科普文章:网闸和防火墙的区别是什么? - 图文
更新时间:2024-03-31 13:51:01 阅读量: 综合文库 文档下载
- 网闸与防火墙的区别推荐度:
- 相关推荐
想了解网闸的客户,一定会有这个疑问,到底网闸和防火墙的区别是什么?
我们先恶补一下防火墙的发展历史:
我记得我见过的第一台防火墙Cisco PIX 515E,记得当时R升级UR是要花钱的,美国发过来的货是不带3DES加密的。。。 是这个样子的:
防火墙的发展大致分为三个阶段:
第一阶段(1989-1994)
1、1989年产生了包过滤防火墙,可以实现简单的访问控制,属于第一代防火墙。
2、随后出现了代理防火墙,在应用层代理内部和外部的通讯,代理安全性很高,但是速度很慢,属于第二代防火墙。
3、1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过分析报文状态来决定报文的动作,不需要为每个应用层序都进行代理,处理速度快而且安全性高,状态检测防火墙被称为第三代防火墙。 注:说实话我也不太了解这个阶段,因为我当时还是个小屁孩。。。
第二阶段(1995-2004)
1、状态检测已经称为趋势,防火墙开始增加一些功能,例如VPN功能,同时一些专用设备出现了雏形,比如专门保护Web服务器的WAF,有人读挖夫,有人读外夫。。。
2、2004年出现UTM(统一威胁管理)概念,就是将传统的防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
第三阶段(2005年至今)
1、2004年之后UTM得到了快速发展,但是出现了新的问题,针对应用层信息检测受限,此时就需要通过更高级的检测手段,使DPI技术得到了广泛应用,其次是性能问题,多个功能同时使用,UTM性能会严重下降。
2、2008年Palo Alto Networks发布了下一代防火墙,解决了多个功能同时运行性能下降的问题,下一代防火墙还可以基于用户、应用、内容进行管理。
3、2009年Gartner对下一代防火墙进行了定义,明确下一代防火墙应具备的特性,随后各个厂商推出了自己的下一代防火墙。
这里主要以下一代防火墙为例:
首先我们看看下一代防火墙的硬件构成,主要有三种硬件平台: 1、mips平台,早起的嵌入式开发平台,现在仍然有使用。 2、arm平台,属于低端平台,一般在低端使用。 3、x86平台,目前的主流平台。
这些平台到底长啥样?
上图4台设备叫做工控机,只要设计一个面板贴在前面,就代表着这台工控机是哪个厂商的什么设备,当然这只是外观,至于是什么平台仅仅是里面用的什么主板和CPU。 CF卡:
把自研的防火墙系统装入这个CF里,插到上面的机箱里,就变成了一台下一代防火墙,或者其他的什么产品,比如流控或者负载均衡,区别在于运行的软件系统不同。
我们在说说防火墙的软件架构:
通常嵌入式开发有两种典型架构,1、VxWorks + 自研代码 2、Linux +自研代码,两种架构各有优势,前者的实时性非常好,后者的稳定性和扩展性非常好,现在第二种已经是主流架构,第一种基本处于淘汰边缘。
一般防火墙的软件分为:
管理平面:就是怎么管理设备,Web,CLI,SSH,telnet 等等。
控制平面:负责协议的交互,比如ARP,OSPF,等等
转发平面:负责转发数据,通过查找转发表,按照指定的业务流程处理。
软件的转发模式又包含轮询、中断、轮询+中断,不做过多说明。
接下来我们说一说下一代防火墙到底安全不安全,不安全的原因在哪里,以我自己了解初略的分析一下:
1、防火墙的访问控制是通过ACL控制,你今天设置小A允许通过,明天小A的电脑被黑了,依然可以通过,当然了你可以说下一代防火墙支持很多功能可以防护,我们继续往下看。
2、除掉ACL功能,下一代防火墙还会做IPS入侵检测,入侵检测到底能不能保证我们的安全,我们在说说入侵检测是怎么工作的,看下图
我们以外网进入内网的流量为例进行说明,首先IPS模块是怎么来检测你是攻击还是正常的数据包,通过IPS规则进行检测数据包,规则是从哪里的来的?1、每个厂商根据自己的经验整理的 2、从国外开源的IDS软件弄下来的。(这里得感谢开源代码,否则国内不会有这么多做入侵检测的公司。)
我们假设两种情况:
1、黑客尝试入侵你的网络,被IPS规则检测到丢弃了。---网络安全 2、黑客尝试入侵你的网络,但是没有被IPS规则检测到。---网络沦陷
你可以说你的特征库是最新的,但是你确定能阻止掉未知的威胁么,答案是即使是下一代防火墙也存在风险,比如今天出现了一个0day漏洞,某个工程师深夜加班开发了一条IPS规则,先不说这个规则有多少误报,然后在更新到你的防火墙IPS模块上,有可能防住这种攻击,但是这种可能性大么?并且暗网0day漏洞直接交易的,并不是都会公开的,讲到这里相信你懂了。
从防火墙的硬件说:
防火墙的硬件一般都有Bypass功能,什么是Bypass,就是当软件系统崩溃时(不要觉得不可能,一切皆有可能),内外网可以直接连通,防火墙是先保证连通然后保证安全。
我们再来谈谈网闸:
首先是从产品定位来说,网闸产品是先考虑安全,其次考虑的连通性,上一篇文章讲过网闸的隔离和交换原理,这里就不在重复了。
我们先看看网闸的历史:
正在阅读:
积极落实课标 培养创新能力论文06-28
4.1.12塔式起重机月度安全检查表10-02
拓展训练项目的设计激励原则08-19
《投资银行理论与实务》一 证券交易08-07
预埋吊点施工方案 - 图文03-21
行政执法中证据的收集与运用12-09
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 别是
- 科普
- 防火墙
- 图文
- 什么
- 文章
- 第二章 了解地区6
- 西安交通大学18年9月课程考试《机械控制工程基础》作业考核试题
- 保洁服务质量控制细则
- 人教版,三年级,上册,语文,第四单元教案,反思
- 二年级语文上册语文园地二导学案
- 评审因素索引表
- 航空概论习题集
- CSD-361装置调试指导说明
- 2011山东高考英语一轮复习巩固提升测试(新人教版)必修5 Unit 4
- 辽宁省九年义务教育学校普通中小学建设标准
- 中国瓶起子行业市场前景分析预测报告(目录) - 图文
- 新增粮食生产能力实施规划(2009-2020)
- 小学数学《三角形面积计算》教学设计与反思1
- 安徽语文-名著阅读 中考必备!
- 题库预览3
- 2017年广东学位英语考试真题及答案
- 通达学院程序设计上机
- 盘点31省市区党委书记履历 - 省级党委完成换届 超六成书记从基层
- 行政村规模调整后管理与发展问题的思考
- 航空航天器铸造铝合金 - 2 - 张春波