分類方式很多種,比方說以軟硬體的方來分
- 軟體防火牆:例如iptables或者zone alarm之類的軟體,屬於軟體防火牆
- 硬體防火牆:同時是網路設備又具備有防火牆功能,比方說router加上防火牆功能
- 封包防火牆:主要針對封包格式作過濾
- 應用程式防火牆:針對應用層作過濾,比方說email
- 單機:只作用在單一機器上
- 閘道防火牆:處於網路設備上,通常有routing的功能
- 通透式防火牆:一樣是在網路設備上,但是只有過濾功能,通常作成類似bridge形式,無IP,難攻擊
如果閘道防火牆只有兩個網路介面,只能把server與一般企業網路內電腦放在同一邊,如下圖
這架構的問題是,企業內部網路與server暴露在同樣的風險下,如果可以有三個介面以上,將對內/外提供服務的server分開,則可進一步的提供保護,server所處得區域稱為DMZ(Demilitarized Zone)架構改變如下
最後是如果將一般防火牆改變為bridge模式,僅僅提供防火牆功能,因為沒有IP,也不會被routing功能影響,所以難以攻擊,如下圖
沒有留言:
張貼留言