Word防火墻的分類

防火墻的分類

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為（軟件）防火墻和硬件防火墻以及芯片級防火墻。

第一種：軟件防火墻

軟件防火墻運行于特定的（計算機）上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻（廠商）中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

第二種：硬件防火墻

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、（Linux）和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數(shù)目。

第三種：芯片級防火墻

芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的（ASIC）芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、For（TI）Net、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco（公司）的（PI）X防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

(1).包過濾(Packetfiltering)型

包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。

在整個防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。

●第一代靜態(tài)包過濾類型防火墻

這類防火墻幾乎是與路由器同時產(chǎn)生的，它是根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。

●第二代動態(tài)包過濾類型防火墻

這類防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為包狀態(tài)監(jiān)測(StatefulInspecTIon)技術(shù)。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。

包過濾方式的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠(yuǎn)程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

(2).應(yīng)用代理(（App）licaTIonProxy)型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本，即：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

第一代應(yīng)用網(wǎng)關(guān)(ApplicaTIonGateway)型防火墻

這類防火墻是通過一種代理(Proxy)技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

第二代自適應(yīng)代理(（Ad）aptiveproxy)型防火墻

它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器(AdaptiveProxyServer)與動態(tài)包過濾器(Dyna（mi）cPacketfilter)。

在“自適應(yīng)代理服務(wù)器”與“動態(tài)包過濾器”之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層（數(shù)據(jù)通信）進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會很明顯。

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

這種防火墻其實與一臺計算機結(jié)構(gòu)差不多（如下圖），同樣包括（CPU）、內(nèi)存、硬盤等基本組件，當(dāng)然主板更是不能少了，且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的（以太網(wǎng)）卡，因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠(yuǎn)。

如果按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的那種，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價格較貴，性能較好。

個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于（最新）的防火墻技術(shù)之一，性能最好，價格也最貴。

如果按防