防火墙会判定允许哪些网络流量通过以及哪些流量存在危险。从本质上看,防火墙的工作原理是过滤掉异常或不受信任的流量,允许正常或受信任的流量通过。防火墙旨在保护专用网络和其中的端点设备,称为网络主机。
防火墙的工作原理
防火墙会判定允许哪些网络流量通过以及哪些流量存在危险。从本质上看,其工作原理是过滤掉异常或不受信任的流量,允许正常或受信任的流量通过。但是在我们深入探讨之前,先了解一下基于 Web 的网络结构。
防火墙旨在保护专用网络和其中的端点设备,称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们负责内部网络之间的数据收发,以及数据在外部网络之间的出站和进站。
计算机和其他端点设备使用网络来访问互联网和相互访问。然而出于安全和隐私的考虑,互联网被分割成子网。基本子网段如下:
- 外部公共网络通常是指公共/全球互联网或各种外部网。
- 内部专用网络定义为家庭网络、公司内部网和其他“封闭”网络。
- 边界网络由堡垒主机组成,堡垒主机是安全性经过强化的计算机主机,可以有效抵御外部攻击。作为内部网络和外部网络之间的安全缓冲区,边界网络也可用于容纳内部网络提供的任何面向外部的服务(即用于 Web、邮件、FTP、VoIP 等的服务器)。这些边界网络的安全性高于外部网络,但不及内部网络。它们不只是用于家庭网络等较简单网络,也可能经常用于组织或国家内部网。
屏蔽路由器是放置在网络上以对其进行分段的专用网关计算机。它们被称为网络级别防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙:
- 屏蔽主机防火墙在外部网络和内部网络之间使用单个屏蔽路由器。这些网络是该模型的两个子网。
- 屏蔽子网防火墙使用两个屏蔽路由器——一个称为外部网络和边界网络之间的接入路由器,另一个称为边界网络和内部网络之间的阻塞路由器。这会分别创建出三个子网。
网络边界和主机本身都可以容纳防火墙。为此,防火墙被置于单台计算机及其与专用网络的连接之间。
- 网络防火墙涉及在外部网络和内部专用网络之间应用一个或多个防火墙。这些防火墙会调节进站和出站网络流量,将外部公共网络(如全球互联网)与内部网络(如家庭 Wi-Fi 网络、企业内部网或国家内部网)分隔开。网络防火墙可能是下列任何类型的设备形式:专用硬件、软件和虚拟设备。
- 主机防火墙(即“软件防火墙”)涉及在单个用户设备和其他专用网络端点上使用防火墙作为网络内设备之间的屏障。这些设备/主机会接收进出特定计算机应用的自定义调节流量。主机防火墙可以作为操作系统服务或端点安全应用在本地设备上运行。主机防火墙还可以更深入地分析 Web 流量,基于 HTTP 和其他网络协议进行过滤,对到达机器的内容进行管理,而不仅仅是监控这些流量来自哪里。
网络防火墙需要针对广泛的连接进行配置,而主机防火墙可以根据每台机器的需要进行定制。然而,主机防火墙需要进行更多的自定义操作,这意味着基于网络的防火墙是全面控制解决方案的理想之选。但同时在两个位置使用两个防火墙对于构建多层安全系统来说是理想之选。
通过防火墙过滤流量的方法利用预先设置或动态学习的规则来允许和拒绝尝试建立的连接。这些规则定义了防火墙如何调节通过专用网络和专用计算机设备的 Web 流量。任何类型的防火墙都可以通过下列各项的组合进行过滤:
- 源:尝试建立的连接来自哪里。
- 目标:尝试建立的连接到哪里。
- 内容:尝试建立的连接想要发送的内容。
- 数据包协议:尝试建立的连接正在使用什么“语言”来传输消息。在主机用来相互“对话”的网络协议中,TCP/IP 协议主要用于在互联网中以及内部网/子网络内进行通信。
- 应用协议:常用协议包括 HTTP、Telnet、FTP、DNS 和 SSH。
源和目标通过互联网协议 (IP) 地址和端口进行通信。IP 地址是每个主机的少数设备名称。端口是任何给定源和目标主机设备的子级,类似于较大建筑内的办公室。端口通常被指定特定用途,因此可以注意使用不常见端口或禁用端口的某些协议和 IP 地址。
通过使用这些标识符,防火墙可以决定是丢弃尝试连接的数据包(静默丢弃或者将错误返回给发送者)还是进行转发。
文章标题:防火墙的工作原理是什么,发布者:小编,转载请注明出处:https://worktile.com/kb/p/31057
微信扫一扫 
支付宝扫一扫 
