防火墻技術淺析
防火墻概念作為現代技術層面上非常好的一個網絡安全屏障,防火墻是由硬件和軟件設備組合而成的,人們往往將其設置在受保護的網絡和外部網絡之間從而可以實現對網絡的保護。在設計防火墻系統(tǒng)的過程中,阻塞點
防火墻概念
作為現代技術層面上非常好的一個網絡安全屏障,防火墻是由硬件和軟件設備組合而成的,人們往往將其設置在受保護的網絡和外部網絡之間從而可以實現對網絡的保護。在設計防火墻系統(tǒng)的過程中,阻塞點、最小特權、故障安全狀態(tài)、縱深防御、最薄弱的環(huán)節(jié)簡化等原則是我們一定要遵循的。
2 防火墻的分類及其優(yōu)缺點
2.1包過濾防火墻
包過濾防火墻可以對經過網絡的包的包頭進行查詢,從而決定包的未來定向。通過包過濾防火墻,有些包被丟棄,有些包經過,有些包被用來進行其它的處理。
包過濾防火墻具有以下優(yōu)點:所有經過的網絡數據包都會由其實現低層次的控制;每個IP數據包都進行領域檢查;如果經過網絡的包帶有欺騙性源IP地址的,那么它就會被防火墻識別并丟棄;為了實現兩個網絡之間進行訪問,我們必須經由包過濾防火墻;路由器數據包中通常包含包過濾,所以不需要另外添加系統(tǒng)進行處理。
包過濾防火墻有以下缺點:很難進行配置,因為包過濾防火墻具有復雜性的特性,可能導致一些必要規(guī)則的建立被人忘記,也可能導致不能正確的進行配置;人們可能會使用其他的一些方法使得防火墻不能察覺。
2.2狀態(tài)/動態(tài)檢測防火墻
狀態(tài)/動態(tài)檢測防火墻通過試圖跟蹤通過防火墻的網絡連接和數據包,從而使防火墻使用一個額外的準則,以確定是否允許和拒絕通信。
狀態(tài)/動態(tài)檢測防火墻有以下優(yōu)點:它基于遵守包中信息過濾規(guī)則,并檢測IP數據包的所有字段;確定源IP地址偽造數據包的能力:根據應用程序信息并推斷出該包所處的狀態(tài)信息;記錄所有通過網絡的包的信息。
狀態(tài)/動態(tài)檢測防火墻有以下缺點:記錄的所有的信息,測試和分析可能導致的網絡延時,在同一時間,如果有很多連接在被使用,或網絡中正在運行大流量的軟件的時候會顯得更加明易。
2.3應用程序代理防火墻
應用代理防火墻可以接受來自內部網絡特定的用戶應用程序的通信,然后創(chuàng)建一個單獨的Web服務器的公共訪問。由于內網用戶不能實現與外部服務器的直接通信,使得所有的內部網絡均拒絕服務器的訪問。
應用程序代理防火墻有以下優(yōu)點:指定連接控制;通過對某些協(xié)議請求的蔓延,減少不必要的網絡服務;代理防火墻的大部分記錄,包括地址和時間的連接。
應用代理防火墻有以下缺點:用戶的系統(tǒng)的設定有特定的范圍,這根據應用程序的不同而有所不同;在網絡中某些部位根本不支持代理連接的使用。
2.4 NAT
NAT是經常用于居民區(qū)、小型會議室的協(xié)議,通過NAT協(xié)議內部網絡的多個IP地址可以被轉換到一個大家都知道的地址并轉發(fā)到Internet上。
NAT有如下優(yōu)點:外界沒有任何途徑可以獲得任何內部人的IP地址;當公共IP地址資源不足時,通過NAT的使用,只需要一個單獨的IP地址即可實現所有的訪問;如果所有傳入的數據包沒有特定的NAT的話,就會將其丟棄,在這種情況下,它可以實現對基本的包過濾防火墻安全機制的啟用。
NAT有如下缺點:雖然它在一定程度上起到保護內部網絡的安全的目的,但它也有很多局限,如果內部網絡的木馬使用一些外部連接做NAT,那么它就會非常容易的實現對防火墻的穿越。
2.5個人防火墻
個人防火墻可以運行在用戶的計算機上,用于保護個人電腦系統(tǒng)的安全,它和狀態(tài)/動態(tài)檢測防火墻使用相似的方法來保護電腦免受攻擊。
個人防火墻有如下優(yōu)點:提高了保護水平,從而節(jié)約了設備;外部攻擊和內部攻擊都很攻克個人防火墻;由于個人防火墻的使用,使得公共網絡系統(tǒng)中的單一系統(tǒng)得到了相應的保護。個人防火墻有如下缺點:個人防火墻的主要缺點是只有一個外網可以連接的接口,這使得個人防火墻本身可能是脆弱的。
3 防火墻技術
3.1包過濾技術
包過濾技術是網絡監(jiān)控和過濾的IP數據包流入和流出的原則,不執(zhí)行對可疑包的發(fā)送。根據不同協(xié)議的要求,路由器在端口對數據包進行歸類和劃分的能力被稱為包過濾。由于因特網和內聯網的大部分連接使用路由器作必要的內部和外部的通訊端口,所以路由器生產廠商在路由器的基礎上額外使其增加了IP過濾功能,我們把這種路由器也稱為數據包過濾或篩選路由器。通常情況下,我們使用的防火墻就是這樣一種簡單的可以過濾包的路由器,只要配置合理,還是相對比較安全的。
