防火墙技术的应用可根据防范的方式和侧重点的不同而分为很多种类型,总的来说可以分为四种:包过滤防火墙、应用网关防火墙状态检测防火墙和复合型防火墙。
防火墙技术的应用可根据防范的方式和侧重点的不同而分为很多种类型,总的来说可以分为四种:包过滤防火墙、应用网关防火墙状态检测防火墙和复合型防火墙。(1)包过滤防火墙( Packet Filtering)
包过滤防火墙作用在网络层和传输层,它根据分组包头源地址目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才能被转发到相应的目的地出口端,其余数据包则从数据流中丢弃。包过滤(或称分组过滤)是一种通用、有效的安全手段。包过滤根据来源于IP、TCP或UDP包头的信息,按照系统管理员所给定的过滤规则过滤信息包。它不针对各个具体的网络服务采取特殊的处理方式,在某种程度上可有效满足最基本的安全要求。通常作为第一道防线,和应用网关配合使用,共同组成防火墙系统。然而包过滤防火墙不检查数据区,不建立连接状态表,的CISC0PIX防火墙。
包过滤防火墙的基本特点:
◆因为包过滤防火墙工作在P和TCP层,所以处理包的速度要比代理服务型防火墙快
◆提供透明的服务,用户不用改变客户端程序
◆因为只涉及TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低
◆不支持用户认证,包中只有来自哪台机器的信息却不包含米自哪个用户的信息
◆不提供日志功能
(2)应用网关(代理服务)防火墙
应用网关防火墙检查所有应用层的信息包,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。可提供如应用代理( Appl ication Proxy)、一般代理(如套接字 Sockets代理)、1P通道( IP Tunnels)、网络地址转换(NAT)、邮件转发(Mail forwarding)等服务,同时,还可应用于实施较强的数据流监控、过滤记录和报告等功能。但是应用网关防火墙不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
代理服务( Proxy Service)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全
由于内部网络和外部网络在网络层是断开的,所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层,代理系统是客户机和真实服务器之间的中介,代理系统完全控制客户机和真实服务器之间的流量,并对流量情况加以记录。目前,代理服务型防火墙产品一般都包括有包过滤功能。
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防
火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。不过状态检测防火墙不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
(4)复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与基于代理服务的方法结合起来,形成复合型防火墙产品。复合型防火墙把防病毒内容过滤整合到防火墙里,其中还包括VPN、IDS功能。它在网络边界实施0SI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施。
可能您还想看