与我们的房屋没有围墙或界限墙一样,没有防护措施的计算机和网络将容易受到黑客的入侵,这将使我们的网络处于巨大的风险之中。因此,就像围墙保护我们的房屋一样,虚拟墙也可以保护和安全我们的设备,使入侵者无法轻易进入。这种虚拟墙被称为防火墙。
什么是防火墙?
防火墙(Firewall),也称防护墙,是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
在网络中,所谓"防火墙",是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你"同意"的人和数据进入你的网络,同时将你"不同意"的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙是一个重要的安全层,充当专用网络和外部世界之间的屏障,可监控传入和传出的网络流量,以便使用指定的规则检测和阻止危险数据包,仅允许真实信息访问您的专用网络。防火墙工作在过滤机制上,当网络数据包进入防火墙时,它会根据配置的规则对其进行检查,规则可以是一组参数,例如端口号、IP 等,每个规则都被赋予允许或不允许的状态。
防火墙的工作原理
防火墙位于两个网络(即专用网络和公共网络)的交汇点或网关处,通常,防火墙工作在 OSI 模型的第 3 层和第 4 层(即分别为网络和传输层),它检查所有传入和传出流量,并阻止那些不符合指定安全规则(即 ACL)标准的流量,该规则可以基于许多参数:
-
IP 地址
-
域名
-
协议
-
端口
防火墙操作可以通过一个简单的类比来理解,"IP 地址"被视为"房屋","端口号"被视为房屋内的"房间",在这种情况下,始终只允许受信任的人(源地址)进入房屋(目标地址),这些人在房屋内的活动被进一步过滤或限制,如下所述:
-
进入房子的人只能进入某些房间(目的地端口),这取决于他们是主人还是客人。
-
业主可以冒险进入任何房间(任何端口),而客人可以进入特定的一组房间(特定端口)。
防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问,如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个Email邮件炸烂。
一套完整的防火墙系统通常是由屏蔽路由器 和代理服务器组成。
1、屏蔽路由器:
是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查 来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。
这里面举个例子:
一堆人来到一个快要开盘楼盘售楼部买房,售楼小姐先需要对你们进行大概的登记和了解,你是否有正规工作 ,是否是本市户口 ,是否能正常贷款 ,首付多少、、、,当进行这一系列的问题后,售楼小姐会对来买房的人员进行一个过滤。
2、代理服务器:
是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,网关我们前天讲到过,它就是一个关口。
一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。
当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
还来讲买房:
当你已经符合买房的条件了,你要买到房,关键的环节就是贷款,这时售楼顾问就是网关,你提供完整的贷款资料(工资证明,收入明细等)给售楼顾问,售楼顾问会审核下,各条件都符合了,没有问题的话,他就提交给银行,贷款批下来了,房子就可以顺利的买到了。
防火墙的分类
防火墙根据其部署方式可分为以下几类:
防火墙还根据其工作方式进行分类,每种类型都可以部署为软件或硬件设备,有六种基本类型的防火墙:
1、包过滤防火墙
这是非常基本的防火墙类型,适用于数据包级别,为了进行数据包过滤,防火墙创建了基本规则,规则可能具有目标 IP、源 IP、源端口、目标端口等,以及结果(允许/丢弃),一旦数据包进入,就会根据所有规定的规则对其进行检查,检查会根据规则检查顶级数据包参数,例如源 IP、目标 IP 等。
如果检查失败,数据包将被丢弃。
包过滤防火墙消耗的资源非常少,这意味着,它们对系统性能没有任何影响,但同时,它看起来只是表面级别的参数,因此任何由内容执行的攻击都不会被阻止。
2、代理防火墙
代理防火墙在应用层拦截消息,这是通过将代理服务器部署为通信主机之间的中间节点来实现的,服务器托管代理过滤应用程序,它将所有消息从一个方向重定向到另一个方向。
中间有一个代理服务器,逻辑上有四个通信主机,一方面,中间服务器充当客户端,另一方面,它充当服务器。
3、下一代防火墙
下一代防火墙可提供传统防火墙的功能,以及入侵检测和预防、高效恶意软件扫描等额外功能,还能够从第二层监控网络协议,即通过 OSI 模型的顶层或应用层的 OSI 模型的数据链路层。
尽管下一代防火墙效率更高,但设置此类防火墙需要巨额投资,大多数企业可能不需要下一代防火墙的所有功能,下一代防火墙还实施深度数据包检测,这意味着防火墙还会查看每个数据包所承载的实际数据,最终确保最佳安全性,虽然这可能会对网络性能造成影响,但安全性确实很强。
4、状态检查防火墙
状态检查防火墙和数据包检查,为验证和跟踪已安装的连接提供最佳安全性。
建立连接后,他们可以创建包含源 IP、目标 IP、源端口和目标端口的国家/地区表。基于此信息,他们动态创建自己的规则,以允许预期的传入网络流量,而不依赖于一组硬代码规则,他们只是丢弃一个不包含经过验证的活动连接的数据包。
5、电路级网关
电路级网关在本地和远程主机之间建立 TCP 握手和其他网络协议会话启动消息时,通过网络监控它们,以确定正在启动的会话是否合法,远程系统是否被认为是可信的,他们自己不检查数据包。但是,它们提供了一种快速识别恶意内容的方法。
6、统一威胁管理 (UTM) 防火墙
统一威胁管理 (UTM) 防火墙通过将多个关键安全功能整合到单个仪表板中,提供了一种现代的安全方法。这些防火墙解决方案将状态检测防火墙的元素与防病毒、入侵防御系统 (IPS)、反垃圾邮件、虚拟专用网络 (VPN)等其他关键安全元素结合在一起。UTM 防火墙通常部署为单一安全解决方案,提供多种安全功能。通过在组织的网络上分层安全功能,安全团队可确保对网络威胁进行全面保护和更强大的防御。
UTM 防火墙降低了安全团队的复杂性,他们的任务是利用有限的人员或资源保护和防御其网络。企业甚至中小型企业 (SMB) 在其网络上面临着一系列复杂的供应商,每个供应商都有自己的安全功能,可以将安全性集中在一个保护伞下,从而降低复杂性和开销。使用 UTM 防火墙,即使有多个分支需要保护,也只需要一个安全团队。
总结
防火墙现在已经是不可或缺的角色,没有防火墙,网络安全就成了无稽之谈,本文主要讲解了什么是防火墙,防火墙的分类以及如何选择防火墙,希望对您认识防火墙有所帮助