分布式防火墙是指物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙、分布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。说明哪一类连接可以被允许或禁止的策略语言,。然后中心采用系统管理工具把策略文件分发给各台“内部”主机:“内部”主机将从两方面来判定是否接受收到的包,一方面是报据IP安全协议。另一方面是根据服务器端的策略文件.
芯片级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。从实现原理来看,是通过专门设计的芯片逻辑进行硬件加速处理,通过把指令或计算逻辑固化到芯片中,获得很高的处理能力。明显地提升防火墙的性能。
前几代防火墙技术有一个共同的特点,就是采用逐一匹配方法,需要对IP包和状态检测包进行匹配检查,计算量太大,效率低。智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法对数据进行识别,达到访问控制的目的。运用了数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制.由于这些方法多是人工智能学科采用的方法,因此称为智能防火墙。
图 2-1双区域部署
最基本的拓扑架构,双区域设计在没有服务器的情况下是可以被允许的,但是当有服务集群的时候,需要将主机和服务器隔离开来,防止内部攻击。
流量主动从 inside 区域传向 outside 的流量及应答可以通过防火墙,outside 区域主动传向 inside 区域的流量将被阻拦。此时 inside 中的服务器将无法被互联网端访问,若开放某些端口供互联网访问,可能受到来自内部主机的攻击
图 2-2三区域部署
三区域设计引入 DMZ 非军事化区域,用于专门隔离服务器,实现更安全的互访。安全级别:0-100,安全级别越高越优先,安全级别高的可以访问安全级别低的区域,反之不行,若低安全级别区域要访问高级别,可以在高级别区域部署允许策略。
3.防火墙的基本规则
一切未被允许的就是禁止的(No 规则)
一切未被禁止的就是允许的(Yes 规则)