防火墙的分类方式有很多种。根据受保护的对象,可以分为网络防火墙和单机防火墙;根据防火墙主要部分的形态,可以分为软件防火墙和硬件防火墙:根据防火墙使用的对象,可以分为企业级防火墙和个人防火墙:根据防火墙检查数据包的位置,可以分为包过滤防火墙、应用代理防火墙和状态检测防火墙。
1.网络防火墙和单机防火墙
网络防火墙是指用来保护某个网络安全的防火墙,目前的防火墙大都是网络防火墙。
单机防火墙主要是为了保护单独主机而设计的防火墙。
一般说来,为了保护网络中的主机安全,人们大多选用网络防火墙。但对于网络中一些重要的主机,也需要给它们加装单机防火墙。
2.软件防火墙和硬件防火墙
软件防火墙是指防火墙的所有组件都为软件,不需要专用的硬件设备,Check Point公司的Firewall-1就是这样的一种防火墙。而硬件防火墙则需要专用的硬件设备,目前国内的防火墙基本上属于这一类型。
3.企业级防火墙和个人防火墙
企业级防火墙主要为企业上网服务。它能够进行复合分层保护,支持大规模本地和远程管理,同时和VPN相结合,从而扩展了安全联网基础设施,并且可以应用于大规模网络。这类防火墙提供了强大、灵活的认证功能,允许企业配置它们对现有的数据库进行安全传送,并且充分利用网络带宽,提供负载均衡的能力。
而个人防火墙主要是为了防护个人的主机,一般就是前面所述的单机防火墙。其功能般较简单(www.xing528.com)
4.包过滤防火墙、应用代理防火墙和状态检测防火墙
这种分类方法是最主要、最基本的一种分类方法。其分类依据是防火墙检查点的位置。
包过滤防火墙是在网络层对数据包进行选择,选择的依据是系统内设置的访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合,来确定是否允许该数据包通过。这种防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好。然而,非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;同时,数据包的源地址目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应用代理防火墙是内网与外网的隔离点,能够监视和隔绝应用层通信流,同时也常结合包过滤器功能。应用代理防火墙工作在OSI模型的最高层,掌握着应用系统中可用做安全决策的全部信息。此类防火墙的安全性比包过滤防火墙高,但它的效率则相对较低。
状态检测防火墙把包过滤的快速性和应用代理的安全性很好地结合在一起。目前,已经是防火墙最流行的检测方式
状态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定允许或拒绝通信。状态检测防火墙是在使用了基本包过滤防火墙的通信基础上应用一些技术来做到这点的。
状态检测防火墙不仅跟踪包中包含的信息,还能够记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。
状态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只有未被请求的传入通信被截断。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
