《防火墙的工作原理 防火墙的分类及原理.pdf》由会员分享,可在线阅读,更多相关《防火墙的工作原理 防火墙的分类及原理.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙的工作原理防火墙的工作原理 防火墙的分类及原理防火墙的分类及原理防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。下面是 WTT 收集整理的防火墙的分类及原理,希望对大家有帮助防火墙的分类及原理按防火墙结构分类可以划分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙,它独立于其他网络设备,位于网络边界。这种防火墙其实与一台计算机结构差不多,同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机敁主要的区别就是一般防火墙都集成了两个以上,的以太网卡,因为它需要连接一个以上的内部及外部网络。其中的硬
2、盘主要是 W 来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC 一样,因为它的工作性质决定了它要具备非常高的稳定性、实用性及系统乔吐性能。正因为如此,看似与 PC 差不多的配置,其两者的价格却相差甚远。第 1 页 共 4 页随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。沿明显的变化就是现在许多中高档的路由器中巳集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软硬件组成的系统。原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为
3、了降低企业 M 络投资,现在许多中高档路由器中集成了防火墙功能,如 Ciscoios 防火墙系列。但这种防火墙通常是较低级的包过滤勸。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。分布式防火墙再也不是只位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理的软件,在服务器及各主机上安装有集成网卡功能的 PCI 防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何并他主机发送的通信连接都视为“不可信”的,都需要经过严格过滤,而不是像传统边界防火墙那样
4、,仅对外部网络发出的通信请求“不信任”。防火墙 NAT 原理及分类影响 P2P 通讯一个很关键的因素是 NAT,由于 IPV4 的地址有限,所以很多在私网后的计算器是通过防火墙的 NAT 转换完第 2 页 共 4 页的映射地址访问网络上的资的.不同的防火墙 NAT 后的计算机节点很可能是一样的私网 IP 地址,这样两个处在防火墙 NAT 后的计算机节点无法找到对方的地址并传送数据的,这些私网后的计算机只能和有公网 IP 地址的计算机通讯,只有获得了公网地址的计算机才有可能处于不同 NAT 后的计算机节点做转发数据工作,这也是多数 P2P 软件穿越防火墙的根本原理.P2P 数据都大多数是 UDP
5、 包,通过这种 NAT 转换后可以到达目的节点的过程叫 NAT 穿越.防火墙限制私网和公网通讯,典型的作用如丢弃未验证的数据包.但防火墙不对包的具体内容改变,无论 TCP/UDP 他们的 IP 地址和端口信息都不会变.他通过边界的数据包头来允许私网的机器通过有限的公网 IP,下面介绍几种 NAT 类型,他们关系到 P2P 软件的设计实现,Basic NAT基本 NAT 转换不会把私网点 IP 地址映射到公网 IP 地址,不改变 TCP/UDP 数据包的端口NetWork Address/Port Translator( NAPT )NAPT 检查并改变 IP 地址和 TCP/UDP 数据包的端
6、口地址Cone NAT在建立每次的新会话建立时(私网到公网),原来的已经打开的端口会被使用,只要有通讯这个端口不会关闭.Symmetric NAT(对称 NAT)第 3 页 共 4 页对称 NAT 会在每次的新会话时(私网到公网),重新分配一个端口给会话.Full Cone NAT(全向 NAT)一旦会话建立,全向 NAT 的通讯可以对任意的公网地址做通讯.Restricted Cone NAT端口受限的 NAT 不光对已经通讯的外部 IP 地址做捆绑而且对相关的通讯端口做捆绑,所以即使是已经建立通讯的 IP 地址,它的其他端口发来的数据包也会被拒绝,这在限制级别上和对称 NAT 一样.要想正常的完成最终的通讯,特别是在 NAT 后的计算机,根据前面的介绍,我们需要找到合适的技术来对实现穿越防火墙的机制,完成处理不同的 NAT 后的计算机间 P2P 通讯,在端口控制严格的后两种 NAT 后的计算机节点通讯,一定要处于公网的计算机做转发工作.防火墙的分类及原理第 4 页 共 4 页