思科CCIE認證工程師和 華爲HCIE認證工程師都要懂的防火牆分類-ielab網絡實驗室爲了對防火牆有一定的掌握,簡單瞭解一下防火牆的類別,介紹給類別之間的異同之處。一般根據防火牆提供的功能和機制不同,將他們分爲以下幾類:
- 電路級防火牆
這類防火牆通常作爲TCP連接的中繼,截獲試圖連接他們所保護的主句的TCP,代替主機完成三次握手過程。連接建立後,才允許相應的流量穿越防火牆到達主機。電路級防火牆不審覈數據分組中的數據以及任何其他信息,所以它們的速度非常快。這種類型的防火牆實際上只保證在一個連接得到允許之前TCP握手工作已恰好完成。
- 代理防火牆
代理防火牆顧名思義,能夠代替應用進行響應。代理服務器防火牆通過在應用層檢查分組來完成工作,截獲位於它們後面的應用發送的請求,並代表被請求的應用執行被請求的功能,然後再把結果轉發給發出請求的應用。通過這種方式實現安全訪問。但是這種在協議棧較高層處理分組的強大能力會使代理服務器的速度減慢。
- 無狀態分組過濾器防火牆
無狀態分組過濾器是一種位於網絡外圍的相當簡單的設備,它根據一組規則允許一些分組通過,同時阻止其他分組。這種決策根據網絡層協議(比如IP)中的地址信息制定,但在某些情況下卻是根據包含在傳輸層協議中的信息(比如TCP頭或UDP頭)制定。
- 有狀態分組過濾器防火牆
相比較於無狀態分組過濾器防火牆,這類防火牆能夠阻塞幾乎所有流量,但卻允許位於防火牆身後的設備所產生流量的返回流量通過。通過保持與傳輸層連接的記錄達到這個目的,傳輸層的連接是位於防火牆之後的主機通過有狀態分組過濾器建立起來的。現在大多數防火牆採用的就是這種機制。思科CCIE認證工程師和 華爲HCIE認證工程師都要懂的防火牆分類-ielab網絡實驗室
有狀態分組過濾器能夠跟蹤通過它們的分組的各種信息,這些信息包括
源/目的TCP和UDP端口號
TCP序列號
TCP標記
基於RFCed TCP狀態機的TCP會話狀態
基於計時器的UDP流量跟蹤思科CCIE認證工程師和 華爲HCIE認證工程師都要懂的防火牆分類-ielab網絡實驗室