防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu),他們各自的特點分別如下:通用CPU架構(gòu):通用CPU架構(gòu)較常見的是基于Intel X86架構(gòu)的防火墻,在百兆防火墻中Intel X86架構(gòu)的硬件以其高靈活性和擴展性一直受到防火墻廠商的喜愛;由于采用了PCI總線接口,Intel X86架構(gòu)的硬件雖然理論上能達到2Gbps的吞吐量甚至更高,但是在實際應(yīng)用中,尤其是在小包情況下,遠遠達不到標稱性能,通用CPU的處理能力也很有限。國內(nèi)安全設(shè)備主要采用的就是基于X86的通用CPU架構(gòu)。ASIC架構(gòu):ASIC(Application Specific Integrated Circuit,專門用于集成電路)技術(shù)是國外優(yōu)越網(wǎng)絡(luò)設(shè)備幾年前普遍采用的技術(shù)。防火墻可以使用各種技術(shù),如過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和虛擬網(wǎng)絡(luò),來提高網(wǎng)絡(luò)安全性。普陀區(qū)防火墻系統(tǒng)公司
防火墻是一個類以于祈接或陷由器的、多魏口的(閃網(wǎng)絡(luò)接口>=2)轉(zhuǎn)發(fā)設(shè)備,它跨接于多個分離的加理網(wǎng)段之間,并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。防火墻自身應(yīng)具有非常強的抗攻擊免抗力:這是防火遍之所以能掃當企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火增處于網(wǎng)絡(luò)邊緣,它就橡一個邊界衛(wèi)士一樣,每時每北都要面對黑技術(shù)的入侵,這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火婚操僳作系納本身是關(guān)鍵,只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火增自身具有非常低的服務(wù)功能,除了專門的防火燔嵌入系統(tǒng)外,再沒有其它應(yīng)用程序在防火墻上運行。當然這些安全性也只能說是相對的。楊浦區(qū)u盤防火墻軟件防火墻可以檢測和過濾入站和出站流量。
代理服務(wù)器是防火墻技術(shù)引用比較普遍的功能,根據(jù)其計算機的網(wǎng)絡(luò)運行方法可以通過防火墻技術(shù)設(shè)置相應(yīng)的代理服務(wù)器,從而借助代理服務(wù)器來進行信息的交互。在信息數(shù)據(jù)從內(nèi)網(wǎng)向外網(wǎng)發(fā)送時,其信息數(shù)據(jù)就會攜帶著正確IP,非法攻擊者能夠分局信息數(shù)據(jù)IP作為追蹤的對象,來讓病毒進入到內(nèi)網(wǎng)中,如果使用代理服務(wù)器,則就能夠?qū)崿F(xiàn)信息數(shù)據(jù)IP的虛擬化,非法攻擊者在進行虛擬IP的跟蹤中,就不能夠獲取真實的解析信息,從而代理服務(wù)器實現(xiàn)對計算機網(wǎng)絡(luò)的安全防護。另外,代理服務(wù)器還能夠進行信息數(shù)據(jù)的中轉(zhuǎn),對計算機內(nèi)網(wǎng)以及外網(wǎng)信息的交互進行控制,對計算機的網(wǎng)絡(luò)安全起到保護。
由于采用了硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù), ASIC架構(gòu)防火墻解決了帶寬容量和性能不足的問題,穩(wěn)定性也得到了很好的保證。ASIC技術(shù)的性能優(yōu)勢主要體現(xiàn)網(wǎng)絡(luò)層轉(zhuǎn)發(fā)上,而對于需要強大計算能力的應(yīng)用層數(shù)據(jù)的處理則不占優(yōu)勢,而且面對頻繁變異的應(yīng)用安全問題,其靈活性和擴展性也難以滿足要求。由于該技術(shù)有較高的技術(shù)和資金門檻,主要是國內(nèi)外有名廠商在采用,國外主要代替廠商是Netscreen,國內(nèi)主要代替廠商為天融信。網(wǎng)絡(luò)處理器架構(gòu):由于網(wǎng)絡(luò)處理器所使用的微碼編寫有一定技術(shù)難度,難以實現(xiàn)產(chǎn)品的較優(yōu)性能,因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場份額。防火墻可以使用網(wǎng)絡(luò)安全設(shè)備的SDK進行自定義開發(fā)。
如果內(nèi)、外部主機能夠直接相互通信,那么用戶就沒有必要使用代理服務(wù),在這種情況下,代理服務(wù)也不可能起作用。而這種由旁路的拓撲與網(wǎng)絡(luò)的信息安全是相矛盾的。常見的防火墻是按照基本概念工作的邏輯設(shè)備,用于在公共網(wǎng)上保護私人網(wǎng)絡(luò)。配置一堵防火墻是很簡單的,步驟如下:1. 選擇一臺具有路由能力的PC2. 加上兩塊接口卡,例如以太網(wǎng)卡或串行卡等3. 禁止IP轉(zhuǎn)發(fā)4. 打開一個網(wǎng)卡通向Internet5. 打開另一個網(wǎng)卡通向內(nèi)部網(wǎng)。現(xiàn)在,兩個不同的網(wǎng)絡(luò)被這個防火墻分割開來。由于內(nèi)部網(wǎng)不能再訪問Internet,所以訪問網(wǎng)際空間就必須經(jīng)過防火墻。欲進入內(nèi)部網(wǎng)絡(luò),必須先通過防火墻。防火墻可以根據(jù)不同的安全級別設(shè)置不同的訪問權(quán)限。安全防火墻系統(tǒng)供應(yīng)商
防火墻需要根據(jù)網(wǎng)絡(luò)流量和安全事件的變化進行定期更新和管理。普陀區(qū)防火墻系統(tǒng)公司
防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程式的快速蔓延。不過就實作而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火墻都不會考慮以這種方法設(shè)計。代理服務(wù)設(shè)備(可能是一臺專屬的硬件,或只是普通機器上的一套軟件)也能像應(yīng)用程式一樣回應(yīng)輸入封包(例如連線要求),同時封閉其他的封包,達到類似于防火墻的效果。代理由外在網(wǎng)絡(luò)使竄改一個內(nèi)部系統(tǒng)更加困難, 并且一個內(nèi)部系統(tǒng)誤用不一定會導(dǎo)致一個安全漏洞可開采從防火墻外面(只要應(yīng)用代理剩下的原封和適當?shù)乇慌渲? 。 相反地, 入侵者也許劫持一個公開可及的系統(tǒng)和使用它作為代理人為他們自己的目的; 代理人然后偽裝作為那個系統(tǒng)對其它內(nèi)部機器。 當對內(nèi)部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網(wǎng)絡(luò)。普陀區(qū)防火墻系統(tǒng)公司