作為現代技術層面上非常好的一個網絡安全屏障,防火墻是由硬件和軟件設備組合而成的,人們往往將其設置在受保護的網絡和外部網絡之間從而可以實現對網絡的保護。在設計防火墻系統(tǒng)的過程中,阻塞點、最小特權、故障安全狀態(tài)、縱深防御、最薄弱的環(huán)節(jié)簡化等原則是我們一定要遵循的。
2 防火墻的分類及其優(yōu)缺點
2.1包過濾防火墻
包過濾防火墻可以對經過網絡的包的包頭進行查詢,從而決定包的未來定向。通過包過濾防火墻,有些包被丟棄,有些包經過,有些包被用來進行其它的處理。
包過濾防火墻具有以下優(yōu)點:所有經過的網絡數據包都會由其實現低層次的控制;每個IP數據包都進行領域檢查;如果經過網絡的包帶有欺騙性源IP地址的,那么它就會被防火墻識別并丟棄;為了實現兩個網絡之間進行訪問,我們必須經由包過濾防火墻;路由器數據包中通常包含包過濾,所以不需要另外添加系統(tǒng)進行處理。
包過濾防火墻有以下缺點:很難進行配置,因為包過濾防火墻具有復雜性的特性,可能導致一些必要規(guī)則的建立被人忘記,也可能導致不能正確的進行配置;人們可能會使用其他的一些方法使得防火墻不能察覺。
2.2狀態(tài)/動態(tài)檢測防火墻
狀態(tài)/動態(tài)檢測防火墻通過試圖跟蹤通過防火墻的網絡連接和數據包,從而使防火墻使用一個額外的準則,以確定是否允許和拒絕通信。
狀態(tài)/動態(tài)檢測防火墻有以下優(yōu)點:它基于遵守包中信息過濾規(guī)則,并檢測IP數據包的所有字段;確定源IP地址偽造數據包的能力:根據應用程序信息并推斷出該包所處的狀態(tài)信息;記錄所有通過網絡的包的信息。
狀態(tài)/動態(tài)檢測防火墻有以下缺點:記錄的所有的信息,測試和分析可能導致的網絡延時,在同一時間,如果有很多連接在被使用,或網絡中正在運行大流量的軟件的時候會顯得更加明易。
2.3應用程序代理防火墻
應用代理防火墻可以接受來自內部網絡特定的用戶應用程序的通信,然后創(chuàng)建一個單獨的Web服務器的公共訪問。由于內網用戶不能實現與外部服務器的直接通信,使得所有的內部網絡均拒絕服務器的訪問。
應用程序代理防火墻有以下優(yōu)點:指定連接控制;通過對某些協(xié)議請求的蔓延,減少不必要的網絡服務;代理防火墻的大部分記錄,包括地址和時間的連接。
應用代理防火墻有以下缺點:用戶的系統(tǒng)的設定有特定的范圍,這根據應用程序的不同而有所不同;在網絡中某些部位根本不支持代理連接的使用。
2.4 NAT
NAT是經常用于居民區(qū)、小型會議室的協(xié)議,通過NAT協(xié)議內部網絡的多個IP地址可以被轉換到一個大家都知道的地址并轉發(fā)到Internet上。
NAT有如下優(yōu)點:外界沒有任何途徑可以獲得任何內部人的IP地址;當公共IP地址資源不足時,通過NAT的使用,只需要一個單獨的IP地址即可實現所有的訪問;如果所有傳入的數據包沒有特定的NAT的話,就會將其丟棄,在這種情況下,它可以實現對基本的包過濾防火墻安全機制的啟用。
NAT有如下缺點:雖然它在一定程度上起到保護內部網絡的安全的目的,但它也有很多局限,如果內部網絡的木馬使用一些外部連接做NAT,那么它就會非常容易的實現對防火墻的穿越。
2.5個人防火墻
個人防火墻可以運行在用戶的計算機上,用于保護個人電腦系統(tǒng)的安全,它和狀態(tài)/動態(tài)檢測防火墻使用相似的方法來保護電腦免受攻擊。
個人防火墻有如下優(yōu)點:提高了保護水平,從而節(jié)約了設備;外部攻擊和內部攻擊都很攻克個人防火墻;由于個人防火墻的使用,使得公共網絡系統(tǒng)中的單一系統(tǒng)得到了相應的保護。個人防火墻有如下缺點:個人防火墻的主要缺點是只有一個外網可以連接的接口,這使得個人防火墻本身可能是脆弱的。
3 防火墻技術
3.1包過濾技術
包過濾技術是網絡監(jiān)控和過濾的IP數據包流入和流出的原則,不執(zhí)行對可疑包的發(fā)送。根據不同協(xié)議的要求,路由器在端口對數據包進行歸類和劃分的能力被稱為包過濾。由于因特網和內聯網的大部分連接使用路由器作必要的內部和外部的通訊端口,所以路由器生產廠商在路由器的基礎上額外使其增加了IP過濾功能,我們把這種路由器也稱為數據包過濾或篩選路由器。通常情況下,我們使用的防火墻就是這樣一種簡單的可以過濾包的路由器,只要配置合理,還是相對比較安全的。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