防火牆是一種網絡安全系統,它根據預先確定的安全規則監視和控制進出網絡的流量。防火牆通常在可信的內部網絡和不可信的外部網絡之間建立一個屏障
防火牆通常分爲網絡防火牆或基於主機的防火牆。網絡防火牆過濾兩個或多個網絡之間的流量,並在網絡硬件上運行。基於主機的防火牆運行在主機計算機上,控制進出這些機器的網絡流量。
第一代防火牆:包過濾器(Packet filters)
第一代網絡防火牆稱爲包過濾器。包過濾器通過檢查在計算機之間傳輸的包。當信息包與信息包過濾器的過濾規則集不匹配時,過濾器要麼丟棄(無聲地丟棄)信息包,要麼拒絕信息包(丟棄它併爲發送方生成Internet控制消息協議通知),否則它將被允許通過。包可以通過源和目的網絡地址、協議、源和目的端口號進行過濾。
第二代防火牆:有狀態過濾器(Stateful filters)
第二代防火牆執行的第一代一樣的工作,但是在OSI模型的第4層傳輸層。通過保留包直到有足夠的信息來判斷其狀態,通過狀態檢查防火牆允許或阻塞基於狀態、端口和協議的通信。它監視從連接打開到關閉的所有活動。過濾決策是基於管理員定義的規則和上下文做出的,上下文指使用來自以前連接和屬於同一連接的包的信息。
這種類型的防火牆很容易受到拒絕服務攻擊(DOS)的攻擊,這些攻擊使用假連接攻擊防火牆,試圖填充其連接狀態內存來使其無法工作。
第三代防火牆:應用層(Application layer)
第三代防火牆可以工作在應用層,實現應用層過濾。應用層過濾的關鍵好處是它可以“理解”某些應用程序和協議(如文件傳輸協議(FTP)、域名系統(DNS)或超文本傳輸協議(HTTP))。這是非常有用的,因爲它能夠檢測不需要的應用程序或服務是否試圖使用允許端口上的協議繞過防火牆,或者檢測協議是否以任何有害的方式被濫用。
到2012年,提出了下一代防火牆(NGFW),所謂的下一代防火牆不過是應用層“更廣泛”或“更深”的檢查。將深度包檢測功能擴展爲:
- 入侵防禦系統(IPS)
- 用戶身份管理集成(通過將用戶id綁定到IP或MAC地址以獲得“信譽”)
- Web應用程序防火牆(WAF)