88av人妻中文字幕,蜜臀在线一区二区三区,亚洲男人资源在线播放

防火墻的基本種類

- 編輯：admin - 2018-08-04 19:53:11

防火墻技術(shù)的應(yīng)用可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，總的來說可以分為四種:包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻狀態(tài)檢測(cè)防火墻和復(fù)合型防火墻。

防火墻技術(shù)的應(yīng)用可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，總的來說可以分為四種:包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻狀態(tài)檢測(cè)防火墻和復(fù)合型防火墻。

(1)包過濾防火墻( Packet Filtering)

包過濾防火墻作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才能被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。包過濾(或稱分組過濾)是一種通用、有效的安全手段。包過濾根據(jù)來源于IP、TCP或UDP包頭的信息，按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。它不針對(duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，在某種程度上可有效滿足最基本的安全要求。通常作為第一道防線，和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。然而包過濾防火墻不檢查數(shù)據(jù)區(qū)，不建立連接狀態(tài)表，的CISC0PIX防火墻。

包過濾防火墻的基本特點(diǎn):

◆因?yàn)榘^濾防火墻工作在P和TCP層，所以處理包的速度要比代理服務(wù)型防火墻快

◆提供透明的服務(wù)，用戶不用改變客戶端程序

◆因?yàn)橹簧婕癟CP層，所以與代理服務(wù)型防火墻相比，它提供的安全級(jí)別很低

◆不支持用戶認(rèn)證，包中只有來自哪臺(tái)機(jī)器的信息卻不包含米自哪個(gè)用戶的信息

◆不提供日志功能

(2)應(yīng)用網(wǎng)關(guān)(代理服務(wù))防火墻

應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用?？商峁┤鐟?yīng)用代理( Appl ication Proxy)、一般代理(如套接字 Sockets代理)、1P通道( IP Tunnels)、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、郵件轉(zhuǎn)發(fā)(Mail forwarding)等服務(wù)，同時(shí)，還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾記錄和報(bào)告等功能。但是應(yīng)用網(wǎng)關(guān)防火墻不檢查IP、TCP報(bào)頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比較弱。

代理服務(wù)( Proxy Service)系統(tǒng)一般安裝并運(yùn)行在雙宿主機(jī)上。雙宿主機(jī)是一個(gè)被取消路由功能的主機(jī)，與雙宿主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)?。這與包過濾防火墻明顯不同，就邏輯拓?fù)涠?，代理服?wù)型防火墻要比包過濾型更安全

由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的，所以要實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層，代理系統(tǒng)是客戶機(jī)和真實(shí)服務(wù)器之間的中介，代理系統(tǒng)完全控制客戶機(jī)和真實(shí)服務(wù)器之間的流量，并對(duì)流量情況加以記錄。目前，代理服務(wù)型防火墻產(chǎn)品一般都包括有包過濾功能。

(3)狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，性能比較好同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防

火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理。不過狀態(tài)檢測(cè)防火墻不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報(bào)文相關(guān)，應(yīng)用層控制很弱。

(4)復(fù)合型防火墻

由于對(duì)APP開發(fā)更高安全性的要求，常把基于包過濾的方法與基于代理服務(wù)的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。復(fù)合型防火墻把防病毒內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能。它在網(wǎng)絡(luò)邊界實(shí)施0SI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。

你會(huì)喜歡下面的文章? You'll like the following article.