1. <button id="b1csx"></button>

      1. <li id="b1csx"></li>

        <em id="b1csx"><strike id="b1csx"><kbd id="b1csx"></kbd></strike></em><th id="b1csx"><big id="b1csx"></big></th>
        <rp id="b1csx"></rp>
        <progress id="b1csx"><track id="b1csx"></track></progress>
        <dd id="b1csx"></dd>
        1. 服務器知識:防火墻的技術分類發布時間:2012/2/2 11:16:00 閱讀次數:

            防火墻的分類包括:

          1.防火墻的硬件分類 點擊進入

          2.防火墻的技術分類 點擊進入

          3.防火墻的結構分類 點擊進入

          4.防火墻的部署分類 點擊進入

          5.防火墻的性能分類 點擊進入

          防火墻的技術分類

            防火墻技術雖然出現了許多,但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表,后者以美國NAI公司的Gauntlet防火墻為代表。 
             
           (1). 包過濾(Packet filtering)
             
          包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其余數據包則被從數據流中丟棄。

                                    


              包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網絡服務采取特殊的處理方式,適用于所有網絡服務;之所以廉價,是因為大多數路由器都提供數據包過濾功能,所以這類防火墻多數是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數企業安全要求。
              在整個防火墻技術的發展過程中,包過濾技術出現了兩種不同版本,稱為“第一代靜態包過濾”和“第二代動態包過濾”。
              ●第一代靜態包過濾類型防火墻
              這類防火墻幾乎是與路由器同時產生的,它是根據定義好的過濾規則審查每個數據包,以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。

                                  


              ●第二代動態包過濾類型防火墻
              這類防火墻采用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術后來發展成為包狀態監測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據需要可動態地在過濾規則中增加或更新條目。 
              包過濾方式的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和傳輸層,與應用層無關。但其弱點也是明顯的:過濾判別的依據只是網絡層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過濾器中,過濾規則的數目是有限制的,且隨著規則數目的增加,性能會受到很大地影響;由于缺少上下文關聯信息,不能有效地過濾如UDP、RPC(遠程過程調用)一類的協議;另外,大多數過濾器中缺少審計和報警機制,它只能依據包頭信息,而不能對用戶身份進行驗證,很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高,建立安全規則時,必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此,過濾器通常是和應用網關配合使用,共同組成防火墻系統。

                                   


              (2). 應用代理(Application Proxy)
              應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

                            


              在代理型防火墻技術的發展過程中,它也經歷了兩個不同的版本,即:第一代應用網關型代理防火和第二代自適應代理防火墻。
              第一代應用網關(Application Gateway)型防火墻
              這類防火墻是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。

                                   
              第二代自適應代理(Adaptive proxy)型防火墻
              它是近幾年才得到廣泛應用的一種新防火墻類型。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點,在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。

            


              在“自適應代理服務器”與“動態包過濾器”之間存在一個控制通道。在對防火墻進行配置時,用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后,自適應代理就可以根據用戶的配置信息,決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者,它將動態地通知包過濾器增減過濾規則,滿足用戶對速度和安全性的雙重要求。
              代理類型防火墻的最突出的優點就是安全。由于它工作于最高層,所以它可以對網絡中任何一層數據通信進行篩選保護,而不是像包過濾那樣,只是對網絡層的數據進行過濾。
              另外代理型防火墻采取是一種代理機制,它可以為每一種應用服務建立一個專門的代理,所以內外部網絡之間的通信不是直接的,而都需先經過代理服務器審核,通過后再由代理服務器代為連接,根本沒有給內、外部網絡計算機任何直接會話的機會,從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。
              代理防火墻的最大缺點就是速度相對比較慢,當用戶對內外部網絡網關的吞吐量要求比較高時,代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務,在自己的代理程序為內、外部網絡用戶建立連接時需要時間,所以給系統性能帶來了一些負面影響,但通常不會很明顯。

          上一篇:服務器知識:防火墻的硬件分類!

          亚洲人aa在线观看,第一樱花亚洲AV专区,亚洲视频免费在线,小说区图片区亚洲中文字幕