電腦防火牆有哪些作用?　今天小編為大家介紹的是防火牆的工作技術分類與基礎原理，下面我們一起來看看吧!，接下來我們就來聊聊關于電腦防火牆有哪些作用?以下内容大家不妨參考一二希望能幫到您!

電腦防火牆有哪些作用

　今天小編為大家介紹的是防火牆的工作技術分類與基礎原理，下面我們一起來看看吧!

　　簡介

　　防火牆是指設置在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網絡内部的信息、結構和運行狀況，有選擇地接受外部訪問，對内部強化設備監管、控制對服務器與外部網絡的訪問，在被保護網絡和外部網絡之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種，硬件防火牆和軟件防火牆，他們都能起到保護作用并篩選出網絡上的攻擊者。

　　防火牆技術分類

　　防火牆技術經曆了包過濾、應用代理網關、再到狀态檢測三個階段。

　　包過濾技術是一種簡單、有效的安全控制技術，它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口号等規則，對通過設備的數據包進行檢查，限制數據包進出内部網絡。包過濾的最大優點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也隻限于源地址、目的地址和端口号，因而隻能進行較為初步的安全控制，對于惡意的擁塞攻擊、内存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

　　狀态檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀态檢測檢查預先設置的安全規則，允許符合規則的連接通過，并在内存中記錄下該連接的相關信息，生成狀态表。對該連接的後續數據包，隻要符合狀态表，就可以通過。這種方式的好處在于：由于不需要對每個數據包進行規則檢查，而是一個連接的後續數據包(通常是大量的數據包)通過散列算法，直接進行狀态檢查，從而使得性能得到了較大提高;而且，由于狀态表是動态的，因而可以有選擇地、動态地開通1024号以上的端口，使得安全性得到進一步地提高。

　　1. 包過濾技術

　　包過濾防火牆一般在路由器上實現，用以過濾用戶定義的内容，如IP地址。包過濾防火牆的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火牆的安全性有一定的缺陷，因為系統對應用層信息無感知，也就是說，防火牆不理解通信的内容，所以可能被黑客所攻破。

　　包過濾防火牆工作在網絡層，對數據包的源及目地IP具有識别和控制作用，對于傳輸層，也隻能識别數據包是TCP還是UDP及所用的端口信息。現在的路由器、Switch Router以及某些操作系統已經具有用Packet Filter控制的能力。

　　由于隻對數據包的IP地址、TCP/UDP協議和端口進行分析，包過濾防火牆的處理速度較快，并且易于配置。

　　包過濾防火牆具有根本的缺陷：

　　不能防範黑客攻擊。包過濾防火牆的工作基于一個前提，就是網管知道哪些IP是可信網絡，哪些是不可信網絡的IP地址。但是随着遠程辦公等新應用的出現，網管不可能區分出可信網絡與不可信網絡的界限，對于黑客來說，隻需将源IP包改成合法IP即可輕松通過包過濾防火牆，進入内網，而任何一個初級水平的黑客都能進行IP地址欺騙。 不支持應用層協議。假如内網用戶提出這樣一個需求，隻允許内網員工訪問外網的網頁(使用HTTP協議)，不允許去外網下載電影(一般使用FTP協議)。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。 不能處理新的安全威脅。它不能跟蹤TCP狀态，所以對TCP層的控制有漏洞。如當它配置了僅允許從内到外的TCP訪問時，一些以TCP應答包的形式從外部對内網進行的攻擊仍可以穿透防火牆。

　　綜上可見，包過濾防火牆技術面太過初級，就好比一位保安隻能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣，難以履行保護内網安全的職責。

　　2. 應用網關防火牆

　　應用網關防火牆檢查所有應用層的信息包，并将檢查的内容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火牆是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到服務器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

　　應用代理網關防火牆徹底隔斷内網與外網的直接通信，内網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給内網用戶。所有通信都必須經應用層代理軟件轉發，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合代理的安全策略要求。

　　應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力比較強。

　　缺點也非常突出，主要有：

　　難于配置。由于每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現配置失誤，最終影響内網的安全防範能力。 處理速度非常慢。斷掉所有的連接，由防火牆重新建立連接，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中并不可行，因為對于内網的每個Web訪問請求，應用代理都需要開一個單獨的代理進程，它要保護内網的Web服務器、數據庫服務器、文件服務器、郵件服務器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，内網用戶的正常Web訪問不能及時得到響應。

　　總之，應用代理防火牆不能支持大規模的并發連接，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先内置一些已知應用程序的代理，使得一些新出現的應用在代理防火牆内被無情地阻斷，不能很好地支持新應用。

　　在IT領域中，新應用、新技術、新協議層出不窮，代理防火牆很難适應這種局面。因此，在一些重要的領域和行業的核心業務應用中，代理防火牆正被逐漸疏遠。

　　但是，自适應代理技術的出現讓應用代理防火牆技術出現了新的轉機，它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點，在不損失安全性的基礎上将代理防火牆的性能提高了10倍。

　　3. 狀态檢測防火牆

　　狀态檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包，不關心數據包狀态的缺點，在防火牆的核心部分建立狀态連接表，維護了連接，将進出網絡的數據當成一個個的事件來處理。可以這樣說，狀态檢測包過濾防火牆規範了網絡層和傳輸層行為，而應用代理型防火牆則是規範了特定的應用協議上的行為。

　　我們知道，Internet上傳輸的數據都必須遵循TCP/IP協議，根據TCP協議，每個可靠連接的建立需要經過“客戶端同步請求”、“服務器應答”、“客戶端再應答”三個階段，我們最常用到的Web浏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包并不是獨立的，而是前後之間有着密切的狀态聯系，基于這種狀态變化，引出了狀态檢測技術。

　　狀态檢測防火牆摒棄了包過濾防火牆僅考查數據包的IP地址等幾個參數，而不關心數據包連接狀态變化的缺點，在防火牆的核心部分建立狀态連接表，并将進出網絡的數據當成一個個的會話，利用狀态表跟蹤每一個會話狀态。狀态監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀态，因此提供了完整的對傳輸層的控制能力。

　　網關防火牆的一個挑戰就是能處理的流量，狀态檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀态監測技術采用了一系列優化技術，使防火牆性能大幅度提升，能應用在各類網絡環境中，尤其是在一些規則複雜的大型網絡上。

　　任何一款高性能的防火牆，都會采用狀态檢測技術。

　　4. 複合型防火牆

　　複合型防火牆是指綜合了狀态檢測與透明代理的新一代的防火牆，進一步基于ASIC架構，把防病毒、内容過濾整合到防火牆裡，其中還包括IDS功能，多單元融為一體，是一種新突破。常規的防火牆并不能防止隐蔽在網絡流量裡的攻擊，在網絡界面對應用層掃描，把防病毒、内容過濾與防火牆結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的内容掃描，實現了實時在網絡邊緣布署病毒防護、内容過濾等應用層服務措施。

　　四類防火牆的對比包過濾防火牆：包過濾防火牆不檢查數據區，包過濾防火牆不建立連接狀态表，前後報文無關，應用層控制很弱。應用網關防火牆：不檢查IP、TCP報頭，不建立連接狀态表，網絡層保護比較弱。狀态檢測防火牆：不檢查數據區，建立連接狀态表，前後報文相關，應用層控制很弱。複合型防火牆：可以檢查整個數據包内容，根據需要建立連接狀态表，網絡層保護強，應用層控制細，會話控制較弱。

　　好了今天小編的介紹就到這裡了，希望對大家有所幫助!如果你喜歡記得分享給身邊的朋友哦!

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!