一、防火墙的类型:防火墙是人们对网络安全的需要而产生的。主要有三种类型的防火墙:网络层防火墙、应用层防火墙和数据库防火墙。
网络层防火墙:网络层防火墙可以看作是一个 IP 包过滤器,运行在底层的 TCP/IP 协议栈中。我们可以列举只允许符合一定规则的数据包通过,其余的都禁止穿越防火墙(病毒除外,它不阻止病毒入侵)。这些规则通常可以由管理员定义或修改,但某些防火墙设备可能只应用内置规则。我们还可以以不同的、更宽松的方式制定防火墙规则,只要数据包不属于任何“否定规则”。大多数操作系统和网络设备都有内置的防火墙功能。较新的防火墙可以过滤数据包的各种属性,例如源 IP 地址、源端口号、目标 IP 地址或端口号以及服务类型(例如 HTTP 或 FTP)。也可以通过通信协议、TTL 值、原产地域名或网段等进行过滤。
应用层防火墙:应用层防火墙在 TCP/IP 堆栈的“应用层”上工作,您在使用浏览器或使用 FTP 时生成的数据流属于这一层。应用级防火墙可以阻止所有进出应用程序的数据包并阻止其他数据包(通常直接丢弃数据包)。理论上,这种类型的防火墙完全阻止了外部数据流向受保护机器。通过监控所有防火墙数据包,找出不符合规则的内容,可以防止计算机蠕虫或木马程序的快速传播。但是,在实现方面,这种方法很复杂(有成千上万的软件!),所以大多数防火墙不会考虑这种方法来设计。XML 防火墙是一种新型的应用层防火墙。根据侧重点不同,可分为:包过滤防火墙、应用层网关防火墙、服务器类防火墙。
数据库防火墙:数据库防火墙是一种基于数据库协议分析和控制技术的数据库安全系统。它基于主动防御机制,实现对数据库访问行为的控制、危险操作的阻断、可疑行为的审计。数据库防火墙通过SQL协议分析,根据预谋的禁止和许可策略,允许合法的SQL操作通过,阻断非法操作,构建数据库外围防御圈,实现对SQL危险操作的主动防范和真实- 时间审计。数据库防火墙面向外部入侵,提供禁止SQL注入和数据库虚拟补丁功能。
二、提示:选择防火墙时的 5 个注意事项
既然有多种类型的防火墙,哪一种最适合您的网络?这里有一些你不能做的提示。
不要太相信实验数据:防火墙有一些规范,例如吞吐量、抗病毒功能等。但是,我们不能太相信这些数据,因为它们只是一些实验数据。换句话说,它是基于相对合理的干扰因素数量。但是,说实话,今天任何一家公司的网络环境都达不到他们测试产品的水平。当业务主机数量较多时,如果碎片化不合理,就会造成网络广播较多,进而影响最终的有效吞吐量。
不要选择有额外功能的防火墙:防火墙市场的竞争越来越激烈。因此,防火墙厂商为了提供自己的产品在市场上的竞争力,往往在自己的防火墙产品中集成更多的功能,以增加市场的卖点。一方面,我们需要知道是否需要这些附加功能。有一些防火墙产品会集成VPN等功能。但是,企业是否需要这个功能?网络管理员需要考虑,因为VPN服务不仅可以在防火墙上实现,也可以在路由器上实现。另一方面,一些附加功能会消耗防火墙资源。这些额外的功能会使防火墙速度变慢。
不要忽视您公司的需求:许多网络管理员在选择网络设备时都有一个坏习惯。他们不首先考虑企业到底需要实现什么,而是首先考察网络设备。他们首先考察防火墙市场,看看各种防火墙产品之间的差异,可以实现什么等等。然而,他们忽视了公司的需求。
不要太相信评论:我们只把那些评论网站和论坛作为参考,因为这些地方可能会有一些广告。并非所有评论都是真实的。
不要太相信品牌:毫无疑问,思科是最好的网络产品品牌。无论是防火墙还是路由器,都是行业中的佼佼者。甚至有人将其视为网络设备市场的指南针,在其背后发展。但是,它的价格也是业内最高的。对于一些富有的企业来说,这可能不是问题。几十万的网络设备,他们眼睛都不眨一下,直接买了。但是,对于一些资金相对紧张的企业来说,价格是首先要考虑的。总之,我们需要选择价格最优惠、功能合适的防火墙。