防火墻的分類及原理

防火墻的分類及原理

　　防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。下面是學(xué)習(xí)啦小編收集整理的防火墻的分類及原理，希望對(duì)大家有幫助~~

　　防火墻的分類及原理

　　按防火墻結(jié)構(gòu)分類可以劃分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，它獨(dú)立于其他網(wǎng)絡(luò)設(shè)備，位于網(wǎng)絡(luò)邊界。

　　這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多，同樣包括CPU、內(nèi)存、硬盤等基本組件，當(dāng)然主板更是不能少了，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)敁主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上，的以太網(wǎng)卡，因?yàn)樗枰B接一個(gè)以上的內(nèi)部及外部網(wǎng)絡(luò)。

　　其中的硬盤主要是W來存儲(chǔ)防火墻所用的基本程序，如包過濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC一樣，因?yàn)樗墓ぷ餍再|(zhì)決定了它要具備非常高的穩(wěn)定性、實(shí)用性及系統(tǒng)喬吐性能。正因?yàn)槿绱耍此婆cPC差不多的配置，其兩者的價(jià)格卻相差甚遠(yuǎn)。

　　隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。沿明顯的變化就是現(xiàn)在許多中高檔的路由器中巳集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟硬件組成的系統(tǒng)。原來單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)M絡(luò)投資，現(xiàn)在許多中高檔路由器中集成了防火墻功能，如Ciscoios防火墻系列。但這種防火墻通常是較低級(jí)的包過濾勸。

　　這樣企業(yè)就不用再同時(shí)購(gòu)買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購(gòu)買成本。分布式防火墻再也不是只位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理的軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。

　　這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何并他主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要經(jīng)過嚴(yán)格過濾，而不是像傳統(tǒng)邊界防火墻那樣，僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。

　　防火墻NAT原理及分類

　　影響P2P通訊一個(gè)很關(guān)鍵的因素是NAT,由于IPV4的地址有限,所以很多在私網(wǎng)后的計(jì)算器是通過防火墻的NAT轉(zhuǎn)換完的映射地址訪問網(wǎng)絡(luò)上的資源的.不同的防火墻NAT后的計(jì)算機(jī)節(jié)點(diǎn)很可能是一樣的私網(wǎng)IP地址,這樣兩個(gè)處在防火墻NAT后的計(jì)算機(jī)節(jié)點(diǎn)無法找到對(duì)方的地址并傳送數(shù)據(jù)的,這些私網(wǎng)后的計(jì)算機(jī)只能和有公網(wǎng)IP地址的計(jì)算機(jī)通訊,只有獲得了公網(wǎng)地址的計(jì)算機(jī)才有可能處于不同NAT后的計(jì)算機(jī)節(jié)點(diǎn)做轉(zhuǎn)發(fā)數(shù)據(jù)工作,這也是多數(shù)P2P軟件穿越防火墻的根本原理.

　　P2P數(shù)據(jù)都大多數(shù)是UDP包,通過這種NAT轉(zhuǎn)換后可以到達(dá)目的節(jié)點(diǎn)的過程叫NAT穿越.防火墻限制私網(wǎng)和公網(wǎng)通訊,典型的作用如丟棄未驗(yàn)證的數(shù)據(jù)包.但防火墻不對(duì)包的具體內(nèi)容改變,無論TCP/UDP他們的IP地址和端口信息都不會(huì)變.他通過邊界的數(shù)據(jù)包頭來允許私網(wǎng)的機(jī)器通過有限的公網(wǎng)IP訪問外網(wǎng),下面介紹幾種NAT類型,他們關(guān)系到P2P軟件的設(shè)計(jì)實(shí)現(xiàn),

　　Basic NAT

　　基本NAT轉(zhuǎn)換不會(huì)把私網(wǎng)點(diǎn)IP地址映射到公網(wǎng)IP地址,不改變TCP/UDP數(shù)據(jù)包的端口

　　NetWork Address/Port Translator( NAPT )

　　NAPT 檢查并改變IP地址和TCP/UDP數(shù)據(jù)包的端口地址

　　Cone NAT

　　在建立每次的新會(huì)話建立時(shí)(私網(wǎng)到公網(wǎng)),原來的已經(jīng)打開的端口會(huì)被使用,只要有通訊這個(gè)端口不會(huì)關(guān)閉.

　　Symmetric NAT(對(duì)稱NAT)

　　對(duì)稱NAT會(huì)在每次的新會(huì)話時(shí)(私網(wǎng)到公網(wǎng)),重新分配一個(gè)端口給會(huì)話.

　　Full Cone NAT(全向NAT)

　　一旦會(huì)話建立,全向NAT的通訊可以對(duì)任意的公網(wǎng)地址做通訊.

　　Restricted Cone NAT

　　端口受限的NAT不光對(duì)已經(jīng)通訊的外部IP地址做捆綁而且對(duì)相關(guān)的通訊端口做捆綁,所以即使是已經(jīng)建立通訊的IP地址,它的其他端口發(fā)來的數(shù)據(jù)包也會(huì)被拒絕,這在限制級(jí)別上和對(duì)稱NAT一樣.要想正常的完成最終的通訊,特別是在NAT后的計(jì)算機(jī),根據(jù)前面的介紹,我們需要找到合適的技術(shù)來對(duì)實(shí)現(xiàn)穿越防火墻的機(jī)制,完成處理不同的NAT后的計(jì)算機(jī)間P2P通訊,在端口控制嚴(yán)格的后兩種NAT后的計(jì)算機(jī)節(jié)點(diǎn)通訊,一定要處于公網(wǎng)的計(jì)算機(jī)做轉(zhuǎn)發(fā)工作.
防火墻的分類及原理相關(guān)文章：

1.防火墻分類及原理

2.防火墻種類和工作原理介紹

3.防火墻按照工作原理分類可以分為哪些

4.防火墻的原理及應(yīng)用

5.包過濾防火墻工作原理

6.防火墻技術(shù)的研究以及發(fā)展

7.硬件防火墻的原理是什么