1、包过滤型防火墙
2、双宿/多宿主机防火墙
3、被屏蔽主机防火墙
4、被屏蔽子网防火墙
5、其他防火墙体系结构
优缺点:
1、包过滤型防火墙
优点:
(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。
缺点:
(1)包过滤防火墙的维护较困难;(2)只能阻止一种类型的IP欺骗;(3)任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险,一些包过滤路由器不支持有效的用户认证,仅通过IP地址来判断是不安全的;(4)不能提供有用的日者或者根本不能提供日志;(5)随着过滤器数目的增加,路由器的吞吐量会下降;(6)IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点:
(1)可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;(2)可用于实施较强的数据流监控、过滤、记录和报告等。
缺点:
(1)使访问速度变慢;(2)提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点:
(1)其提供的安全等级比包过滤防火墙系统要高,实现了网络层安全(包过滤)和应用层安全(代理服务);(2)入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统;(3)安全性更高。
缺点:路由器不被正常路由。
4、被屏蔽子网防火墙
优点:
安全性高,若入侵者试图破坏防火墙,他必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数高。
缺点:
(1)不能防御内部攻击者,来自内部的攻击者是从网络内部发起攻击的,他们的所有攻击行为都不通过防火墙;(2)不能防御绕过防火墙的攻击;(3)不能防御完全新的威胁:防火墙被用来防备已知的威胁;(4)不能防御数据驱动的攻击:防火墙不能防御基于数据驱动的攻击。
为了满足用户的更高要求,防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能,也需要支持更多业务能力的方向发展。
防火墙在经过几年繁荣的发展后,已经形成了多种类型的体系架构,并且这几种体系架构的设备并存互补,并不断进行演变升级。
防火墙体系架构“老中青”
防火墙的发展从第一代的PC机软件,到工控机、PC-Box,再到MIPS架构。第二代的NP、ASIC架构。发展到第三代的专用安全处理芯片背板交换架构,以及“All In One”集成安全体系架构。
为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的发展。
目前,防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一CPU作为整个系统业务和管理的核心,CPU有x86、PowerPC、MIPS等多类型,产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等;
第二代架构:以NP或ASIC作为业务处理的主要核心,对一般安全业务进行加速,嵌入式CPU为管理核心,产品主要表现形式为Box等;
第三代架构:ISS(Integrated Security System)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能CPU发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
基于FDT指标的体系变革
衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
FDT与端口容量的区别:端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口,端口容量为2GB,但FDT可能只是200MB。
FDT与HDT的区别:HDT指半双工吞吐量(Half Duplex Throughput)。一个千兆口可以同时以1GB的速度收和发。按FDT来说,就是1GB;按HDT来说,就是2GB。有些防火墙的厂商所说的吞吐量,往往是HDT。
一般来说,即使有多个网络接口,防火墙的核心处理往往也只有一个处理器完成,要么是CPU,要么是安全处理芯片或NP、ASIC等。
对于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。
对于不同的体系架构,其FDT适应的范围是不一样的,如对于第一代单CPU体系架构其理论FDT为百兆级别,对于中高端的防火墙应用,必须采用第二代或第三代ISS集成安全体系架构。
基于ISS机构的第三代安全体系架构,充分继承了大容量GSR路由器、交换机的架构特点,可以在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。
防火墙体系架构经历了从低性能的x86、PPC软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。
ISS集成安全体系
作为防火墙第三代体系架构,ISS根据企业未来对于高性能多业务安全的需求,集成安全体系架构,吸收了不同硬件架构的优势。
ISS架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。
ISS体系架构的主要特点:
1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;
2.采用高性能通用CPU作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;
3.采用大容量交换背板承载大量的业务总线和管理通道,其中千兆Serdes业务总线和PCI管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;
4.采用电信级机架式设计,无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;
5.不仅达到了安全业务的高性能而且实现了“All in One”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;
6.通过背板及线路接口单元LIU扩展可提供高密度的业务接口。
硬件就是成本高,但是安全性好
软件就是便宜,安全性当然没有硬件的好
最好的是混合式,但是也最贵本回答被提问者采纳
够简单吧
根据网络体系结构对防火墙进行分类,防火墙有哪几种类型,他们各自的特 ...
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般...
防火墙有哪几种
问题九:防火墙主要有哪几类体系结构,分别说明其优缺点 硬件,软件,混合式 硬件就是成本高,但是安全性好弗软件就是便宜,安全性当然没有硬件的好 最好的是混合式,但是也最贵 问题十:防火墙包括哪些类型? 目前防火墙产品非常之多,划分的标准也比较杂。 主要分类如下: 1. 从软、硬件形式上分为 软件防火墙和...
防火墙主要有哪几类体系结构,分别说明其优缺点
1、包过滤型防火墙 2、双宿\/多宿主机防火墙 3、被屏蔽主机防火墙 4、被屏蔽子网防火墙 5、其他防火墙体系结构 优缺点:1、包过滤型防火墙 优点:(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。缺点:(1)包过滤...
防火墙的体系结构有多种多样,目前,最主要的
1、包过滤型防火墙 2、双宿\/多宿主机防火墙 3、被屏蔽主机防火墙 4、被屏蔽子网防火墙 5、其他防火墙体系结构 优缺点:1、包过滤型防火墙 优点:(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎不再需要费用;(3)包过滤路由器对用户和应用来说是透明的。缺点:(1)包过滤...
闪捷信息的数据库防火墙产品是什么架构的?
防火墙主要的体系结构:1、包过滤型防火墙2、双宿\/多宿主机防火墙3、被屏蔽主机防火墙4、被屏蔽子网防火墙5、其他防火墙体系结构优缺点:1、包过滤型防火墙优点:(1)处理数据包的速度较快(与代理服务器相比);(2)实现包过滤几乎
防火墙基本架构
网络处理器架构,由于使用微码编写有较高技术难度,难以实现产品的最优性能,因此市场份额有限。基于国产CPU的防火墙,随着国内通用处理器技术的不断发展,逐渐崭露头角。这类防火墙主要基于国产龙芯2F+FPGA的协议处理器,适用于政府、军队等对国家安全敏感的行业。代表厂商包括中科院计算所、博华科技等公司。...
防火墙按自身的体系结构分为
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才...
屏蔽主机防火墙由包过滤路由器和()组成
常见防火墙模型有哪些?比较它们的优缺点.常见防火墙系统模型1、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。2、代理防火墙的最大缺点就是速度...
根据网络体系结构对防火墙进行分类,防火墙有哪几种类型,他们各自的特 ...
根据网络体系结构来进行的分类,可以有以下几种类型的防火墙:1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自...
一般的防火墙分为哪几类?主要有哪些功能?
屏蔽主机防火墙体系的结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,...
