人可能會問到以前一些問題

軟件防火墻能防黑客嗎？能，前提是，你必須及時的升級，及定制正確的策略。

軟件防火墻能防DOS攻擊嗎？能，絕對可以，現(xiàn)在DOS攻擊已經(jīng)不再可怕。

軟件防火墻能防DDOS攻擊嗎？也許可能?？垂袅渴欠窈艽?，結(jié)合你的代寬。

軟件防火墻能防反射性DDOS攻擊嗎？不能。所謂的反射性DDOS攻擊，所攻擊的對象不是防火墻，而是你的帶寬，你將面臨的是幾千、幾萬甚至更多的服務器，來對你一條10M、100M或者1000M的帶寬來進行攻擊，在理論上，任何防火墻都無法做到完全防止這種攻擊，至于在使用IPv4的時候，軟件防火墻還做不到。除非你不用TCP/IP協(xié)議。那么說到底，防火墻到底能做些什么呢？在這里就說一下比較常用的（結(jié)合上圖）。

??內(nèi)網(wǎng)對外網(wǎng)：

一般而言，一個企業(yè)都會對用戶訪問外網(wǎng)做限制。如：是否允許使用HTTP、FTP、TELNET，都可以在防火墻中策略、規(guī)則。

??外網(wǎng)對內(nèi)網(wǎng)：

跟上面相反，內(nèi)網(wǎng)的資源是否允許外網(wǎng)進來防問。一般而言是禁止的，即使要限問的話，一般也用到VPN（詳見下篇文章）。只要這樣才能最大可能的保證內(nèi)網(wǎng)的安全。

??內(nèi)網(wǎng)與DMZ：

內(nèi)網(wǎng)與DMZ都是屬于防火保護區(qū)。一般而言都是允許內(nèi)網(wǎng)對DMZ區(qū)進行訪問，但不允許DMZ區(qū)對內(nèi)網(wǎng)訪問。

??DMZ與外網(wǎng)：

DMZ區(qū)的服務器一般都是以NAT到Internet?？梢岳斫獬陕酚善鞯亩丝谟成?。

??DMZ區(qū)的保護：

對從Internet來訪問DMZ數(shù)據(jù)做的一些限制，如：web服務器只許訪問web資源、mail服務器只允許防問mail資源等。

一般而言，這是防火墻建立起來后常常要做的一些規(guī)則、策略。并不是說防火墻只能做到這些。當然，還有VPN等防火墻與防火墻的會話等都是可以做限制的。說到這就順便說說軟件防火墻與硬件防火墻的區(qū)別吧。

其實說到底，軟件防火墻與硬件防火墻是沒有區(qū)別的，幾乎硬件防火墻有的功能他都有了。不同點在于，軟件防火墻是基于操作系統(tǒng)的如：2000/linux/Sun等。而硬件防火墻呢，是基于硬件的（當然它也帶有系統(tǒng)，但并不是像2000/Linux/Sun這類的）。一個簡單的例子。相信大家都知道刻錄機吧，它就分為內(nèi)置和外置的。系統(tǒng)配置可以直接影響到刻盤的的效果，比如內(nèi)置刻錄......>>

公司的防火墻的種類有哪些

最好就是有硬件防火墻，現(xiàn)在一般都是下一代應用防火墻，不像以前的單純攔截，現(xiàn)在的能夠識別應用，流量控制等等，軟件的應該不是很好，可以上百度搜索鑫塔，里面有硬件防火墻的介紹，應該可以滿足你的需求。

防火墻的基本類型有哪幾種

硬件，軟件，混合式硬件就是成本高，但是安全性好軟件就是便宜，安全性當然沒有硬件的好最好的是混合式，但是也最貴

防火墻產(chǎn)品種類有哪幾種

企業(yè)防火墻的種類有哪些？是什么，大概用在哪方面.

