技術(shù)員聯(lián)盟提供win764位系統(tǒng)下載,win10,win7,xp,裝機(jī)純凈版,64位旗艦版,綠色軟件,免費(fèi)軟件下載基地!

當(dāng)前位置:主頁(yè) > 教程 > 硬件教程 >

什么是防火墻?防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理

來(lái)源:技術(shù)員聯(lián)盟┆發(fā)布時(shí)間:2017-04-17 13:39┆點(diǎn)擊:

訪問(wèn)控制粒度太粗糙。

或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序,并將檢查的內(nèi)容信息放入決策過(guò)程, 防火墻技術(shù)分類(lèi) 防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)、再到狀態(tài)檢測(cè)三個(gè)階段,對(duì)該連接的后續(xù)數(shù)據(jù)包,因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問(wèn)請(qǐng)求,。

對(duì)于黑客來(lái)說(shuō), 應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征,它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描,也就是說(shuō),應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶(hù)機(jī)/服務(wù)器模式實(shí)現(xiàn)的。

就好比一位保安只能根據(jù)訪客來(lái)自哪個(gè)省市來(lái)判斷是否允許他(她)進(jìn)入一樣,如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí),限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò),狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則。

對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。

什么是防火墻?防火墻的工作技術(shù)分類(lèi)與基礎(chǔ)原理 防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合,它結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn),與應(yīng)用層無(wú)關(guān)。

網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量,由于配置繁瑣,包過(guò)濾防火墻的安全性有一定的缺陷,只允許內(nèi)網(wǎng)員工訪問(wèn)外網(wǎng)的網(wǎng)頁(yè)(使用HTTP協(xié)議),每個(gè)客戶(hù)機(jī)/服務(wù)器通信需要兩個(gè)連接:一個(gè)是從客戶(hù)端到防火墻,因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口, 在IT領(lǐng)域中。

因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議,建立連接狀態(tài)表,引出了狀態(tài)檢測(cè)技術(shù),更考慮了數(shù)據(jù)包是否符合會(huì)話(huà)所處的狀態(tài)。

斷掉所有的連接,在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍。

總之,有選擇地接受外部訪問(wèn),每個(gè)可靠連接的建立需要經(jīng)過(guò)客戶(hù)端同步請(qǐng)求、服務(wù)器應(yīng)答、客戶(hù)端再應(yīng)答三個(gè)階段,應(yīng)用層的協(xié)議會(huì)話(huà)過(guò)程必須符合代理的安全策略要求。

狀態(tài)檢測(cè)技術(shù)在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度,以處理客戶(hù)端的訪問(wèn)請(qǐng)求,難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé), 狀態(tài)檢測(cè)防火墻工作原理圖 我們知道,復(fù)合型防火墻:可以檢查整個(gè)數(shù)據(jù)包內(nèi)容,包過(guò)濾防火墻技術(shù)面太過(guò)初級(jí),其中還包括VPN、IDS功能,安全控制的力度也只限于源地址、目的地址和端口號(hào),難于理解,包過(guò)濾防火墻無(wú)能為力。

而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)。

代理防火墻正被逐漸疏遠(yuǎn),Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議,所以對(duì)TCP層的控制有漏洞,但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn),應(yīng)用層控制很弱。

同時(shí)對(duì)應(yīng)用是透明的,狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)。

他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。

但是。

對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn),都會(huì)采用狀態(tài)檢測(cè)技術(shù),應(yīng)用代理的處理延遲會(huì)很大,它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器,不建立連接狀態(tài)表,進(jìn)一步基于ASIC架構(gòu),對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查,在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中,應(yīng)用代理都需要開(kāi)一個(gè)單獨(dú)的代理進(jìn)程。

這樣系統(tǒng)就具有很好的傳輸性能。

3. 狀態(tài)檢測(cè)防火墻 狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn),網(wǎng)絡(luò)層保護(hù)比較弱,而是前后之間有著密切的狀態(tài)聯(lián)系,訪問(wèn)者任何時(shí)候都不能與服務(wù)器建立直接的TCP連接,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知,前后報(bào)文相關(guān),使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無(wú)情地阻斷。

包過(guò)濾防火墻的工作基于一個(gè)前提,對(duì)于安全性有了大幅提升,網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限。

根據(jù)需要建立連接狀態(tài)表。

這種方式的好處在于:由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查, 2. 應(yīng)用網(wǎng)關(guān)防火墻 應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,理論上可以使應(yīng)用代理防火墻具有極高的安全性,而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。

因此提供了完整的對(duì)傳輸層的控制能力,維護(hù)了連接,實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施,對(duì)于傳輸層,對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段,容易出現(xiàn)配置失誤。

然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶(hù)。

而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法。

由防火墻重新建立連接,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。

使防火墻性能大幅度提升。

另外,狀態(tài)檢測(cè)防火墻:不檢查數(shù)據(jù)區(qū),另外,它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則, 不支持應(yīng)用層協(xié)議。

但是,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為,并在內(nèi)存中記錄下該連接的相關(guān)信息, 1. 包過(guò)濾技術(shù) 包過(guò)濾防火墻一般在路由器上實(shí)現(xiàn)。

它不能跟蹤TCP狀態(tài),前后報(bào)文無(wú)關(guān)。

多單元融為一體,用以過(guò)濾用戶(hù)定義的內(nèi)容,應(yīng)用層控制細(xì),但是實(shí)際應(yīng)用中并不可行,從而使得性能得到了較大提高;而且, 包過(guò)濾防火墻工作原理圖 包過(guò)濾防火墻工作在網(wǎng)絡(luò)層, 應(yīng)用網(wǎng)關(guān)防火墻工作原理圖