⑴ 靜態包過濾防火牆、動態(狀態檢測)包過濾防火牆、應用層(代理)防火牆這三類防火牆適用情況
//ok,我改 //包過濾的防火牆最簡單,你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過],它不支持應用層的過濾,不支持數據包內容的過濾。 //狀態防火牆更復雜一點,按照TCP基於狀態的特點,在防火牆上記錄各個連接的狀態,這可以彌補包過濾防火牆的缺點,比如你允許了ip為1.1.1.1的數據包通過防火牆,但是惡意的人偽造ip的話,沒有通過tcp的三次握手也可以闖過包過濾防火牆。 //應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。 // 一、當前防火牆技術分類 防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。 1.1 包過濾技術 包過濾防火牆工作在網路層,對數據包的源及目地 IP 具有識別和控製作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的埠信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。 由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析,包過濾防火牆的處理速度較快,並且易於配置。 包過濾防火牆具有根本的缺陷: 1 .不能防範黑客攻擊。包過濾防火牆的工作基於一個前提,就是網管知道哪些 IP 是可信網路,哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網路與不可信網路的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆,進入內網,而任何一個初級水平的黑客都能進行 IP 地址欺騙。 2 .不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(一般使用 FTP 協議)。包過濾防火牆無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。 3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。 綜上可見,包過濾防火牆技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。 1.2 應用代理網關技術 應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。 缺點也非常突出,主要有: · 難於配置。由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。 · 處理速度非常慢。斷掉所有的連接,由防火牆重新建立連接,理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行,因為對於內網的每個 Web 訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常 Web 訪問不能及時得到響應。 總之,應用代理防火牆不能支持大規模的並發連接,在對速度敏感的行業使用這類防火牆時簡直是災難。另外,防火牆核心要求預先內置一些已知應用程序的代理,使得一些新出現的應用在代理防火牆內被無情地阻斷,不能很好地支持新應用。 在 IT 領域中,新應用、新技術、新協議層出不窮,代理防火牆很難適應這種局面。因此,在一些重要的領域和行業的核心業
⑵ 防火牆採用最簡易的技術是
防火牆採用最簡易的技術是包過濾。
絕大多數Internet防火牆系統只用一個包過濾路由器,一個過濾路由器能協助保護整個網路。
過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,用戶感知非常小,不需要專門的用戶培訓或在主機上設置特別的軟體,所以是防火牆經常採取的簡易技術。
(2)包過濾器防火牆示例擴展閱讀
防火牆技術包過濾的局限性:
1、定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
2、路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。
3、不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
4、一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X-Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
⑶ 什麼叫包過濾防火牆
包過濾防火牆是最來簡單的一種自防火牆,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。