防火墻技術(shù)有哪些���?一文帶你看懂防火墻
—— 閱讀:2778次
網(wǎng)絡(luò)級防火墻
網(wǎng)絡(luò)級防火墻一般是基于源地址和目的地址��、應(yīng)用����、協(xié)議以及每個IP包的端口來作出通過與否的判斷��。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻�����,大多數(shù)的路由器都能通過檢查這些信息�,決定是否將所收到的包轉(zhuǎn)發(fā),但它不能判斷出一個IP包來自何方和去向何處�。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符�����。如果沒有一條規(guī)則能符合,防火墻就會使用默認(rèn)規(guī)則��,一般情況下��,默認(rèn)規(guī)則就是要求防火墻丟棄該包����。其次,通過定義基于TCP或UDP數(shù)據(jù)包的端口號����,防火墻能夠判斷是否允許建立特定的連接,如Telnet����、FTP連接。
應(yīng)用級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包�,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系�。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制���,并做精細(xì)的注冊和稽核�。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議���,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告�����。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制����,以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中��,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成�。
但每一種協(xié)議需要相應(yīng)的代理軟件,使用時工作量大��,效率不如網(wǎng)絡(luò)級防火墻���。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制����,是目前最安全的防火墻技術(shù)��,但實現(xiàn)困難�����,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”��。在實際使用中�,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時,經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet����。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個重要的安全功能:代理服務(wù)器(Proxy Server)��。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼�����。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能����。
包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,一旦判斷條件滿足��,防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便“暴露”在外來用戶面前���,這就引入了代理服務(wù)的概念��,即防火墻內(nèi)外計算機系統(tǒng)應(yīng)用層的“鏈接”由兩個終止于代理服務(wù)的“鏈接”來實現(xiàn)�,這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時�,代理服務(wù)還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾��、記錄和報告等功能�。代理服務(wù)技術(shù)主要通過專用計算機硬件(如工作站)來承擔(dān)。
規(guī)則檢查防火墻
該防火墻結(jié)合了包過濾防火墻�����、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點�。它同包過濾防火墻一樣,規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號���,過濾進(jìn)出的數(shù)據(jù)包���。它也象電路級網(wǎng)關(guān)一樣,能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序�����。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣����,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容����,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則�。
