网络防火墙是什么意思?防火墙的类型详解

2024-11-10分类:网络百科 阅读(


建筑物的防火墙能防止火势的蔓延,网络世界的防火墙也有类似的作用。防火墙存在于电脑与网络之间,可以允许或拒绝电脑上的哪些服务可以被网络上的远端用户存取。因此,组织单位建立一套防火墙机制,能阻挡恶意攻击和病毒蔓延到内部网络,并防止未经授权的用户进入系统。请继续阅读,以了解防火墙安全的相关资讯。

防火墙是什么?

防火墙(Firewall),有时也称为网络防火墙,这是一种管制进出流量的网络安全工具。主要目的是在内部网络网与网际网络之间建立一个屏障。因为网际网络上有许多恶意流量,例如病毒、恶意软体、骇客试图入侵他人的内网等威胁。防火墙能阻挡这些威胁和避免未经授权的存取,以确保内部网络的安全。

防火墙的作用包括:

  1. 隔离内部网络(私有网络)与网际网络的流量,以保护内网的安全。
  2. 控管内部网络传入和传出的封包,避免未经授权存取内部网络的资源。
  3. 纪录与监控内部网络的活动。

防火墙如何运作?

外部流量只能经由设备的入口点(通讯埠)进入到内部网络。这个入口点通常是防火墙进驻和保护流量的地方,防火墙会根据事先定义的安全性规则(存取控制清单,或称为ACL),有效控制对内与对外流量。存取控制清单中包含一些规则,每一条规则可用来定义要允许或拒绝特定形式(IP地址、埠号、协定、关键字等)的网络封包。

防火墙用这种方式来隔离网络,将网络划分为不同的区域,例如内部网络是高度信任的区域,网际网络则是不可信任的区域。所有进出内部网络的流量都经由防火墙中的ACL 管制,不符合ACL 规则的流量会被阻挡,以保护内部网络的安全。

有些组织会使用防火墙的规则,在网络架构中规划DMZ 区(非军事区),作为内网和外网之间的缓冲地带,内网和外网都能存取这个区域的服务。一般会将网页伺服器等对外服务的设备放到DMZ 区,提供服务给外网存取。

防火墙的类型

防火墙依实作方式

  1. 软体防火墙

    软体防火墙也称为个人防火墙,主要是将防火墙软体部署在电脑主机上。软体防火墙只适合隔离单一网络,但它只能保护单一设备,而不是整个网络。建置软体防火墙的成本较低,安装及设置较简单。因此软体防火墙非常适合个人使用,但不适用于企业网络。

  2. 硬体防火墙

    硬体防火墙是类似路由器的实体设备,将防火墙程式写入晶片中,由硬体执行防火墙的功能。硬体防火墙非常适合企业使用,而且比软体防火墙更稳定。这种设备会在传输流量时检查封包,也具有内容过滤、入侵侦测与防护等功能。不过,高成本是硬体防火墙的缺点,一般个人用户可能无法花费高昂成本建置硬体防火墙。

  3. 云端防火墙

    云端防火墙使用云端伺服器,不需在本地端建置防火墙,通常会将其设定为代理伺服器(有时会称为代理防火墙)。云端防火墙的管理非常有弹性,可以根据实际需求随时增减流量负荷,在管理上要比其他类型的防火墙更加容易。

防火墙的依过滤类型

  1. 封包过滤防火墙

    这种防火墙会检查封包标头的接收端和发送端IP地址、封包类型、埠号和其他网络资讯,并允许符合规则的封包通过,但不会检查封包内的资料内容。

  2. 电路闸道器(Circuit Level gateway)

    电路闸道器非常单纯,这种设备不需要大量的运算能力和资源。与封包过滤防火墙一样,闸道器不会检查封包内的资料内容,只检查封包来源。为了让封包通过,电路闸道器会检查封包是否为TCP握手认可的合法来源,不过这种作法无法保证安全性,因为即使封包来源是安全的,恶意程式仍可能隐藏在封包中。

  3. 状态检视防火墙(Stateful inspection firewall)

    状态检查防火墙同时具有封包过滤防火墙和电路闸道器的作用。这种防火墙经由过滤封包和检查封包来源,并持续追踪穿过防火墙的各种连线的状态,来确保网络安全。但因为状态检查防火墙执行较多的处理,因此效能比封包过滤防火墙较差。

  4. 应用层防火墙

    应用层防火墙也称为代理防火墙,这种防火墙在应用层运作,会检查内部网络和流量来源之间的流量。它先经由代理伺服器传递流量,并检查传入的流量,然后才允许流量进入内部网络中。

    应用层防火墙有点类似状态检查,会同时检查封包和TCP 握手。两者之间的主要差异是,状态检查防火墙只会检查封包来源,应用层防火墙则会检查封包内容,并进行深度封包检查(DPI)。

    应用层防火墙还能将内部网络与流量来源分离,为网络提供一层匿名性和额外的保护。不过检查封包需要花费较多的时间,因此可能会造成连线速度变慢。

  5. 次世代防火墙

    这种新型防火墙除了传统防火墙功能之外,还加入许多的新技术。不过关于次世代防火墙应该包含哪些新技术,业界目前仍没有太多的共识。一般来说,这些新技术包括深度封包检查(DPI)、TCP 握手检查、表层封包检查、加密流量检查、病毒检测、入侵预防系统(IPS)等。

结论

防火墙为组织单位建立一套防御系统,有效阻挡来自网际网络的恶意攻击,也能落实组织规范的安全政策。不同的防火墙类型提供不同的功能与防御方式,也具备不同的安全性、效率与成本。整体而言,防火墙是保护组织单位网络最有效的方法。

VPN能提供的协助: VPN(虚拟私人网络)可以对传输流量进行加密,确保连线过程的安全性,如同一个架设在网际网络的虚拟加密资料通道。这表示即使网络服务供应商(ISP)监控使用者的网络活动,但ISP只知道使用者连上VPN,无法看到使用者存取的网站内容。这种加密技术可以确保客户端不被监控和追踪,提供了线上隐私和安全的保障。

Tags:

相关文章

本栏推荐

人民币代号CNY、RMB、¥的区别与正确使用

标签云