不同環(huán)境的網(wǎng)絡，對于防火墻的要求各不一樣。比如說IDS功能、VPN功能，對于一些小型的公司來說就不需要這些功能。再比如說流量和性能、處理能力之間的關系，究竟多大規(guī)模的網(wǎng)絡，多大的流量需要多大的性能和多強的處理能力才算是合適呢?那么就需要選購者對于防火墻的選型方面仔細考慮了。首先大概說一下防火墻的分類。就防火墻的組成結(jié)構(gòu)而言，可分為以下三種：第一種：軟件防火墻這里指的是網(wǎng)絡版的軟件防火墻而不是個人防火墻。個人防火墻在網(wǎng)上有很多可以免費下載的，不需要花錢買。軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。軟件防火墻就象其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡版軟件防火墻最出名的莫過于Checkpoint。第二種：硬件防火墻這里說的硬件防火墻是指所謂的硬件防火墻。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。第三種：芯片級防火墻它們基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商莫過于NetScreen.其他的品牌還有FortiNet,算是后起之秀了。對防火墻的分類有了初步的了解之后，選購者比較關心的就是下面所說的――這三種防火墻各自的優(yōu)缺點以及這幾種防火墻對于不同的網(wǎng)絡環(huán)境的應用有何不同。弄清楚這些才能對防火墻本身有個比較好的了解，對于選購也是及其有幫助的。在防火墻的應用上，除了防火墻的基本功能之外，還根據(jù)企業(yè)用戶的需要添加了許多其他的擴展功能。通常有NAT、DNS、VPN、IDS等。由于軟件防火墻和硬件防火墻是運行于一定操作系統(tǒng)上的特定軟件，所以一些防火墻所需要實現(xiàn)的功能就可以像大家普遍使用的軟件一樣，分成許多個模塊。一些防火墻的廠商也是這樣做的，他們將一些擴展的功能劃分出來，如果需要使用則另行購買安裝。例如IDS功能，有些公司已經(jīng)購買了專業(yè)的IDS產(chǎn)品，那么防火墻上單加了一個IDS的功能則顯得有些多余。那么就可以不再購買防火墻中IDS的部分。芯片級防火墻的核心部分就是ASIC芯片，所有的功能都集成做在這一塊小小的芯片上，可以選擇這些功能是否被啟用。由于有專用硬件的支持，在性能和處理速度上高出前兩種防火墻很多，在擁有全部功能后處理速度還是比較令人滿意的。大多數(shù)人在選購防火墻的時候會著重于這個防火墻相對于其他防火墻都多出什么功能，性能高多少之類的問題。但對于防火墻來說，自身的安全性決定著全網(wǎng)的安全性。由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是軟件運行于一定的操作系統(tǒng)之上，就決定了它的功能是可以隨著客戶的實際需要而做相應調(diào)整的，這一點比較靈活。當然了，在性能上來說，多添加一個擴展功能就會對防火墻處理數(shù)據(jù)的性能產(chǎn)生影響，添加的擴展功能越多，防火墻的性能就越下降。由于前兩種防火墻運行于操作系統(tǒng)之后，所以它的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無論是UNIX、Linux、還是FreeBSD系統(tǒng)，它們都會有或多或少的漏洞，一旦被人取得了控制權，整個內(nèi)網(wǎng)的安全性也就無從談起了，黑客可以隨意修改防火墻上的策略和訪問權限，進入內(nèi)網(wǎng)進行任意破壞。由于芯片級防火墻不存在這個......>>

防火墻的概念是什么防火墻的分類

近年來，隨著普通計算機用戶群的日益增長，“防火墻”一詞已經(jīng)不再是服務器領域的專署，大部分家庭用戶都知道為自己愛機安裝各種“防火墻”軟件了。但是，并不是所有用戶都對“防火墻”有所了解的，一部分用戶甚至認為，“防火墻”是一種軟件的名稱……

