首页 理论教育 防火墙技术概述:计算机网络技的重要内容

防火墙技术概述:计算机网络技的重要内容

时间:2023-10-22 理论教育 版权反馈
【摘要】:防火墙只允许授权的数据通过,并且防火墙自身必须能够免于渗透。静态包过滤型防火墙使用的过滤规则集是静态的,而状态检测防火墙在运行过程中一直维护着一张动态状态表,这张表记录着TCP连接的建立到终止的整个过程中进行安全决策所需的相关状态信息,这些信息将作为评价后续连接安全性的依据。

防火墙技术概述:计算机网络技的重要内容

防火墙是一套可以增强机构内部网络资源安全性的系统,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙只允许授权的数据通过,并且防火墙自身必须能够免于渗透。但是,防火墙一旦被攻击者突破或者迂回,就不会再有任何的保护效果。

按照实体性质分类,防火墙可分为硬件方式和软件方式,其中硬件方式是在内部网与Internet之间放置一个硬件设备,以隔离或过滤外部人员对内部网络的访问;软件方式是在Web主机或单独的计算机上运行一类软件,监测、侦听来自网络的信息,对访问内部网的数据起到过滤的作用,从而保护内部网免受破坏。

对于防火墙来说,从其原理上进行划分,可将防火墙分为以下4种。

1.包过滤型防火墙

数据包过滤技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。如果检查到数据包的条件符合规则,则允许进行路由;如果检查到数据包的条件不符合规则,则阻止数据包通过并将其丢弃。

数据包检查是对IP层的首部和传输层的首部进行过滤,一般检查下面几项:源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、协议类型(TCP包、UDP包、ICMP包)、TCP报头中的ACK位、ICMP消息类型。

2.应用层代理防火墙(www.xing528.com)

应用层代理防火墙是在网络的应用层实现协议过滤和转发功能。它针对特定的网络应用服务协议,使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,形成报告。这种防火墙很容易运用适当的策略区分一些应用程序命令,像HTTP中的“put”和“get”等。应用层代理防火墙打破了传统的客户机/服务器模式,每个客户机/服务器的通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。这样就将内部和外部系统隔离开来,从系统外部对防火墙内部系统进行探测变得非常困难。

3.状态检测防火墙

状态检测防火墙和包过滤型防火墙一样,是在网络层实现的,它是基于操作系统内核中的状态表的内容转发或拒绝数据包的传送,比静态的包过滤型防火墙有更好的网络性能和安全性。静态包过滤型防火墙使用的过滤规则集是静态的,而状态检测防火墙在运行过程中一直维护着一张动态状态表,这张表记录着TCP连接的建立到终止的整个过程中进行安全决策所需的相关状态信息,这些信息将作为评价后续连接安全性的依据。

4.自适应代理防火墙

自适应代理防火墙的基本安全检测在安全应用层进行,但一旦通过安全检测,后续包则将直接通过网络层,因此自适应代理防火墙比应用层代理防火墙的效率更高。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