|
|
|
根据防火墙实现原理的不同,可将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙。
|
|
|
|
|
|
包过滤防火墙是在网络的入口对通过的数据包进行选择,只有满足条件的数据包才能通过;否则被抛弃。
|
|
|
|
包过滤防火墙是多址的,它有两个或两个以上网络适配器或接口。包过滤防火墙中每个IP包的字段都会被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,与规则不匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。包过滤防火墙是通过规则的组合来完成复杂策略的。
|
|
|
|
包过滤防火墙的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。其缺陷是包过滤防火墙是完全基于网络层的安全技术,只能对数据包的来源、目标和端口等信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
|
|
|
|
|
|
应用层网关防火墙不允许在它连接的网络之间直接通信,而是接受来自内部网特定用户应用程序的通信,然后建立与公共网络服务器单独的连接。
|
|
|
|
应用层网关防火墙又称代理(Proxy),网络内部的用户不能直接与外部的服务器通信,服务器不能直接访问内部网的任何一部分。代理服务器必须为特定的应用程序安装代理程序代码,才能建立连接,从而为安全性提供了额外的保证。
|
|
|
|
代理型防火墙的优点是安全性较高,可以针对应用层进行检测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,从而大大增加了系统管理的复杂性。
|
|
|
|
|
|
状态检测防火墙又称为动态包过滤防火墙,是在传统包过滤上的功能扩展,通过跟踪防火墙的网络连接和数据包,使用一组附加的标准确定是允许还是拒绝通信。
|
|
|
|
状态检测防火墙能够对多层的数据进行主动、实时的检测,在对这些数据加以分析的基础上,检测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自网络内部的恶意破坏也有极强的防范作用。
|
|
|
