2024年4月30日发(作者:win10最低要求配置)
防火墙的概念是什么防火墙的分类
一. 防火墙的概念
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已
经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装
各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所
了解的,一部分用户甚至认为,“防火墙”是一种软件的名称……
到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历
史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生
和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑
物就被称为“防火墙”(FireWall)。时光飞梭,随着计算机和网络的发
展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们
开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这
个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火
墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。
对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的
计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都
要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一
旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构
不同功能的防火墙,构筑成网络上的一道道防御大堤。
二. 防火墙的分类
世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的
对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据
物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火
墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算
机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,
通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络
的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接
的,网络接口设备通过网络驱动程序接口(Network Driver Interface
Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处
理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文,
NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,
在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接
收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了
一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断
处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因
为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判
断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什
么事情也没发生过,也就不会把信息泄漏出去了。
软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS
发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全
保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免
的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一
定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工
作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致
有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多
企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使
用看得见摸得着的硬件防火墙。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个
网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防
火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安
全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据
检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或
企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件
级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理
的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿
出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1714481416a2454902.html
评论列表(0条)