到底什么才是防火墻?它工作在什么位置，起著什么作用?查閱歷史書籍可知，古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱為“防火墻”(FireWall)。時光飛梭，隨著計算機和網(wǎng)絡的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護計算機的安全，人們開發(fā)出一種能阻止計算機之間直接通信的技術，并沿用了古代類似這個功能的名字——“防火墻”技術來源于此。用專業(yè)術語來說，防火墻是一種位于兩個或多個網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的組件 *** 。對于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計算機與外界網(wǎng)絡之間的防御系統(tǒng)，從網(wǎng)絡發(fā)往計算機的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護功能。

防火墻技術從誕生開始，就在一刻不停的發(fā)展著，各種不同結(jié)構(gòu)不同功能的防火墻，構(gòu)筑成網(wǎng)絡上的一道道防御大堤。

二. 防火墻的分類

世界上沒有一種事物是唯一的，防火墻也一樣，為了更有效率的對付網(wǎng)絡上各種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性，防火墻分為兩大類，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負責內(nèi)外網(wǎng)絡轉(zhuǎn)換的網(wǎng)關服務器或者獨立的個人計算機上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動，通過運行在Ring0級別的特殊驅(qū)動模塊把防御機制插入系統(tǒng)關于網(wǎng)絡的處理部分和網(wǎng)絡接口設備驅(qū)動之間，形成一種邏輯上的防御體系。

二、防火墻的設置及構(gòu)造要求是什么?

根據(jù)防火墻在建筑中所處的位置和構(gòu)造形式，分為橫向防火墻(與建筑平面縱軸垂直)、縱向防火墻〔與平面縱軸平行)、室內(nèi)防火墻、室外防火墻和獨立防火墻等對防火墻的耐火極限、燃燒性能、設置部位和構(gòu)造的要求是:(1)防火墻應為不燃燒體，耐火極限不應低于4.0h。對高層民用建筑不應低于3。0h(2)防火墻應直接設置在基礎上或耐火性能符合有關防火設計規(guī)范要求的梁上.設計防火墻時，應考慮防火墻一側(cè)的屋架、梁、樓板等受到火災的影響破壞時，不致使防火墻倒塌(3)防火墻應截斷燃燒休或難燃燒休的屋頂結(jié)構(gòu)，且應高出燃燒體或難燃燒體的屋面不小于50-防火墻應高出不燃燒休屋面不小于40-。但當建筑物的屋蓋為耐火極限不低于0.旅的不燃燒體時，高層建筑屋蓋為耐火極限不低于]Oh的不燃燒體時，防火墻(包括縱向防火墻)可砌至屋面基層的底部.不必高出屋面(4)建筑物的外墻為難燃燒體時、防火墻應突出難燃燒體墻的外表面40cm;防火帶的寬度，從防火墻中心線起每側(cè)不應小于2m(5)防火墻中心距天窗端面的水平距離小于4m,比天窗端面為燃燒休時，應將防火墻加高，使之超過天窗結(jié)構(gòu)10-50-，以防止火勢蔓延。(6)防火墻內(nèi)不應設置排氣道，民用建筑如必須設置時，其兩側(cè)的墻身截面厚度均不應小于12,m(了)防火墻上不應開設門、窗洞口。如必須J干設時，應采用甲級防火門、窗(耐火極限1.2h)，并應能自動關閉。(8)輸送可燃氣體和甲、乙、丙類液休的管道不應穿過(高層民用建筑嚴禁穿過)防火墻。其他管道不宜穿過防火墻。如必須穿過時，應采用不然燒體將縫隙填塞密實，穿過防火墻處的管道保溫材料應采用不燃燒材料(9)建筑物內(nèi)的防火墻不宜設在轉(zhuǎn)角處。如設在轉(zhuǎn)角附近，內(nèi)轉(zhuǎn)角兩側(cè)上的IJ、窗洞口之間最近邊緣的水平距離不應小干4m;當相鄰一側(cè)裝有固定乙級防火窗時，距離可不限

三、硬件防火墻的基本原理及內(nèi)部構(gòu)造

防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

天下的防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?

