欢迎光临云杰官网,本公司为企业提供企业IPLC国际网络加速、MPLS-VPN、SD-WAN等企业网络接入服务。

云杰通信

10年专注于企业国际网络优化
国内行业十佳诚信企业、质量、服务

全国咨询热线136-3177-9516

行业知识

行业知识
当前位置:首页 > 新闻动态 > 行业知识

网络防火墙的四种分类

发布时间:2021-04-08 17:26:08来源:

网络防火墙的四种分类

  防火墙系统是网络安全的重要组成部分。术语“防火墙”表示免受危险的保护,就像您汽车中的防火墙可以保护乘客车厢免受汽车引擎的攻击一样,防火墙计算机系统也可以保护您的网络免受外界的攻击。防火墙计算机系统在您的系统与外界之间提供严格的访问控制。

  防火墙的概念非常简单。防火墙是阻塞点,安全网络和不安全网络之间的所有流量都必须经过防火墙。实际上,它通常是企业网络和Internet之间的瓶颈。创建所有流量都必须经过的单个点,可以更轻松地监视和控制流量,并使安全专业知识集中在该单个点上。

  防火墙以多种方式实现。

  最常见的防火墙体系结构至少包含四个硬件组件:外部路由器,安全服务器(称为 堡垒主机),裸露的网络(称为 外围网络)和内部路由器。每个硬件组件都提供了完整的安全方案的一部分。

  外部路由器是企业网络与外界之间的唯一连接。该路由器配置为执行最低级别的访问控制。它检查以确保没有来自外部世界的数据包具有与内部网络匹配的源地址。如果我们的网络号是172.16,则外部路由器将丢弃它在其外部接口上收到的包含源地址172.16的所有数据包。该源地址只能由路由器在其内部接口上接收。安全人员将这种访问控制包过滤称为“访问控制包过滤” 。

  内部路由器负责大部分访问控制工作。它不仅在地址上过滤数据包,还在协议和端口号上过滤数据包,以控制内部网络可访问和可从内部网络访问的服务。由您决定要为该路由器提供哪些服务。如果计划使用防火墙,则应在安全策略文档中定义将允许和拒绝的服务。几乎每项服务都可能成为威胁。必须根据您的安全需求评估这些威胁。仅限于内部用户使用的服务(NIS,NFS,X-Windows等)几乎总是被阻止。通常会阻止允许写入内部系统的服务(Telnet,FTP,SMTP等)。提供有关内部系统信息的服务(DNS, fingerd等)通常被阻止。这并没有太多运行!这就是堡垒主机和外围网络的来历。

  堡垒主机是安全的服务器。它为受限制的服务提供了企业网络和外部世界之间的互连点。内部网关限制的某些服务对于有用的网络可能是必不可少的。通过堡垒主机以安全的方式提供那些基本服务。堡垒主机直接提供一些服务,例如DNS,SMTP邮件服务和匿名FTP。其他服务作为代理服务提供。当堡垒主机充当代理服务器时,内部客户端通过堡垒主机连接到外部,而外部系统则通过主机响应内部客户端。因此,堡垒主机可以控制流入和流出站点的流量达到任何所需的程度。

  可以有不止一个安全服务器,而且经常有。外围网络将服务器连接在一起,并将外部路由器连接到内部路由器。与内部网络上的系统相比,外围网络上的系统更容易遭受安全威胁。这是必须的。毕竟,需要安全服务器才能向外部世界以及内部网络提供服务。隔离必须在单独的网络上公开的系统,可以减少其中一个系统受到损害而直接导致内部系统受到损害的机会。

  多宿主主机体系结构试图在一个盒子中复制所有这些防火墙功能。通过将IP路由器替换为在IP层不转发数据包的多宿主主机来工作。多宿主主机有效地切断了内部和外部网络之间的连接。为了向内部网络提供某种程度的网络连接性,它执行与堡垒主机相似的功能。

用手机看
网络防火墙的四种分类

拍下二维码,信息随身看

试试用手机扫一扫,
在你手机上继续观看此页面。