看看引擎盖下的防火墙产品

Share

|

在深奥的意义上说，组成一个防火墙的存在，在他心中的人，构建他们。 防火墙，在其成立之初，是一个概念，而不是一个产品;它的想法周边的访问控制机制，使交通，并从你的网络。

在更广泛的意义上说，防火墙构成的软件和硬件。 该软件可以专有软件，共享软件，或者免费软件。 硬件可以是任何硬件支撑软件。

防火墙技术大致可分为三类：

•数据包过滤器为基础的（通常是路由器，思科ios ，等等）

•状态数据包过滤器为基础的（站又一城购物- 1 ，缩节安，等等）

•基于代理（白泥挑战， axent猛禽等）

让我们简要地研究每一个。

包过滤器为基础的防火墙

包过滤防火墙是典型的路由器包过滤功能。 用一个基本的包过滤路由器，你可以批准或拒绝进入你的网站基于几个变数，其中包括

•源地址

•目的地地址

1议定书

•端口号

基于路由器的防火墙很受欢迎，因为它们很容易被执行。 （你只需要简单的一个插件，提供一个访问控制列表，然后就可以做） 。此外，路由器提供了一个综合性的解决方案。 如果您的网络是永久连接到互联网， youneed路由器反正。 既然如此，为什么不杀一石二鸟？

在另一方面，基于路由器的防火墙有几个缺点。 首先，他们通常是不准备在处理某些类型的拒绝服务攻击。 很多的拒绝服务攻击策略，在互联网上使用，今天是基于分组mangling ，适合的syn flooding ，或迫使其他基于tcp / ip异常。 基本路由器是不是为处理这些类型的攻击。 其次，大多数的路由器不能保持轨道的会议上，国家数据。 管理员强迫，然后以保持所有港口上述1024年开放，以处理的tcp会议和本届会议的谈判妥当。 虽然这可以说是不是一个很大的安全隐患（因为不应该有任何听力服务运行于这些港口无论如何） ，它不是一般的好做法，以闲置港口对外开放。

最后，使用的acl （访问控制列表）在高端路由器支持，都是非常繁忙，网络能有助于性能退化和更高的cpu负荷。 然而，对于大部分的低速连接（如t1电路）的低端路由器（如思科2500系列路由器） ，正常封包过滤，将不税路由器任何显着的程度。

注

在相当长的时间后，相信将访问控制列表（ acls ）的对路由器，将大大降低他们的工作表现。 虽然贴了100统治韧带对思科7000人，支持十几自动柜员机连接的未必是最佳的思路，把基本的acl对路由器支持低速（每秒10 mb或更低）的连接通常不贬低他们的表现明显。 两位议员的地下，利福平和nightaxis ，出版了一些基本的结果，就这个问题，可以发现，在http://www.wiretrip.net/rfp/ 。 自那时起，其它的研究也得到履行（你的飞行哩数，可以不同） 。 请记住，即使是低端思科2500系列路由器是基于摩托罗拉68030和68040芯片组，以及较新的使用更先进的基于risc芯片。 路由器是更强大的，然后很多人给他们的功劳。 测试自己看的是什么，你找不到。

尖端

许多网络管理员会使用的acl其周边路由器的结合更先进的防火墙，以建立一个多阶层的方式，以网络接入控制。

状态数据包过滤器为基础的防火墙

状态检测包过滤基础上的包过滤的概念，并考虑它几步进一步。 防火墙，在此基础上的模式，跟踪会议和连接的内部状态表，因此，可以作出相应的反应。 正因为如此，状态包过滤为基础的产品是比较有弹性的，他们比单纯的数据包过滤。 此外，最有状态包过滤为基础的产品设计，以防止某些类型的拒绝服务攻击，并加入保护的smtp为基础的电子邮件和一个配套的其他与安全的具体特点。

检查站，从而开创了技术所谓的"状态检测" （写） ，其中包括状态包过滤了一个档次。 写使管理员能够建立防火墙规则检查数据的实际有效载荷，而不是那么公正的地址及端口。

注

由于状态包过滤基于防火墙田径届国，他们可以随时向上述口岸1024年关闭默认只开放高端口按需要对基础。 那么简单，因为这可能会健全，这就是为什么多数管理员认为有状态包过滤，以得到最低的技术，他们将实施他们的防火墙解决方案。

基于代理防火墙

另一种类型的防火墙是基于代理防火墙（有时被称为一个应用网关或应用代理） 。 当一个远程用户接触网络运行基于代理的防火墙，防火墙代理服务器连接。 随着这一技术的ip包并不直接送交内部网络。 相反，是一种翻译的出现，与防火墙作为管道和翻译。

请问这个不同于状态数据包过滤和通用数据包过滤，你问？ 很好的问题-是一个对许多人想问的问题。 两个包过滤和状态检测过滤工序检查，抵港及离港包在网络和会议的水平。 他们研究叶国源和目的地址，随着港口和状态标识，比较他们自己的规则集和表信息，然后再决定是否包应该转发。 基于代理防火墙，但另一方面，检查车辆在应用层面，除了较低的水平。 一包生效防火墙，并占用一个特定的应用代理，其中检查的有效性，包层和应用层请求本身。 例如，如果一个web请求（ http的）则成为一个基于代理防火墙，数据有效载荷载http请求将被交给一个http代理进程。 一个新的ftp请求，将移交给一个新的ftp代理过程中，远程登录到一个远程登录代理程序等。

这一概念的一项议定书，按议定书的做法是更安全的状态，然后和通用数据包过滤，因为防火墙理解应用协议本身（ http在的ftp ， smtp的，流行等） 。 它的更加困难，为入侵者潜入过去的东西是看的不仅仅是港口及ip地址。 但是，注意，我用"概念" ，在提到它正变得更安全。 事情的真相是，在真实世界中的应用，这种做法有它的公平分享问题。

基于代理防火墙一直较慢，然后有状态包过滤基础的。 现在，对于大多数网络（每秒10 mb或过慢） ，这种差异是颇具争议。 然而，对重载网络（钟山在接入，多洞临近的100mbps等） ，这成为一个更大的问题。 随着技术的提高，差距可能接近，但目前使用的纯基于代理的技术仍然是一个关心高容量的网络。

除了业绩问题，基于代理的解决方案，也有一些适应性的问题。 假设，举例说，一项新的议定书，是发明了以管理您的咖啡在家中。 为求举例说，我们将要求在本议定书中的渗流控制系统，或个人电脑为短。 现在，让我们还以为电脑使用tcp和运行端口666 。 管理员的状态数据包过滤基于防火墙根本，以建立一个新的规则到防火墙，让交通在tcp港口666 ，它的交易已经完成。 管理员的基于代理的防火墙，不过，有一个新的问题：他们没有一个代理（但） ，为个人电脑。 这是一个全新的议定书。 虽然有些基于代理的防火墙（如鼐的挑战） ，有一个通用的替代等问题，现在我们回到基本的包过滤，其中败仗的目的，具有代理首先。

但是，考虑这个例子更进一步说，让我们说，基于代理的防火墙厂商最终写入一电脑代理，一切都非常好，在coffeeville 。 不久后，有些调皮服务台承办复活旧拷贝的网络末日将要来临，这也违背了以上的港口666 ，他们试图开始滥用旧瘾。 低和蔚为壮观，网络厄运不会令它通过基于代理的防火墙，但它会通过状态包过滤的基础上。