防火墙一般部署在内外网的网络边界,对进出网络的数据包进行规则匹配和过滤。防火墙架构有哪些?根据防火墙在不同的网络协议,通常防火墙有包过滤防火墙、电路级网关防火墙和应用级网关防火墙等。
防火墙架构有哪些?
1、包过滤防火墙
包过滤防火墙是最基本的防火墙类型。它就像一个管理程序,监控网络流量并根据配置的安全规则过滤传入的数据包。如果数据包与已建立的规则集不匹配,这些防火墙旨在阻止网络流量IP协议、IP 地址和端口号。
虽然包过滤防火墙可以被认为是一种不需要太多资源的快速解决方案,但它们也有一些限制。因为这些类型的防火墙不能阻止基于 Web 的攻击,所以它们不是最安全的。
2、电路级网关
电路级网关是另一种简化的防火墙类型,可以轻松配置为允许或阻止流量,而不会消耗大量计算资源。这些类型的防火墙通常通过验证TCP(传输控制协议)连接和会话在 OSI 模型的会话级别运行。电路级网关旨在确保已建立的会话受到保护。
通常,电路级防火墙被实施为安全软件或预先存在的防火墙。与包过滤防火墙一样,这些防火墙不检查实际数据,尽管它们检查有关事务的信息。因此,如果数据包含恶意软件,但遵循正确的TCP连接,它将通过网关。这就是为什么认为电路级网关不够安全以保护我们的系统的原因。
3、应用级网关(代理防火墙)
代理防火墙在应用层作为中间设备运行,以过滤两个终端系统(例如,网络和流量系统)之间的传入流量。这就是为什么这些防火墙被称为“应用级网关”的原因。
与基本防火墙不同,这些防火墙从伪装成 Web 服务器上的原始客户端的客户端传输请求。这可以保护客户的身份和其他可疑信息,从而保护网络免受潜在攻击。建立连接后,代理防火墙会检查来自源的数据包。如果传入数据包的内容受到保护,代理防火墙会将其传输给客户端。这种方法在客户端和网络上的许多不同来源之间创建了额外的安全层。
4、状态多层检测 (SMLI) 防火墙
状态多层检测防火墙包括数据包检测技术和TCP握手验证,使 SMLI 防火墙优于数据包过滤防火墙或电路级网关。此外,这些类型的防火墙会跟踪已建立连接的状态。
简单来说,当用户建立连接并请求数据时,SMLI 防火墙会创建一个数据库(状态表)。该数据库用于存储会话信息,例如源IP地址、端口号、目的IP地址、目的端口号等。状态表中存储每个会话的连接信息。这些防火墙使用状态检查技术创建安全规则以允许预期流量。
防火墙的部署方式
1、桥模式
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有P地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
2、网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
3、NAT模式
NAT(Network Address Translation ) 地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据,当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址,NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
防火墙架构有哪些?以上就是详细的解答,在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。在互联网时代网络安全一直受到大家的广泛关注,防火墙的使用也是常见的手段之一。
