防火牆主要有哪幾類體系結構,分別說明其優缺點

2021-03-07 09:32:24 字數 5636 閱讀 4686

1樓:**ile逝憶心

防火牆主要的體系結構:

1、包過濾型防火牆

2、雙宿/多宿主機防火牆

3、被遮蔽主機防火牆

4、被遮蔽子網防火牆

5、其他防火牆體系結構

優缺點:

1、包過濾型防火牆

優點:(1)處理資料包的速度較快(與**伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對使用者和應用來說是透明的。

缺點:(1)包過濾防火牆的維護較困難;(2)只能阻止一種型別的ip欺騙;(3)任何直接經過路由器的資料包都有被用作資料驅動式攻擊的潛在危險,一些包過濾路由器不支援有效的使用者認證,僅通過ip地址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)ip包過濾器可能無法對網路上流動的資訊提供全面的控制。

2、雙宿/多宿主機防火牆

優點:(1)可以將被保護的網路內部結構遮蔽起來,增強網路的安全性;(2)可用於實施較強的資料流監控、過濾、記錄和報告等。

缺點:(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。

3、被遮蔽主機防火牆

優點:(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(**服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。

缺點:路由器不被正常路由。

4、被遮蔽子網防火牆

優點:安全性高,若入侵者試圖破壞防火牆,他必須重新配置連線三個網的路由,既不切斷連線,同時又不使自己被發現,難度係數高。

缺點:(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦資料驅動的攻擊:

防火牆不能防禦基於資料驅動的攻擊。

2樓:匿名使用者

安全基礎 三代防火牆體系結構演變介紹

為了滿足使用者的更高要求,防火牆體系架構經歷了從低效能的x86、ppc軟體防火牆向高效能硬體防火牆的過渡,並逐漸向不但能夠滿足高效能,也需要支援更多業務能力的方向發展。

防火牆在經過幾年繁榮的發展後,已經形成了多種型別的體系架構,並且這幾種體系架構的裝置並存互補,並不斷進行演變升級。

防火牆體系架構「老中青」

防火牆的發展從第一代的pc機軟體,到工控機、pc-box,再到mips架構。第二代的np、asic架構。發展到第三代的專用安全處理晶片背板交換架構,以及「all in one」整合安全體系架構。

為了支援更廣泛及更高效能的業務需求,各個廠家全力發揮各自優勢,推動著整個技術以及市場的發展。

目前,防火牆產品的三代體系架構主要為:

第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多型別,產品主要表現形式是pc機、工控機、pc-box或risc-box等;

第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;

第三代架構:iss(integrated security system)整合安全體系架構,以高速安全處理晶片作為業務處理的主要核心,採用高效能cpu發揮多種安全業務的高層應用,產品主要表現形式為基於電信級的高可靠、背板交換式的機架式裝置,容量大效能高,各單元及系統更為靈活。

基於fdt指標的體系變革

衡量防火牆的效能指標主要包括吞吐量、報文**率、最大併發連線數、每秒新建連線數等。

吞吐量和報文**率是關係防火牆應用的主要指標,一般採用fdt(full duplex throughput)來衡量,指64位元組資料包的全雙工吞吐量,該指標既包括吞吐量指標也涵蓋了報文**率指標。

fdt與埠容量的區別:埠容量指物理埠的容量總和。如果防火牆接了2個千兆埠,埠容量為2gb,但fdt可能只是200mb。

fdt與hdt的區別:hdt指半雙工吞吐量(half duplex throughput)。一個千兆口可以同時以1gb的速度收和發。

按fdt來說,就是1gb;按hdt來說,就是2gb。有些防火牆的廠商所說的吞吐量,往往是hdt。

一般來說,即使有多個網路介面,防火牆的核心處理往往也只有一個處理器完成,要麼是cpu,要麼是安全處理晶片或np、asic等。

對於防火牆應用,應該充分強調64位元組資料的整機全雙工吞吐量,該指標主要由cpu或安全處理晶片、np、asic等核心處理單元的處理能力和防火牆體系架構來決定。

對於不同的體系架構,其fdt適應的範圍是不一樣的,如對於第一代單cpu體系架構其理論fdt為百兆級別,對於中高階的防火牆應用,必須採用第二代或第三代iss整合安全體系架構。

