根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算是防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
由于防火墙一般架设在提供某些服务的服务器前,如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,一般记录攻击的事情都交给IDS完成的。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。成都赛耐斯借助业界首款专注于威胁防御的下一代防火墙 (NGFW),通过这个防火墙装置您可以阻止更多威胁,并在威胁已经攻破防线后快速予以缓解。我们的 Firepower 下一代防火墙设备将我们经过验证的网络防火墙与业内最高效的下一代入侵防御系统 (IPS) 及高级恶意软件防护 (AMP) 完美融合在一起。因此,我们可以为您提供更高的可视性、更大的灵活性和更强的保护,同时为您节省更多成本。
下面来了解一下防火墙的分类,就防火墙的组成结构而言,可分为以下二种:
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
这里说的硬件防火墙是指所谓的硬件防火墙,之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。