1.包过滤
包过滤(Packet Filtering)在网络层依据系统的过滤规则,对数据包进行选择和过滤,这种规则又称为访问控制表(ACL)。该技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上。
一般而言,包过滤包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。另外,两者均被配置为只过滤最有用的数据域,包括协议类型,IP 地址、TCP/UDP 端口、分段口和源路由信息,但还是有许多方法可绕过包过滤器进入Internet,原因在于:
(1)TCP 只能在第0 个分段中被过滤。
(2)特洛伊木马可以使用NAT 使包过滤器失效。
(3)许多包过滤器允许1 024 以上的端口通过。
因此,“纯”包过滤器的防火墙不能完全保证内部网的安全,必须与代理服务器和网络地址翻译结合起来才能解决问题。
2.代理型(www.xing528.com)
代理服务技术(应用层网关防火墙)是防火墙技术中使用得较多的技术,也是一种安全性能较高的技术,它的安全性要高于包过滤技术,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
(1)代理服务技术的优点:安全性较高;能有效对付基于应用层的侵入和病毒;可将内部网络的结构屏蔽起来;能针对协议实现其特有的安全特性;具有数据流监控、过滤、记录、报警等功能。
(2)代理服务技术的缺点:必须为每一个网络应用服务都专门开发相应的应用代理服务软件;系统管理复杂;需要专用的服务器来承担。
3.监测型
监测型(状态检测防火墙)防火墙是新一代产品,能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。各类防火墙的对比如表9.2所示。
表9.2 防火墙对比
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。