所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網(wǎng)段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶機。

當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機。

現(xiàn)在我們“命令”（用專業(yè)術語來說就是配制）防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令防火墻專給那臺可憐的PC機找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

服務器TCP/UDP 端口過濾

僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務器吧？所以說，在地址之外我們還要對服務器的TCP/ UDP端口進行過濾。

比如，默認的telnet服務連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了。這樣，我們把IP地址和目標服務器TCP/UDP端口結(jié)合起來不就可以作為過濾標準來實現(xiàn)相當可靠的防火墻了嗎？不，沒這么簡單。

客戶機也有TCP/UDP端口

TCP/IP是一種端對端協(xié)議，每個網(wǎng)絡節(jié)點都具有唯一的地址。網(wǎng)絡節(jié)點的應用層也是這樣，處于應用層的每個應用程序和服務都具有自己的對應“地址”，也就是端口號。地址和端口都具備了才能建立客戶機和服務器的各種應用之間的有效通信聯(lián)系。比如，telnet服務器在端口23偵聽入站連接。同時telnet客戶機也有一個端口號，否則客戶機的IP棧怎么知道某個數(shù)據(jù)包是屬于哪個應用程序的呢？

由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務器上的服務所用。所以，除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進入網(wǎng)絡，否則各種網(wǎng)絡連接都沒法正常工作。

這對防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機都沒法使用網(wǎng)絡資源。因為服務器發(fā)出響應外部連接請求的入站（就是進入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來，打開所有高于1023的端口就可行了嗎？也不盡然。由于很多服務使用的端口都大于1023，比如X client、基于RPC的NFS服務以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達到1023端口標準的數(shù)據(jù)包都進入網(wǎng)絡的話網(wǎng)絡還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

雙向過濾

OK，咱們換個思路。我們給防火墻這樣下命令：已知服務的數(shù)據(jù)包可以進來，其他的全部擋在防火墻之外。比如，如果你知道用戶要訪問Web服務器，那就只讓具有源端口號80的數(shù)據(jù)包進入網(wǎng)絡：

不過新問題又出現(xiàn)了。首先，你怎么知道你要訪問的服務器具有哪些正在運行的端口號呢？象HTTP這樣的服務器本來就是可以任意配置的，所采用的端口也可以隨意配置。如果你這樣設置防火墻，你就沒法訪問哪些沒采用標準端口號的的網(wǎng)絡站點了！反過來，你也沒法保證進入網(wǎng)絡的數(shù)據(jù)包中具有端口號80的就一定來自Web服務器。有些黑客就是利用這一點制作自己的入侵工具，并讓其運行在本機的80端口！

檢查ACK位

源地址我們不相信，源端口也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用于TCP協(xié)議。

TCP是一種可靠的通信協(xié)議，“可靠”這個詞意味著協(xié)議具有包括糾錯機制在內(nèi)的一些特殊性質(zhì)。為了實現(xiàn)其可靠性，每個TCP連接都要先經(jīng)過一個“握手”過程來交換連接參數(shù)。還有，每個發(fā)送出去的包在后續(xù)的其他包被發(fā)送出去之前必須獲得一個確認響應。但并不是對每個TCP包都非要采用專門的ACK包來響應，實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以，只要產(chǎn)生了響應包就要設置ACK位。連接會話的第一個包不用于確認，所以它就沒有設置ACK位，后續(xù)會話交換的TCP包就要設置ACK位了。

舉個例子，PC向遠端的Web服務器發(fā)起一個連接，它生成一個沒有設置ACK位的連接請求包。當服務器響應該請求時，服務器就發(fā)回一個設置了ACK位的數(shù)據(jù)包，同時在包里標記從客戶機所收到的字節(jié)數(shù)。然后客戶機就用自己的響應包再響應該數(shù)據(jù)包，這個數(shù)據(jù)包也設置了ACK位并標記了從服務器收到的字節(jié)數(shù)。通過監(jiān)視ACK位，我們就可以將進入網(wǎng)絡的數(shù)據(jù)限制在響應包的范圍之內(nèi)。于是，遠程系統(tǒng)根本無法發(fā)起TCP連接但卻能響應收到的數(shù)據(jù)包了。

