防火牆術語
防火牆術語
01 網關
在兩個設備之間提供轉發服務的系統。
網關是互聯網應用程式在兩台主機之間處理流量的防火牆。
這個術語是非常常見的。
02 DMZ非軍事化區
為了配置管理方便,內部網路中需要向外提供服務的伺服器往往放在一個單獨的網段,這個網段便是非軍事化區。
防火牆一般配備三塊網卡,配置時一般分別分別連接內部網,Internet和DMZ。
網路中的資料由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。
吞吐量是指在不丟包的情況下單位時間內通過防火牆的資料包數量。 這是測量防火牆性能的重要指標。
04 最大連線數
和吞吐量一樣,數字越大越好。
但是最大連線數更貼近實際網路情況,網路中大多數連線是指所建立的一個虛擬通道。
防火牆對每個連線的處理也好耗費資源,因此最大連線數成為考驗防火牆這方面能力的指標。
封包轉送率:是指在所有安全規則配置正確的情況下,防火牆對資料流量的處理速度。
05 SSL
SSL(Secure Sockets Layer)是由 Netscape 公司開發的一套Internet 資料安全協定。
它已被廣泛地用於網頁瀏覽器與伺服器之間的身份認證和加密資料傳輸SSL協定位於TCP/IP 協定與各種應用層協定之間,為資料通訊提供安全支援。
06 網路位址轉換
網路位址轉換(NAT)是一種將一個IP位址域對應到另一個IP 位址域技術,從而為終端主機提供透明路由。
NAT包括靜態網路位址轉換、動態網路位址轉換、網路位址及連接埠轉換、動態網路位址及連接埠轉換、連接埠對映等。
NAT常用於私有位址域與公用位址域的轉換以解決IP位址匱乏問題。
在防火牆上實現NAT後,可以隱藏受保護網路的內部拓樸結構,在一定程度上提高網路的安全性。
如果反向NAT提供動態網路位址及連接埠轉換功能,還可實現負載平衡等功能。
07 堡壘主機
一種被強化的可以防禦進攻的計算機,被暴露於因特網之上,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮 其它主機的安全的目的。
05.硬體防火牆和軟體
防火牆對比
01 成本對比
硬體防火牆是軟硬體一體的,用戶購買後不需要再投入其他費用。
一般硬體防火牆的報價在1萬到2萬之間。
軟體防火牆有三方面的成本開銷:
軟體的成本、安裝軟體的設備成本、設備上作業系統的成本。
綜合以上的成本,要配置一套軟體防火牆以最小的網路要求,其成本在1萬左右。
02 穩定性與安全性對比
穩定性與安全性比較穩定性能的優劣主要來自於防火牆運作平台即作業系統上。
硬體防火牆一般使用經過核心編譯後的Linux ,憑藉Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性。
Linux 永遠不會崩潰,其穩定性是由於它沒有像其他作業系統一樣核心龐大且漏洞百出。
系統的穩定性主要取決於系統設計的結構。
電腦硬體的結構自從1981設計開始就沒有作特別大的改動,而連續向後相容性使那些程式設計風格極差的應用軟體勉強移植到Windows的最新版本,這種將就的軟體開發模式極大地阻礙 了系統穩定性的發展。
最令人注目的Linux開放原始碼的開發模式,它保證了任何系統的漏洞都能及時發現和修正。
Linux 採取了許多安全技術措施,包括對讀取、寫入進行權限控制、帶有保護的子系統、稽核追蹤、核心授權等,這為網路多用戶環境中的使用者提供了必要的安全保障。
軟體防火牆一般要安裝在windows 平台上,實現簡單,但同時由於windows 本身的漏洞和不穩定性帶來了軟體防火牆的安全性和穩定性的問題。
雖然 Microsoft 也在努力的彌補這些問題,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但與Linux 比起來還是漏洞倍出。
在病毒侵害方面,從linux發展到如今,Linux 幾乎不感染病毒。
而身為Windows平台下的病毒我們就不必多說了,只要是使用過電腦的人都有感受。
如果遭遇廣泛傳播的ARP欺騙病毒,容易造成了內網不穩定、網路時斷時序、經常斷線,無法進行正常的工作,使得許多的網路管理人員束手無策。
03 軟硬體防火牆的吞吐量和封包轉送率比較
吞吐量和封包轉送率是關係防火牆應用的主要指標。
硬體防火牆的硬體設備是由專業廠商定制的,在定制之初就充分考慮了吞吐量的問題,在這一點上遠勝於軟體防火牆。
因為軟體防火牆的硬體是用戶自己選擇的許多情況下都沒有考慮吞吐量的問題。
況且windows系統本身就很耗費硬體資源,其吞吐量和處理大數據流的能力遠不及硬體防火牆,這一點是不言而喻的。
吞吐量太小的話,防火牆就是網路的瓶頸,會帶來網路速度慢、上網頻寬不夠等問題。
04 防火牆工作原理上的比較
軟體防火牆一般可以是包過濾機制。
包過濾過濾規則簡單,只能檢查到第三層網路層,只對來源或目的IP做檢查。
防火牆的能力遠不及狀態偵測防火牆,連最基本的駭客攻擊手法IP偽裝都無法解決,要對所經過的所有資料包做檢查,所以速度比較慢。
硬體防火牆主要採用第四代狀態偵測機制。
狀態偵測是在通訊發起連接時就檢查規則是否允許建立連接,然後在快取的狀態偵測表中新增一筆記錄,以後就不必去檢查規則了只要查看狀態監測表就OK了,速度上有了很大 的提升。
因其工作的層次有了提高,其防黑功能比包過濾強了很多,狀態檢測防火牆追蹤的不僅是包中包含的資訊。
為了追蹤包的狀態,防火牆還記錄有用的資訊以幫助識別包,例如現有的網路連線、資料的傳出請求等。
例如,如果傳入的包包含視訊資料流,而防火牆可能已經記錄了有關訊息,是關於位於特定IP 位址的應用程式最近向發出封包的來源位址請求視訊訊號的訊息。
如果傳入的包是要傳給發出請求的相同系統,防火牆進行匹配,包就可以被允許通過。 @網路工程師俱樂部
硬體防火牆比軟體防火牆在實現的機制上有很大的不同,也帶來了軟硬體防火牆在防黑能力上很大差異。
在內網的控制方面比較
軟體防火牆由於本身的工作原理造成了它不具備內網具體化的控制管理。
例如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對特定的IP 和MAC 做上網控制等,其主要的功能在於對外。
硬體防火牆在基於狀態偵測的機制上,安全廠商又可以根據市場的不同需求開發應用層過濾規則,來滿足對內網的控制,能夠在高層進行過濾,做到了軟體防火牆不能做到的很多事。
特別是ARP病毒,硬體防火牆針對入侵的原理,都做了相對應的策略,徹底解除了ARP病毒的危害。
現在的網路安全(防火牆 )已經不僅限於對外的防止駭客攻擊上,更多的企業內部網路經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。
我們分析其主要的原因,在於內網用戶的使用問題,很多的用戶上班時間使用BT下載、瀏覽一些不正規的網站,這樣都會引起內網的諸多問題,比如病毒,很多病毒傳播都是用戶 不良行為而造成的。
所以說內網用戶的控制和管理是非常必要的。
Comments
Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/html/wwwroot/itrenzheng.hk/wp-includes/class-wp-comment-query.php on line 399
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!