1樓:未
常見防火牆系統模型
常見防火牆系統一般按照四種模型構建:
篩選路由器模型,單宿主堡壘主機(遮蔽主機防火牆)模型,雙宿主堡壘主機模型(遮蔽防火牆系統模型)和遮蔽子網模型.
篩選路由器模型
篩選路由器模型是網路的第一道防線,功能是實施包過濾.建立相應的過濾策略時對工作人員的tcp/ip的知識有相當的要求,如果篩選路由器被黑客攻破那麼內部網路將變的十分的危險.該防火牆不能夠隱藏你的內部網路的資訊,不具備監視和日誌記錄功能.
單宿主堡壘主機模型
雙宿主堡壘主機模型
雙宿主堡壘主機模型(遮蔽防火牆系統)可以構造更加安全的防火牆系統.雙宿主堡壘主機有兩種網路介面但是主機在兩個埠之間直接**資訊的功能被關掉了.在物理結構上強行將所有去往內部網路的資訊經過堡壘主機.
遮蔽子網模型
遮蔽子網模型用了兩個包過濾路由器和乙個堡壘主機.它是最安全的防火牆系統之一,因為在定義了"中立區"(dmz,demilitarized zone)網路後,它支援網路層和應用層安全功能.網路管理員將堡壘主機,資訊伺服器,modem組,以及其它公用伺服器放在dmz網路中.
如果黑客想突破該防火牆那麼必須攻破以上三個單獨的裝置.
防火牆主要有哪幾類體系結構,分別說明其優缺點
2樓:**ile逝憶心
防火牆主要的體系結構:
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被遮蔽主機防火牆
4、被遮蔽子網防火牆
5、其他防火牆體系結構
優缺點:
1、包過濾型防火牆
優點:(1)處理資料報的速度較快(與**伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對使用者和應用來說是透明的。
缺點:(1)包過濾防火牆的維護較困難;(2)只能阻止一種型別的ip欺騙;(3)任何直接經過路由器的資料報都有被用作資料驅動式攻擊的潛在危險,一些包過濾路由器不支援有效的使用者認證,僅通過ip位址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)ip包過濾器可能無法對網路上流動的資訊提供全面的控制。
2、雙宿/多宿主機防火牆
優點:(1)可以將被保護的網路內部結構遮蔽起來,增強網路的安全性;(2)可用於實施較強的資料流監控、過濾、記錄和報告等。
缺點:(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。
3、被遮蔽主機防火牆
優點:(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(**服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。
缺點:路由器不被正常路由。
4、被遮蔽子網防火牆
優點:安全性高,若入侵者試圖破壞防火牆,他必須重新配置連線三個網的路由,既不切斷連線,同時又不使自己被發現,難度係數高。
缺點:(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦資料驅動的攻擊:
防火牆不能防禦基於資料驅動的攻擊。
3樓:匿名使用者
安全基礎 三代防火牆體系結構演變介紹
為了滿足使用者的更高要求,防火牆體系架構經歷了從低效能的x86、ppc軟體防火牆向高效能硬體防火牆的過渡,並逐漸向不但能夠滿足高效能,也需要支援更多業務能力的方向發展。
防火牆在經過幾年繁榮的發展後,已經形成了多種型別的體系架構,並且這幾種體系架構的裝置並存互補,並不斷進行演變公升級。
防火牆體系架構「老中青」
防火牆的發展從第一代的pc機軟體,到工控機、pc-box,再到mips架構。第二代的np、asic架構。發展到第三代的專用安全處理晶元背板交換架構,以及「all in one」整合安全體系架構。
為了支援更廣泛及更高效能的業務需求,各個廠家全力發揮各自優勢,推動著整個技術以及市場的發展。
目前,防火牆產品的三代體系架構主要為:
第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多型別,產品主要表現形式是pc機、工控機、pc-box或risc-box等;
