硬件防火墙
是由厂商设计好的主机硬件, 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主,并将其他不必要的功能拿掉。因为单纯作为防火墙功能而已, 因此封包过滤的效率较佳
软件防火墙
保护系统网络安全的一套软件(或称为机制),例如 Netfilter 与 TCP Wrappers 都可以称为软件防火墙。
linux上防火墙依据防火墙管理的范围划分
单一主机型的管控
封包过滤型的 Netfilter
依据服务软件程序作为分析的 TCP Wrappers
网域型管控
由于此类防火墙都是当作路由器角色
因此防火墙类型主要则有封包过滤的 Netfilter 与利用代理服务器 (proxy server) 进行存取代理的方式了。
- Netfilter (封包过滤机制)
将进入主机的网络封包的表头数据捉出来进行分析,以决定该联机为放行或抵挡的机制。所以包括硬件地址(MAC), 软件地址 (IP), TCP, UDP, ICMP 等封包的信息都可以进行过滤分析的功能,因此用途非常的广泛。(其实主要分析的是 OSI 七层协议的 2, 3, 4 层啦)
在 Linux 上面我们使用核心内建的 Netfilter 这个机制,而 Netfilter 提供了 iptables 这个软件来作为防火墙封包过滤的指令。
- TCP Wrappers (程序控管)
透过服务器程序的外挂 (tcpd) 来处置的!主要是分析谁对某程序进行存取,然后透过规则去分析该服务器程序谁能够联机、谁不能联机。 由于主要是透过分析服务器程序来控管,因此与启动的埠口无关,只与程序的名称有关。 举例来说,我们知道 FTP 可以启动在非正规的 port 21 进行监听,当你透过 Linux 内建的 TCP wrappers 限制 FTP 时, 那么你只要知道 FTP 的软件名称 (vsftpd) ,然后对他作限制,则不管 FTP 启动在哪个埠口,都会被该规则管理的。
- Proxy (代理服务器)
通常 Proxy 就架设在路由器上 可以完整的掌控局域网络内的对外联机
client 并没有直接连上 Internet
proxy 通常仅开放 port 80, 21, 20 等 WWW 与 FTP 的端口而已
可以使用squid软件设定
防火墙一般网络布线示意图
单一网域 仅一个路由器
内部网络包含安全性更高的子网
防火墙后面假设网络服务器主机
时间: 2024-10-10 22:03:03