硬件防火墙
是由厂商设计好的主机硬件, 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主,并将其他不必要的功能拿掉。因为单纯作为防火墙功能而已, 因此封包过滤的效率较佳
软件防火墙
保护系统网络安全的一套软件(或称为机制),例如 Netfilter 与 TCP Wrappers 都可以称为软件防火墙。
linux上防火墙依据防火墙管理的范围划分
单一主机型的管控
封包过滤型的 Netfilter
依据服务软件程序作为分析的 TCP Wrappers
网域型管控
由于此类防火墙都是当作路由器角色
因此防火墙类型主要则有封包过滤的 Netfilter 与利用代理服务器 (proxy server) 进行存取代理的方式了。
Netfilter (封包过滤机制)
将进入主机的网络封包的表头数据捉出来进行分析,以决定该联机为放行或抵挡的机制。所以包括硬件地址(MAC), 软件地址 (IP), TCP, UDP, ICMP 等封包的信息都可以进行过滤分析的功能,因此用途非常的广泛。(其实主要分析的是 OSI 七层协议的 2, 3, 4 层啦)
在 Linux 上面我们使用核心内建的 Netfilter 这个机制,而 Netfilter 提供了 iptables 这个软件来作为防火墙封包过滤的指令。
TCP Wrappers (程序控管)
透过服务器程序的外挂 (tcpd) 来处置的!主要是分析谁对某程序进行存取,然后透过规则去分析该服务器程序谁能够联机、谁不能联机。 由于主要是透过分析服务器程序来控管,因此与启动的埠口无关,只与程序的名称有关。 举例来说,我们知道 FTP 可以启动在非正规的 port 21 进行监听,当你透过 Linux 内建的 TCP wrappers 限制 FTP 时, 那么你只要知道 FTP 的软件名称 (vsftpd) ,然后对他作限制,则不管 FTP 启动在哪个埠口,都会被该规则管理的。
Proxy (代理服务器)
通常 Proxy 就架设在路由器上 可以完整的掌控局域网络内的对外联机
client 并没有直接连上 Internet
proxy 通常仅开放 port 80, 21, 20 等 WWW 与 FTP 的端口而已
可以使用squid软件设定
防火墙一般网络布线示意图
单一网域 仅一个路由器
内部网络包含安全性更高的子网
防火墙后面假设网络服务器主机