基於iss機構的第三代安全體系架構,充分繼承了大容量gsr路由器、交換機的架構特點,可以在支援多安全業務的基礎上,充分發揮高吞吐量、高報文**率的能力。

防火牆體系架構經歷了從低效能的x86、ppc軟體防火牆向高效能硬體防火牆的過渡,並逐漸向不但能夠滿足高效能也需要支援更多業務能力的方向發展。

iss整合安全體系

作為防火牆第三代體系架構,iss根據企業未來對於高效能多業務安全的需求,整合安全體系架構,吸收了不同硬體架構的優勢。

iss架構靈活的模組化結構,綜合報文過濾、狀態檢測、資料加解密功能、vpn業務、nat業務、流量監管、攻擊防範、安全審計以及使用者管理認證等安全功能於一體,實現業務功能的按需定製和快速服務、響應升級。

iss體系架構的主要特點:

1.採用結構化晶片技術設計的專用安全處理晶片作為安全業務的處理核心,可以大幅提升吞吐量、**率、加解密等處理能力;結構化晶片技術可程式設計定製線速處理模組,以快速滿足客戶需求;

2.採用高效能通用cpu作為裝置的管理中心和上層業務拓展平臺,可以平滑移植並支援上層安全應用業務,提升系統的應用業務處理能力;

3.採用大容量交換背板承載大量的業務匯流排和管理通道,其中千兆serdes業務匯流排和pci管理通道物理分離,不僅業務層次劃分清晰,便於管理,而且效能互不受限;

4.採用電信級機架式設計,無論是spu安全處理單元、mpu主處理單元及其他各類板卡、電源、機框等模組在可擴充套件、可拔插、防輻射、防干擾、冗餘備份、可升級等方面做了全方位考慮,真正地實現了安全裝置的電信級可靠性和可用性;

5.不僅達到了安全業務的高效能而且實現了「all in one」,站在客戶角度解決了多業務、多裝置的整合,避免了單點裝置故障和安全故障,大大降低了管理複雜度;

6.通過背板及線路介面單元liu擴充套件可提供高密度的業務介面。

3樓:匿名使用者

硬體,軟體,混合式

硬體就是成本高,但是安全性好

軟體就是便宜,安全性當然沒有硬體的好

最好的是混合式,但是也最貴

急!考試題:一般的防火牆分為哪幾類?主要有哪些功能?

4樓:匿名使用者

一般情況下從防火牆的軟、硬體形式來分,防火牆可以分為軟體防火牆、硬體防火牆以及晶片級防火牆。

第一種:軟體防火牆

軟體防火牆執行於特定的計算機上,它需要客戶預先安裝好的計算機作業系統的支援,一般來說這臺計算機就是整個網路的閘道器。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。

防火牆廠商中做網路版軟體防火牆最出名的莫過於checkpoint。使用這類防火牆,需要網管對所工作的作業系統平臺比較熟悉。

第二種:硬體防火牆

這裡說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二字是針對晶片級防火牆說的了。它們最大的差別在於是否基於專用的硬體平臺。

目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於pc架構,就是說,它們和普通的家庭用的pc沒有太大區別。在這些pc架構計算機上執行一些經過裁剪和簡化的作業系統,最常用的有老版本的unix、linux和freebsd系統。 值得注意的是,由於此類防火牆採用的依然是別人的核心,因此依然會受到os(作業系統)本身的安全性影響。

傳統硬體防火牆一般至少應具備三個埠,分別接內網,外網和dmz區(非軍事化區),現在一些新的硬體防火牆往往擴充套件了埠,常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴充套件埠數目。

第三種:晶片級防火牆

晶片級防火牆基於專門的硬體平臺,沒有作業系統。專有的asic晶片促使它們比其他種類的防火牆速度更快,處理能力更強,效能更高。做這類防火牆最出名的廠商有***screen、forti***、cisco等。

這類防火牆由於是專用os(作業系統),因此防火牆本身的漏洞比較少,不過**相對比較高昂。

第一要素:防火牆的基本功能

防火牆系統可以說是網路的第一道防線,因此一個企業在決定使用防火牆保護內部網路的安全時,它首先需要了解一個防火牆系統應具備的基本功能,這是使用者選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能:

防火牆的設計策略應遵循安全防範的基本原則——「除非明確允許,否則就禁止」; 防火牆本身支援安全策略,而不是新增上去的;如果組織機構的安全策略發生改變,可以加入新的服務;有先進的認證手段或有掛鉤程式,可以安裝先進的認證方法;如果需要,可以運用過濾技術允許和禁止服務;可以使用ftp和tel***等服務**,以便先進的認證手段可以被安裝和執行在防火牆上;擁有介面友好、易於程式設計的ip過濾語言,並可以根據資料包的性質進行包過濾,資料包的性質有目標和源ip地址、協議型別、源和目的tcp/udp埠、tcp包的ack位、出站和入站網路介面等。

