软件防火墙
软件防火墙,软件防火墙
什么是软件防火墙?
顾名思义,软件防火墙就是像office 等,是一个安装在PC上(当然,这里是指可以在PC上安装,但具体使用的时候最好用服务器),的一个软件,而且一般的防火墙都带了gateway功能。
一般需要使用防火墙的网络拓扑图:
<IMG src="http://img.jcwcn.com/attachment/portal/chinazcj/2005-11/22/05112204270973486.gif" border=0
交换机企业内网。
一般的企业网络结构图就是,路由器-防火墙
交换机DMZ区。
OK,这样一个大致的企业网络拓扑图就出来了。乍一看防火墙在这里就起到了路由的作用。其实也是,防火墙,在没有定致规则以前,也就是一个路由。
防火墙的作用:
有些人可能会问到以前一些问题
软件防火墙能防黑客吗?能,前提是,你必须及时的升级,及定制正确的策略。
软件防火墙能防DOS攻击吗?能,绝对可以,现在DOS攻击已经不再可怕。
软件防火墙能防DDOS攻击吗?也许可能。看攻击量是否很大,结合你的代宽。
软件防火墙能防反射性DDOS攻击吗?不能。所谓的反射性DDOS攻击,所攻击的对象不是防火墙,而是你的带宽,你将面临的是几千、几万甚至更多的服务器,来对你一条10M、100M或者1000M的带宽来进行攻击,在理论上,任何防火墙都无法做到完全防止这种攻击,至于在使用IP v4的时候,软件防火墙还做不到。除非你不用TCP/IP协议。
那么说到底,防火墙到底能做些什么呢?在这里就说一下比较常用的(结合上图)。
内网对外网:
一般而言,一个企业都会对用户访问外网做限制。如:是否允许使用HTTP、FTP、TELNET,都可以在防火墙中策略、规则。
外网对内网:
跟上面相反,内网的资源是否允许外网进来防问。一般而言是禁止的,即使要限问的话,一般也用到VPN(详见下篇文章)。只要这样才能最大可能的保证内网的安全。
内网与DMZ:
内网与DMZ都是属于防火保护区。一般而言都是允许内网对DMZ区进行访问,但不允许DMZ区对内网访问。
DMZ与外网:
DMZ区的服务器一般都是以NAT到Internet。可以理解成路由器的端口映射。
DMZ区的保护:
对从Internet来访问DMZ数据做的一些限制,如:web服务器只许访问web资源、mail服务器只允许防问mail资源等。
一般而言,这是防火墙建立起来后常常要做的一些规则、策略。并不是说防火墙只能做到这些。当然,还有VPN等防火墙与防火墙的会话等都是可以做限制的。
说到这就顺便说说软件防火墙与硬件防火墙的区别吧。
其实说到底,软件防火墙与硬件防火墙是没有区别的,几乎硬件防火墙有的功能他都有了。不同点在于,软件防火墙是基于操作系统的如:2000/linux/Sun等。而硬件防火墙呢,是基于硬件的(当然它也带有系统,但并不是像2000/Linux/Sun这类的)。一个简单的例子。相信大家都知道刻录机吧,它就分为内置和外置的。系统配置可以直接影响到刻盘的的效果,比如内置刻录机在刻盘的时候,你在玩游戏(星际、雷神等)的时候,可能刻出的光盘会有很多你意想不到的问题。而外置的刻录机,一般都是带有缓存的,就是说,你可以把他看作是一个独立的系统,他的工作是在操作系统之外的,但是必须有操作系统支配。而软件防火墙也一样,服务器的性能也可以直接影响到他的性能,比如在装有防火墙的机器上上网、玩游戏等都是可能给防火墙带来负面的影响。