這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有臺內(nèi)部Web服務器，那么端口80就不得不被打開以便外部請求可以進入網(wǎng)絡。還有，對UDP包而言就沒法監(jiān)視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程序，比如FTP，連接就必須由這些服務器程序自己發(fā)起。

FTP帶來的困難

一般的Internet服務對所有的通信都只使用一對端口號，F(xiàn)TP程序在連接期間則使用兩對端口號。第一對端口號用于FTP的“命令通道”提供登錄和執(zhí)行命令的通信鏈路，而另一對端口號則用于FTP的“數(shù)據(jù)通道”提供客戶機和服務器之間的文件傳送。

在通常的FTP會話過程中，客戶機首先向服務器的端口21（命令通道）發(fā)送一個TCP連接請求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶請求服務器發(fā)送數(shù)據(jù)，F(xiàn)TP服務器就用其20端口 (數(shù)據(jù)通道)向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務器向客戶機發(fā)起傳送數(shù)據(jù)的連接，那么它就會發(fā)送沒有設置ACK位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級的、也就是夠聰明的防火墻才能看出客戶機剛才告訴服務器的端口，然后才許可對該端口的入站連接。

UDP端口過濾

好了，現(xiàn)在我們回過頭來看看怎么解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發(fā)出去不管的“不可靠”通信，這種類型的服務通常用于廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來最簡單的可行辦法就是不允許建立入站UDP連接。防火墻設置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的UDP包，來自外部接口的UDP包則不轉(zhuǎn)發(fā)。現(xiàn)在的問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務，至少得允許一些內(nèi)部請求穿越防火墻。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進入網(wǎng)絡。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？

有些新型路由器可以通過“記憶”出站UDP包來解決這個問題：如果入站UDP包匹配最近出站UDP包的目標地址和端口號就讓它進來。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機就是內(nèi)部客戶機希望通信的服務器呢？如果黑客詐稱DNS服務器的地址，那么他在理論上當然可以從附著DNS的UDP端口發(fā)起攻擊。只要你允許DNS查詢和反饋包進入網(wǎng)絡這個問題就必然存在。辦法是采用代理服務器。

所謂代理服務器，顧名思義就是代表你的網(wǎng)絡和外界打交道的服務器。代理服務器不允許存在任何網(wǎng)絡內(nèi)外的直接連接。它本身就提供公共和專用的DNS、郵件服務器等多種功能。代理服務器重寫數(shù)據(jù)包而不是簡單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡內(nèi)部的主機都站在了網(wǎng)絡的邊緣，但實際上他們都躲在代理的后面，露面的不過是代理這個假面具。

小結(jié)

IP地址可能是假的，這是由于IP協(xié)議的源路有機制所帶來的，這種機制告訴路由器不要為數(shù)據(jù)包采用正常的路徑，而是按照包頭內(nèi)的路徑傳送數(shù)據(jù)包。于是黑客就可以使用系統(tǒng)的IP地址獲得返回的數(shù)據(jù)包。有些高級防火墻可以讓用戶禁止源路由。通常我們的網(wǎng)絡都通過一條路徑連接ISP，然后再進入Internet。這時禁用源路由就會迫使數(shù)據(jù)包必須沿著正常的路徑返回。

還有，我們需要了解防火墻在拒絕數(shù)據(jù)包的時候還做了哪些其他工作。比如，防火墻是否向連接發(fā)起系統(tǒng)發(fā)回了“主機不可到達”的ICMP消息？或者防火墻真沒再做其他事？這些問題都可能存在安全隱患。ICMP“主機不可達”消息會告訴黑客“防火墻專門阻塞了某些端口”，黑客立即就可以從這個消息中聞到一點什么氣味。如果ICMP“主機不可達”是通信中發(fā)生的錯誤，那么老實的系統(tǒng)可能就真的什么也不發(fā)送了。反過來，什么響應都沒有卻會使發(fā)起通信的系統(tǒng)不斷地嘗試建立連接直到應用程序或者協(xié)議棧超時，結(jié)果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某端口到底是關閉了還是沒有使用。

