防火墻分類3

分布式防火墻再也不是只是位于網(wǎng)絡邊界，而是滲透于網(wǎng)絡的每一臺主機，對整個內(nèi)部網(wǎng)絡的主機實施保護。在網(wǎng)絡服務器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護內(nèi)部網(wǎng)絡。各主機把任何其它主機發(fā)送的通信連接都視為"不可信"的，都需要嚴格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡發(fā)出的通信請求"不信任"。

隨著防火墻技術(shù)的發(fā)展及應用需求的提高，原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱"分布式防火墻"。

原來單一主機的防火墻由于價格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡設(shè)備購買成本。

應用型代理防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展.代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流.從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機.由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng).

應用型代理防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復雜性.

應用型監(jiān)測防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義.監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用.據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內(nèi)部.因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻.基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù).這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本.

實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應用顯然比單獨使用具有更大的優(yōu)勢.由于這種產(chǎn)品是基于應用的,應用網(wǎng)關(guān)能提供對協(xié)議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡的信息外泄.正是由于應用網(wǎng)關(guān)的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上.

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。