網(wǎng)絡(luò )的發(fā)展讓人越來(lái)越依靠網(wǎng)絡(luò ),網(wǎng)絡(luò )問(wèn)題日增越劇,金錢(qián)丟失、賬號被盜等等層出不窮,網(wǎng)絡(luò )安全越顯重要。網(wǎng)絡(luò )安全中的防火墻您了解多少,帶大家認識一下四大防火墻:
應用級網(wǎng)關(guān)
應用級網(wǎng)關(guān)能夠檢查進(jìn)出的數據包,是通過(guò)網(wǎng)關(guān)復制傳遞數據的,防止受信任服務(wù)器和客戶(hù)機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關(guān)能夠理解應用層上的協(xié)議,能夠做復雜一些的訪(fǎng)問(wèn)控制,并做精細的注冊。它針對特別的網(wǎng)絡(luò )應用服務(wù)協(xié)議即數據過(guò)濾協(xié)議,并且能夠對數據包分析并形成相關(guān)的報告。應用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價(jià)值的程序和數據被竊取。在實(shí)際工作中,應用網(wǎng)關(guān)一般由專(zhuān)用工作站系統來(lái)完成。但每一種協(xié)議需要相應的代理軟件,使用時(shí)工作量大,效率不如網(wǎng)絡(luò )級防火墻。 應用級網(wǎng)關(guān)有較好的訪(fǎng)問(wèn)控制,是目前最安全的防火墻技術(shù)。
網(wǎng)絡(luò )級防火墻
網(wǎng)絡(luò )級防火墻一般是基于源地址和目的地址、應用、協(xié)議以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)“傳統”的網(wǎng)絡(luò )級防火墻,大多數的路由器都能通過(guò)檢查這些信息,決定是否將所收到的包轉發(fā),但它不能判斷出一個(gè)IP包來(lái)自何方和去向何處。防火墻檢查每一條規則直至發(fā)現包中的信息與某規則相符。如果沒(méi)有一條規則能符合,防火墻就會(huì )使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過(guò)定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來(lái)監控受信任的客戶(hù)或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來(lái)決定該會(huì )話(huà)(Session)是否合法,電路級網(wǎng)關(guān)是在OSI模型中會(huì )話(huà)層上來(lái)過(guò)濾數據包,這樣比包過(guò)濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能:代理服務(wù)器(Proxy Server)。代理服務(wù)器是設置在Internet防火墻網(wǎng)關(guān)的專(zhuān)用應用級代碼。這種代理服務(wù)準許網(wǎng)管員允許或拒絕特定的應用程序或一個(gè)應用的特定功能。包過(guò)濾技術(shù)和應用網(wǎng)關(guān)是通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數據包通過(guò),一旦判斷條件滿(mǎn)足,防火墻內部網(wǎng)絡(luò )的結構和運行狀態(tài)便“暴露”在外來(lái)用戶(hù)面前,這就引入了代理服務(wù)的概念,即防火墻內外計算機系統應用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來(lái)實(shí)現,這就成功地實(shí)現了防火墻內外計算機系統的隔離。同時(shí),代理服務(wù)還可用于實(shí)施較強的數據流監控、過(guò)濾、記錄和報告等功能。代理服務(wù)技術(shù)主要通過(guò)專(zhuān)用計算機硬件(如工作站)來(lái)承擔。
規則檢查防火墻
該防火墻結合了包過(guò)濾防火墻、電路級網(wǎng)關(guān)和應用級網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣,規則檢查防火墻能夠在OSI網(wǎng)絡(luò )層上通過(guò)IP地址和端口號,過(guò)濾進(jìn)出的數據包。它也象電路級網(wǎng)關(guān)一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網(wǎng)關(guān)一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業(yè)網(wǎng)絡(luò )的安全規則。規則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于一個(gè)應用級網(wǎng)關(guān)的是,它并不打破客戶(hù)機/服務(wù)器模式來(lái)分析應用層的數據,它允許受信任的客戶(hù)機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關(guān)的代理,而是依靠某種算法來(lái)識別進(jìn)出的應用層數據,這些算法通過(guò)已知合法數據包的模式來(lái)比較進(jìn)出數據包,這樣從理論上就能比應用級代理在過(guò)濾數據包上更有效。
總結
四大類(lèi)防火墻技術(shù)種類(lèi)之間各有優(yōu)勢,在使用中具體要選擇哪種或是否選擇混合使用,需要根據具體需要來(lái)決定。
本文由今科科技用戶(hù)上傳并發(fā)布,今科科技僅提供信息發(fā)布平臺。文章代表作者個(gè)人觀(guān)點(diǎn),不代表今科科技立場(chǎng)。未經(jīng)作者許可,不得轉載,有涉嫌抄襲的內容,請通過(guò) 反饋中心 進(jìn)行舉報。
售前咨詢(xún):0760-2332 0168
售后客服:400 830 7686
1998~2024,今科26年專(zhuān)注于企業(yè)信息化服務(wù)
立 即 注 冊 / 咨 詢(xún)
上 線(xiàn) 您 的 網(wǎng) 站 !