第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;
第三代架構:iss(integrated security system)整合安全體系架構,以高速安全處理晶元作為業務處理的主要核心,採用高效能cpu發揮多種安全業務的高層應用,產品主要表現形式為基於電信級的高可靠、背板交換式的機架式裝置,容量大效能高,各單元及系統更為靈活。
基於fdt指標的體系變革
衡量防火牆的效能指標主要包括吞吐量、報文**率、最大併發連線數、每秒新建連線數等。
吞吐量和報文**率是關係防火牆應用的主要指標,一般採用fdt(full duplex throughput)來衡量,指64位元組資料報的全雙工吞吐量,該指標既包括吞吐量指標也涵蓋了報文**率指標。
fdt與埠容量的區別:埠容量指物理埠的容量總和。如果防火牆接了2個千兆埠,埠容量為2gb,但fdt可能只是200mb。
fdt與hdt的區別:hdt指半雙工吞吐量(half duplex throughput)。乙個千兆口可以同時以1gb的速度收和發。
按fdt來說,就是1gb;按hdt來說,就是2gb。有些防火牆的廠商所說的吞吐量,往往是hdt。
一般來說,即使有多個網路介面,防火牆的核心處理往往也只有乙個處理器完成,要麼是cpu,要麼是安全處理晶元或np、asic等。
對於防火牆應用,應該充分強調64位元組資料的整機全雙工吞吐量,該指標主要由cpu或安全處理晶元、np、asic等核心處理單元的處理能力和防火牆體系架構來決定。
對於不同的體系架構,其fdt適應的範圍是不一樣的,如對於第一代單cpu體系架構其理論fdt為百兆級別,對於中高階的防火牆應用,必須採用第二代或第三代iss整合安全體系架構。
基於iss機構的第三代安全體系架構,充分繼承了大容量gsr路由器、交換機的架構特點,可以在支援多安全業務的基礎上,充分發揮高吞吐量、高報文**率的能力。
防火牆體系架構經歷了從低效能的x86、ppc軟體防火牆向高效能硬體防火牆的過渡,並逐漸向不但能夠滿足高效能也需要支援更多業務能力的方向發展。
iss整合安全體系
作為防火牆第三代體系架構,iss根據企業未來對於高效能多業務安全的需求,整合安全體系架構,吸收了不同硬體架構的優勢。
iss架構靈活的模組化結構,綜合報文過濾、狀態檢測、資料加解密功能、vpn業務、nat業務、流量監管、攻擊防範、安全審計以及使用者管理認證等安全功能於一體,實現業務功能的按需定製和快速服務、響應公升級。
iss體系架構的主要特點:
1.採用結構化晶元技術設計的專用安全處理晶元作為安全業務的處理核心,可以大幅提公升吞吐量、**率、加解密等處理能力;結構化晶元技術可程式設計定製線速處理模組,以快速滿足客戶需求;
2.採用高效能通用cpu作為裝置的管理中心和上層業務拓展平台,可以平滑移植並支援上層安全應用業務,提公升系統的應用業務處理能力;
3.採用大容量交換背板承載大量的業務匯流排和管理通道,其中千兆serdes業務匯流排和pci管理通道物理分離,不僅業務層次劃分清晰,便於管理,而且效能互不受限;
4.採用電信級機架式設計,無論是spu安全處理單元、mpu主處理單元及其他各類板卡、電源、機框等模組在可擴充套件、可拔插、防輻射、防干擾、冗餘備份、可公升級等方面做了全方位考慮,真正地實現了安全裝置的電信級可靠性和可用性;
5.不僅達到了安全業務的高效能而且實現了「all in one」,站在客戶角度解決了多業務、多裝置的整合,避免了單點裝置故障和安全故障,大大降低了管理複雜度;
6.通過背板及線路介面單元liu擴充套件可提供高密度的業務介面。
4樓:匿名使用者
硬體,軟體,混合式
硬體就是成本高,但是安全性好
軟體就是便宜,安全性當然沒有硬體的好
最好的是混合式,但是也最貴
請教乙個關於評價防火牆防禦能力的演算法或模型
5樓:喂小飽
常見復防火牆系統模型常制
見防火牆系統一般bai按照四種模型構建:篩選路由器du模型zhi,單宿主堡壘主機(遮蔽主機防火dao牆)模型,雙宿主堡壘主機模型(遮蔽防火牆系統模型)和遮蔽子網模型.篩選路由器模型篩選路由器模型是網路的第一道防線,功能是實施包過濾.