...防火墻分為軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在pc平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡管理和防御功能的優(yōu)化。但對國內(nèi)市場上的硬件防火墻產(chǎn)品介紹仔細研讀后，記者發(fā)現(xiàn)，對于硬件防火墻的定義，廠商們似乎仍莫衷一是。大多數(shù)廠商對產(chǎn)品的介紹，往往用大量的篇幅向消費者灌輸產(chǎn)品的防護功能，而關于防火墻的實際配置，則基本沒有提及。

查閱國內(nèi)外大量資料后，發(fā)現(xiàn)硬件防火墻一般有著這樣的核心要求：它的硬件和軟件都需要單獨設計，有專用網(wǎng)絡芯片來處理數(shù)據(jù)包；同時，采用專門的操作系統(tǒng)平臺，從而避免通用操作系統(tǒng)的安全性漏洞。對軟硬件的特殊要求，使硬件防火墻的實際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點。

而國內(nèi)市場的硬件防火墻，大部分都是所謂的“軟硬件結(jié)合的防火墻”，采用的是定制機箱+x86硬件架構(gòu)+防火墻軟件模塊(大多數(shù)是基于unix類系統(tǒng)下開發(fā)的)，而且是pc box結(jié)構(gòu)。這種防火墻的核心技術實際上仍然是軟件，吞吐量不高，容易造成帶寬瓶頸。并且pc架構(gòu)本身就不穩(wěn)定，更不可能長時間運行。

四、網(wǎng)絡防火墻是什么？

分類: 電腦/網(wǎng)絡 >> 反病毒

解析:

防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡防護設備。從專業(yè)角度講，防火墻是位于兩個(或多個)網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的一組組件 *** 。

防火墻在網(wǎng)絡中經(jīng)常是以下圖所示的兩種圖標出現(xiàn)的。左邊那個圖標非常形象，真正像一堵墻一樣。而右邊那個圖標則是從防火墻的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說明了防火墻具有單向?qū)ㄐ?。這看起來與現(xiàn)在防火墻過濾機制有些矛盾，不過它卻完全體現(xiàn)了防火墻初期的設計思想，同時也在相當大程度上體現(xiàn)了當前防火墻的過濾機制。因為防火最初的設計思想是對內(nèi)部網(wǎng)絡總是信任的，而對外部網(wǎng)絡卻總是不信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內(nèi)部網(wǎng)絡用戶發(fā)出的通信不作限制。當然目前的防火墻在過濾機制上有所改變，不僅對外部網(wǎng)絡發(fā)出的通信連接要進行過濾，對內(nèi)部網(wǎng)絡用戶發(fā)出的部分連接請求和數(shù)據(jù)包同樣需要過濾，但防火墻仍只對符合安全策略的通信通過，也可以說具有“單向?qū)ā毙浴?/p>

防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發(fā)生時，這些人又如何逃離現(xiàn)場呢？這個門就相當于我們這里所講的防火墻的“安全策略”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向?qū)ㄐ浴薄?

我們通常所說的網(wǎng)絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡與Inter之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪用來保護內(nèi)部網(wǎng)絡。典型的防火墻具有以下三個方面的基本特性：

（一）內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻

這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡不受侵害。

根據(jù)美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。

典型的防火墻體系網(wǎng)絡結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。

（二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻

防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口>=2）轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。如下圖：

（三）防火墻自身應具有非常強的抗攻擊免疫力

這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

以上就是關于防火墻的結(jié)構(gòu)相關問題的回答。希望能幫到你，如有更多相關問題，您也可以聯(lián)系我們的客服進行咨詢，客服也會為您講解更多精彩的知識和內(nèi)容。