|
|
|
防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
|
|
|
|
|
|
|
|
(1)包过滤型防火墙。工作在网络层,对数据包的源IP及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。优点是:对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查;可以识别和丢弃带欺骗性源IP地址的包;是两个网络之间访问的唯一通道;通常被包含在路由器数据包中,不必用额外的系统来处理这个特征。缺点是:不能防范黑客攻击;不支持应用层协议;访问控制粒度太粗糙。
|
|
|
|
(2)应用代理网关防火墙。彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。优点是:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是:难以配置,处理速度慢。
|
|
|
|
(3)状态检测技术防火墙。结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
|
|
|
|
|
|
一个防火墙系统通常是由过滤路由器和代理服务器组成的。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机网关、被屏蔽子网等。
|
|
|
|
(1)包过滤路由器。又称屏蔽路由器,它是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。优点在于速度快,实现方便;缺点是安全性差,兼容性差,没有或只有较少的日志记录能力。
|
|
|
|
(2)双宿主主机。它是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。优点是:堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等,有利于网络管理员的日后检查。缺点是:由于内部网和外部网之间只有一道屏障,双宿主主机首先禁止网络层的路由功能,两个网络之间的通信通过应用代理层来完成,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙会变得无用,需要具有强大的身份认证系统,尽量减少防火墙上用户的账户数目,以免堡垒主机被攻破。
|
|
|
|
(3)被屏蔽主机网关。由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障。优点是安全等级较高,缺点是配置工作复杂。
|
|
|
|
(4)被屏蔽子网。由两个包过滤路由器和一个应用网关组成。优点是:入侵者必须突破3个不同的设备才能侵袭内部网络;由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对;内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet等。
|
|
|