建立相應的過濾策略時對工作人員的tcp/ip的知識有相當的要求,如果篩選路由器被黑客攻破那麼內部網路將變的十分的危險.該防火牆不能夠隱藏你的內部網路的資訊,不具備監視和日誌記錄功能.單宿主堡壘主機模型雙宿主堡壘主機模型雙宿主堡壘主機模型(遮蔽防火牆系統)可以構造更加安全的防火牆系統.
雙宿主堡壘主機有兩種網路介面但是主機在兩個埠之間直接**資訊的功能被關掉了.在物理結構上強行將所有去往內部網路的資訊經過堡壘主機.遮蔽子網模型遮蔽子網模型用了兩個包過濾路由器和乙個堡壘主機.
它是最安全的防火牆系統之一,因為在定義了"中立區"(dmz,demilitarized zone)網路後,它支援網路層和應用層安全功能.網路管理員將堡壘主機,資訊伺服器,modem組,以及其它公用伺服器放在dmz網路中.如果黑客想突破該防火牆那麼必須攻破以上三個單獨的裝置.
防火牆有哪幾種型別,常見的防火牆型別
6樓:北京瑞星資訊科技股份****
一、所謂防火牆指的是乙個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使inter***與intra***之間建立起乙個安全閘道器(security gateway),從而保護內部網免受非法使用者的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用閘道器4個部分組成,防火牆就是乙個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料報均要經過此防火牆。
二、主要型別
1、網路層防火牆
網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp/ip協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:** ip位址、**埠號、目的 ip 位址或埠號、服務型別(如 http 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱或網段...
等屬性來進行過濾。
2、應用層防火牆
應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
xml 防火牆是一種新型態的應用層防火牆。
[2] 根據側重不同,可分為:包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。
3、資料庫防火牆
資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫防火牆通過sql協議分析,根據預定義的禁止和許可策略讓合法的sql操作通過,阻斷非法違規操作,形成資料庫的外圍防禦圈,實現sql危險操作的主動預防、實時審計。
資料庫防火牆面對來自於外部的入侵行為,提供sql注入禁止和資料庫虛擬補丁包功能。
防火牆的功能,什麼是防火牆?防火牆有哪些主要功能
防火牆的功能 將內部網路與外網有效隔離開,對非法使用者進行阻隔,並將一些不安全的服務全部濾除掉。它是不同網路或網路安全域之間資訊的唯一出入口,能根據企業的安全政策控制 允許 拒絕 監測 出入網路的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊保安服務,實現網路和資訊保安的基礎設施。在邏輯上,防火牆...
使用哪個防火牆比較的有效呢,目前什麼防火牆防木馬最有效?
哪款防火牆最好等等!呵呵,其實個人感覺xp sp2自帶的防火牆也已經蠻不錯了,夠用了。如果大家真的有要求的話,我個人認為可以這麼做 1,如果你選擇安裝的是f secure client security的話,那麼這款防毒軟體自帶防火牆程式,而且這個防火牆排名歐洲第一,絕對可以了已經。這樣你就可以不必...
防火牆技術的基本分類有哪些,防火牆的主要功能和幾種型別
目前防火牆 bai產品非常之多,劃du分的標準也比較 zhi雜。主要分類 dao如下 1.從軟 硬體形式上分為版 軟體防權火牆和硬體防火牆以及晶元級防火牆。2.從防火牆技術分為 包過濾型 和 應用 型 兩大類。3.從防火牆結構分為 單一主機防火牆 路由器整合式防火牆和分布式防火牆三種。4.按防火牆的...