8种不同类型的防火墙详细解释_电路防火墙的区别(1),2024年最新深度剖析原理
硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip1024b (备注go)
正文
硬件防火墙
硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。
硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。
硬件防火墙的优点:
- 使用一种解决方案保护多台设备。
- 顶级边界安全性,因为恶意流量永远不会到达主机设备。
- 不消耗主机设备资源。
- 管理员只需为整个网络管理一个防火墙。
硬件防火墙的缺点:
- 比软件防火墙更昂贵。
- 内部威胁是一个相当大的弱点。
- 与基于软件的防火墙相比,配置和管理需要更多的技能。
基于云的防火墙
许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。
基于云的防火墙非常适用于:
- 高度分散的业务。
- 在安全资源方面存在缺口的团队。
- 不具备必要的内部专业知识的公司。
与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。
云防火墙的优点:
- 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。
- 用户可以自由扩展云资源以满足流量负载。
- 无需任何内部硬件。
- 高可用性。
云防火墙的缺点:
- 供应商究竟如何运行防火墙缺乏透明度。
- 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。
- 流量流经第三方可能会增加延迟和隐私问题。
- 由于高昂的运营成本,从长远来看是比较贵的。
基于操作方法的防火墙类型
下面是基于功能和 OSI 模型的五种类型的防火墙。
包过滤防火墙
包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。这些防火墙检查以下基于标头的信息:
- 目的地址和源 IP 地址。
- 数据包类型。
- 端口号。
- 网络协议。
这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。 包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。
包过滤防火墙的优点:
- 低成本。
- 快速包过滤和处理。
- 擅长筛选内部部门之间的流量。
- 低资源消耗。
- 对网络速度和最终用户体验的影响最小。
- 多层防火墙策略中出色的第一道防线。
包过滤防火墙的缺点:
- 不检查数据包有效负载(实际数据)。
- 对于有经验的黑客来说很容易绕过。
- 无法在应用层进行过滤。
- 容易受到 IP 欺骗攻击,因为它单独处理每个数据包。
- 没有用户身份验证或日志记录功能。
- 访问控制列表的设置和管理具有挑战性。
电路级网关
电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。
电路级网关的优点:
- 仅处理请求的事务,并拒绝所有其他流量。
- 易于设置和管理。
- 资源和成本效益。
- 强大的地址暴露保护。
- 对最终用户体验的影响最小。
电路级网关的缺点:
- 不是一个独立的解决方案,因为没有内容过滤。
- 通常需要对软件和网络协议进行调整。
状态检测防火墙
状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。
状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息,包括:
- 源IP。
- 源端口。
- 目的 IP。
- 每个连接的目标端口。
当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。
状态检测防火墙的优点:
- 过滤流量时会自动通过以前检查过的数据包。
- 在阻止利用协议缺陷的攻击方面表现出色。
- 无需打开大量端口来让流量进出,这可以缩小攻击面。
- 详细的日志记录功能,有助于数字取证。
- 减少对端口扫描器的暴露。
状态检测防火墙的缺点:
- 比包过滤防火墙更昂贵。
- 需要高水平的技能才能正确设置。
- 通常会影响性能并导致网络延迟。
- 不支持验证欺骗流量源的身份验证。
- 容易受到利用预先建立连接的 TCP Flood攻击。
代理防火墙
代理防火墙(或应用级网关)充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。
代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。
当客户端发送访问网络的请求时,消息首先到达代理服务器。
防火墙会检查以下内容:
- 客户端和防火墙后面的设备之间的先前通信(如果有的话)。
- 标头信息。
- 内容本身。
然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。
代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。
代理防火墙的优点:
- DPI检查数据包标头和有效负载 。
- 在客户端和网络之间添加了一个额外的隔离层。
- 对潜在威胁行为者隐藏内部 IP 地址。
- 检测并阻止网络层不可见的攻击。
- 对网络流量进行细粒度的安全控制。
- 解除地理位置限制。
代理防火墙的缺点:
- 由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。
- 由于处理开销高,不如其他类型的防火墙成本低。
- 设置和管理具有挑战性。
- 不兼容所有网络协议。
下一代防火墙
下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。这样的系统提供:
- 分析流量内容的深度数据包检测(DPI)。
- TCP 握手检查。
- 表层数据包检测。
下一代防火墙还包括额外的网络安全措施,例如:
- IDS 和 IPS。
- 恶意软件扫描和过滤。
- 高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等)
- 防病毒程序。
- 网络地址转换 (NAT)。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(NAT)。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
[外链图片转存中…(img-nADbxq2y-1713281058899)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
更多推荐
所有评论(0)