文章目录
五种基本的防火墙类型
- packet filtering firewall
- circuit-level gateway
- application-level gateway (aka proxy firewall)
- stateful inspection firewall
- ext-generation firewall (NGFW)
当然有的防火墙可以包含上面多种特性,其实不会配置防火墙比没防火墙更可怕哈哈
packet filtering firewall
这种防火墙不会做路由,他们会查看网络包是否符合标准,比如包类型,端口号,IP地址等,主要是包头上面的东西,这种防火墙,简单粗暴,现在一般小公司可以做一些基本的防护,但是实际用途不大
优点: 高效便宜
缺点:
- 它不会检查包中传输的数据
- 而且比较难配置
Circuit-level gateway
主要是监控TCP握手来确保初始化是合法的,如果是合法的,在没关闭之前他会在表里村一条数据,当请求来的时候就放行
优点:简单低价,而且之处理请求,其他都阻塞掉
缺点:
- 它是会话层的监控,一般情况下,它会和Application-level gateway在一起使用
Application-level gateway
他不仅仅会检测IP和端口之类的,它还可以检测应用层的东西,不如HTTP请求的字符串,主要是用来保护一些web应用
但是它会损害网络性能,而且还不好做出来
Stateful inspection firewall
这个就有点牛逼了,它会检测来的这个包是不是依附于某个已经建立的链接,而且他也会检测包的具体内容,可以记录日志,他对ddos攻击挺管用,很多企业在使用它
但是它对网络的影响更严重,而且还很贵
Next-generation firewall
这个也不算下一代了,它在Stateful inspection firewall做了更加深度的检测(dpi),以及IDS/IPS,恶意软件过滤,抗病毒啥的
效果好,同时可以从网络链路层一直审查到应用层
缺点就不用说了,又贵又麻烦
防火墙的另一种分类方式
硬件防火墙
就是基于物理设备的防火墙,这种不会消耗宿主机的资源
软件防火墙
这种直接建立在宿主机上,会消耗网络资源
云防火墙
其实就是把防火墙当作一种新的服务,比如很多网关服务