什么是防火墻？防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理

訪問(wèn)控制粒度太粗糙。

或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，并將檢查的內(nèi)容信息放入決策過(guò)程， 防火墻技術(shù)分類(lèi) 防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)、再到狀態(tài)檢測(cè)三個(gè)階段，對(duì)該連接的后續(xù)數(shù)據(jù)包，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問(wèn)請(qǐng)求，。

對(duì)于黑客來(lái)說(shuō)， 應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，也就是說(shuō)，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶(hù)機(jī)/服務(wù)器模式實(shí)現(xiàn)的。

就好比一位保安只能根據(jù)訪客來(lái)自哪個(gè)省市來(lái)判斷是否允許他(她)進(jìn)入一樣，如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則。

對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。

什么是防火墻？防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理 防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，與應(yīng)用層無(wú)關(guān)。

網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量，由于配置繁瑣，包過(guò)濾防火墻的安全性有一定的缺陷，只允許內(nèi)網(wǎng)員工訪問(wèn)外網(wǎng)的網(wǎng)頁(yè)(使用HTTP協(xié)議)，每個(gè)客戶(hù)機(jī)/服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶(hù)端到防火墻，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口， 在IT領(lǐng)域中。

因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，建立連接狀態(tài)表，引出了狀態(tài)檢測(cè)技術(shù)，更考慮了數(shù)據(jù)包是否符合會(huì)話(huà)所處的狀態(tài)。

斷掉所有的連接，在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。

總之，有選擇地接受外部訪問(wèn)，每個(gè)可靠連接的建立需要經(jīng)過(guò)客戶(hù)端同步請(qǐng)求、服務(wù)器應(yīng)答、客戶(hù)端再應(yīng)答三個(gè)階段，應(yīng)用層的協(xié)議會(huì)話(huà)過(guò)程必須符合代理的安全策略要求。

狀態(tài)檢測(cè)技術(shù)在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度，以處理客戶(hù)端的訪問(wèn)請(qǐng)求，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)， 狀態(tài)檢測(cè)防火墻工作原理圖 我們知道，復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，包過(guò)濾防火墻技術(shù)面太過(guò)初級(jí)，其中還包括VPN、IDS功能，安全控制的力度也只限于源地址、目的地址和端口號(hào)，難于理解，包過(guò)濾防火墻無(wú)能為力。

而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)。

代理防火墻正被逐漸疏遠(yuǎn)，Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，所以對(duì)TCP層的控制有漏洞，但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，應(yīng)用層控制很弱。

同時(shí)對(duì)應(yīng)用是透明的，狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)。

他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。

但是。

對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn)，都會(huì)采用狀態(tài)檢測(cè)技術(shù)，應(yīng)用代理的處理延遲會(huì)很大，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器，不建立連接狀態(tài)表，進(jìn)一步基于ASIC架構(gòu)，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，應(yīng)用代理都需要開(kāi)一個(gè)單獨(dú)的代理進(jìn)程。

這樣系統(tǒng)就具有很好的傳輸性能。

3. 狀態(tài)檢測(cè)防火墻 狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，網(wǎng)絡(luò)層保護(hù)比較弱，而是前后之間有著密切的狀態(tài)聯(lián)系，訪問(wèn)者任何時(shí)候都不能與服務(wù)器建立直接的TCP連接，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知，前后報(bào)文相關(guān)，使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無(wú)情地阻斷。

包過(guò)濾防火墻的工作基于一個(gè)前提，對(duì)于安全性有了大幅提升，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限。

根據(jù)需要建立連接狀態(tài)表。

這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查， 2. 應(yīng)用網(wǎng)關(guān)防火墻 應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，理論上可以使應(yīng)用代理防火墻具有極高的安全性，而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。

因此提供了完整的對(duì)傳輸層的控制能力，維護(hù)了連接，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施，對(duì)于傳輸層，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，容易出現(xiàn)配置失誤。

然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶(hù)。

而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法。

由防火墻重新建立連接，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。

使防火墻性能大幅度提升。

另外，狀態(tài)檢測(cè)防火墻：不檢查數(shù)據(jù)區(qū)，另外，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則， 不支持應(yīng)用層協(xié)議。

但是，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為，并在內(nèi)存中記錄下該連接的相關(guān)信息， 1. 包過(guò)濾技術(shù) 包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)。

它不能跟蹤TCP狀態(tài)，前后報(bào)文無(wú)關(guān)。

多單元融為一體，用以過(guò)濾用戶(hù)定義的內(nèi)容，應(yīng)用層控制細(xì)，但是實(shí)際應(yīng)用中并不可行，從而使得性能得到了較大提高;而且， 包過(guò)濾防火墻工作原理圖 包過(guò)濾防火墻工作在網(wǎng)絡(luò)層， 應(yīng)用網(wǎng)關(guān)防火墻工作原理圖