防火墙是保护网络安全的重要工具之一,其基本功能是监控网络数据流,防止计算机网络间的
未经授权访问。防火墙的真正意义在于它们是应用程序,而不仅仅是网络设备,应该被视为管理
应用程序行为的工具。防火墙是互联网等内部和非信任网络之间的第一道防线。应该根据特定的
保护对象来考虑墙的部署,这样我们的网络环境就能达到适当的保护水平。然而,随着新的恶意
软件和黑客技术的迅速发展,防火墙技术也随着时间的推移而发展,防火墙的保护功能从osi栈的
第三层发展到第七层。
1.防火墙的发展
第一代防火墙是一个简单的控制引擎,它允许和拒绝第三层网络数据流,类似于提供访问控制列
表功能的设备。首先,第一代防火墙主要用于基于头的数据包过滤技术,可以识别OSI层信息
(port)的访问源和目标。但是,除了能够根据预定义的访问源IP、源端口、访问目标IP、目标
端口和其他信息允许或拒绝访问控制来访问网络数据流外,还无法进行更加智能的网络流量操
作。第二代防火墙在四层工作,可以有效地跟踪网络会话的活动,通常称为国家防火墙,称为
电子网关。当一个ip地址(如桌面计算机)连接到另一个ip地址(如web服务器)上的特定tcp
或udp端口时,防火墙将这些识别特性输入内存中的表结构,以跟踪网络会话,从而可以通过
中介机构(man-in-themeidle,mitm)从其他ip地址进行攻击。一些复杂的防火墙系统实现了
高可用性,这样不同的防火墙节点可以交换会话表,如果一个防火墙失败,另一个防火墙可以
继续当前的网络会话,从而避免会话中断。
表功能的设备。首先,第一代防火墙主要用于基于头的数据包过滤技术,可以识别OSI层信息
(port)的访问源和目标。但是,除了能够根据预定义的访问源IP、源端口、访问目标IP、目标
端口和其他信息允许或拒绝访问控制来访问网络数据流外,还无法进行更加智能的网络流量操
作。第二代防火墙在四层工作,可以有效地跟踪网络会话的活动,通常称为国家防火墙,称为
电子网关。当一个ip地址(如桌面计算机)连接到另一个ip地址(如web服务器)上的特定tcp
或udp端口时,防火墙将这些识别特性输入内存中的表结构,以跟踪网络会话,从而可以通过
中介机构(man-in-themeidle,mitm)从其他ip地址进行攻击。一些复杂的防火墙系统实现了
高可用性,这样不同的防火墙节点可以交换会话表,如果一个防火墙失败,另一个防火墙可以
继续当前的网络会话,从而避免会话中断。
第三代防火墙包括第七层,应用层。这些所谓的应用程序防火墙可以解码网络数据流中定义
和预配置的应用程序数据,如http(webprotocol)、dns(ipaddressionprotocol)和旧协议
,如ftp、telnet等。通常,第三代防火墙不能解密加密的网络数据,因此不能解析https或ssh
等协议。
和预配置的应用程序数据,如http(webprotocol)、dns(ipaddressionprotocol)和旧协议
,如ftp、telnet等。通常,第三代防火墙不能解密加密的网络数据,因此不能解析https或ssh
等协议。
第四代防火墙智能分析网络流量中的数据包负载,了解应用程序的工作原理。随着集成电路
的不断发展,基于路由器的先进防火墙已经可以作为一个多功能路由器软件模块提供IP地址
检测功能,但其速度和进步都低于工业硬件防火墙解决方案。此外,统一的威胁管理设备将
复杂的应用层防火墙功能与防病毒、入侵检测和防御以及内容过滤相结合,属于七层设备。
目前已经描述了第五代防火墙和第六代防火墙,它们构建在主机内部并保护操作系统内核,
但是现在可以找到的大多数网络防火墙都属于第四代防火墙定义。有些供应商称他们的设备
为下一代防火墙或基于区域的防火墙,但他们的核心功能也基于第四代防火墙的工作原理。
的不断发展,基于路由器的先进防火墙已经可以作为一个多功能路由器软件模块提供IP地址
检测功能,但其速度和进步都低于工业硬件防火墙解决方案。此外,统一的威胁管理设备将
复杂的应用层防火墙功能与防病毒、入侵检测和防御以及内容过滤相结合,属于七层设备。
目前已经描述了第五代防火墙和第六代防火墙,它们构建在主机内部并保护操作系统内核,
但是现在可以找到的大多数网络防火墙都属于第四代防火墙定义。有些供应商称他们的设备
为下一代防火墙或基于区域的防火墙,但他们的核心功能也基于第四代防火墙的工作原理。