如果使用者需要nntp(網路訊息傳輸協議)、xwindow、http和gopher等服務,防火牆應該包含相應的**服務程式。防火牆也應具有集中郵件的功能,以減少**tp伺服器和外界伺服器的直接連線,並可以集中處理整個站點的電子郵件。防火牆應允許公眾對站點的訪問,應把資訊伺服器和其他內部伺服器分開。

防火牆應該能夠集中和過濾撥入訪問,並可以記錄網路流量和可疑的活動。此外,為了使日誌具有可讀性,防火牆應具有精簡日誌的能力。雖然沒有必要讓防火牆的作業系統和公司內部使用的作業系統一樣,但在防火牆上執行一個管理員熟悉的作業系統會使管理變得簡單。

防火牆的強度和正確性應該可被驗證,設計儘量簡單,以便管理員理解和維護。防火牆和相應的作業系統應該用補丁程式進行升級且升級必須定期進行。

正像前面提到的那樣,inter***每時每刻都在發生著變化,新的易攻擊點隨時可能會產生。當新的危險出現時,新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力,因此防火牆的可適應性是很重要的。

第二要素:企業的特殊要求

企業安全政策中往往有些特殊需求不是每一個防火牆都會提供的,這方面常會成為選擇防火牆的考慮因素之一,常見的需求如下:

1、網路地址轉換功能(nat)

進行地址轉換有兩個好處:其一是隱藏內部網路真正的ip,這可以使黑客無法直接攻擊內部網路,這也是筆者之所以要強調防火牆自身安全性問題的主要原因;另一個好處是可以讓內部使用保留的ip,這對許多ip不足的企業是有益的。

2、雙重dns

當內部網路使用沒有註冊的ip地址,或是防火牆進行ip轉換時,dns也必須經過轉換,因為,同樣的一個主機在內部的ip與給予外界的ip將會不同,有的防火牆會提供雙重dns,有的則必須在不同主機上各安裝一個dns。

3、虛擬專用網路(vpn)

vpn可以在防火牆與防火牆或移動的客戶端之間對所有網路傳輸的內容加密,建立一個虛擬通道,讓兩者感覺是在同一個網路上,可以安全且不受拘束地互相存取。

4、掃毒功能

大部分防火牆都可以與防病毒軟體搭配實現掃毒功能,有的防火牆則可以直接整合掃毒功能,差別只是掃毒工作是由防火牆完成,或是由另一臺專用的計算機完成。

5、特殊控制需求

有時候企業會有特別的控制需求,如限制特定使用者才能傳送e

硬體防火牆和軟體防火牆的主要區別

硬體防火牆 系統是嵌入式的系統。一般開源的較多。硬體防火牆是通過硬體和軟體的組合來達到隔離內外部網路的目的。軟體防火牆 一般寄生在作業系統平臺。軟體防火牆是通過純軟體的的方式實現隔離內外部網路的目的。硬體防火牆的抗攻擊能力比軟體的高很多,首先因為是通過硬體實現的功能,所以效率就高,其次因為它本身就是...

什麼是防火牆?防火牆有哪些主要功能

防火牆是位於內部網和外部網之間的屏障,它按照系統管理員預先定義好的規則來控制資料包的進出。防火牆是系統的第一道防線,其作用是防止非法使用者的進入。功能 1 防火牆有訪問控制的功能,防火牆能夠通過包過濾機制對網路間的訪問進行控制,它按照網路管理員制定的訪問規則,通過對比資料包中的標識資訊,攔截不符合規...

防火牆可分為兩種型別,即和,防火牆主要分為哪兩類?它們分別工作在網路的什麼層次?簡述這兩種防火牆技術的原理和特點

防火牆分為軟體防火牆 如 天網防火牆 和硬體防火牆 一種機器,功能比軟體防火牆強大和多,成本 也高很多 硬體防火牆 軟體防火牆 按照實現技術分類,防火牆分為幾類?各有什麼特點?是不是要些 交作業啊!呵呵 現有的防火牆主要有 包過濾型 伺服器型 複合型以及其他型別 雙宿主主機 主機過濾以及加密路由器 ...