Cat 发表于 2009-6-2 22:48:50

防火墙基本知识

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
  第一种:软件防火墙
  软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
  第二种:硬件防火墙
  这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
  传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
  第三种:芯片级防火墙
  芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

/qzone/newblog/v5/editor/css/loading.gif

下面是一些跟防火墙相关的术语解释:
DMZ:全称Demilitarized Zone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题,比如FTP服务器、视频会议、网络游戏等,DMZ其实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供DMZ端口。
  
  VPN:全称Virtual Private Network(虚拟专用网络)。它是指在专用和公共网络(比如Internet)上创建的临时的、安全的专用网络连接,又称为“隧道”,并不是真的专用网络。在防火墙中使用VPN功能可以创建临时连接,在网络中进行数据的安全传输。目前,大部分防火墙产品都支持该功能。
  
  SPI:全称Stateful Packet Inspection(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意攻击,比如DoS攻击。
  
  DoS:全称Denial of Service(拒绝服务)。通过DoS攻击可以让服务器超载,导致系统死机,使计算机或网络无法提供正常的服务。如今市场上的防火墙大多都具备阻止DoS攻击功能,这样可以保证计算机和网络的安全。
  
  IDS:全称Intrusion Detection Systems(入侵检测系统)。防火墙通过该功能可以对网络的运行状况进行监视,并检测出可能的攻击,以保证网络的安全。
  
  访问控制:通过防火墙的访问控制功能可以对内网的计算机进行访问限制,比如限制访问的Internet网站,限制使用的端口号,这样可以保证局域网的安全性。
页: [1]
查看完整版本: 防火墙基本知识