信息安全中使用的防火墻技術有以下功能:
靜態包過濾:運行在網絡層,根據IP包的源地址、目的地址、應用協議、源接口號、目的接口號來決定是否放行一個包。其優點是對網絡性能基本上沒有影響,成本很低,路由器和一般的操作系統都支持。缺點是工作在網絡層,只檢查IP和TCP的包頭;不檢查包的數據,提供的安全性不高;缺乏狀態信息;IP易被假冒和欺騙;規則很好寫,但很難寫正確,規則測試困難;保護的等級低。
動態包過濾:是靜態包過濾技術的發展和演化,它與靜態包過濾技術的不同點在于,動態包過濾防火墻知道一個新的連接和一個已經建立的連接的不同點,而靜態包過濾技術對此一無所知。對于已經建立的連接,動態包過濾防火墻將狀態信息寫進常駐內存的狀態表,后來的包的信息與狀態表中的信息進行比較,該動作是在操作系統的內核中完成的。因此,動態包過濾增加了很多的安全性,其速度和效率都較高,成本低,但仍具有與靜態包過濾技術相同的缺點。
電路網關:電路網關工作在會話層。電路網關在執行包過濾功能的基礎上,增加一個握手再證實及建立連接的序列號的合法性檢查的過程。同時電路網關還要對客戶端進行認證,使其安全性有所提高。認證程序決定用戶是否是可信的,一旦認證通過,客戶端便發起TCP握手標志,并確保相關的序列號是正確且連貫的,這樣該會話才是合法的。一旦會話有效,便開始執行包過濾規則的檢查。電路網關對網絡性能的影響不是很大,中斷了網絡連接,其安全性要比包過濾高。
應用網關:應用網關截獲所有進和出的包,運行代理機制,通過網關來復制和轉發信息,其功能像一個代理服務器,防止任何直接連接出現。應用網關的代理是與具體應用相關的,每一種應用需要一個具體的代理,代理檢查包的所有數據,包括包頭和數據,以及工作在OSI的第七層。由于應用協議規定了所有的規程,因此較為容易設計過濾規則。應用代理要比包過濾更容易配置和管理。通過檢查完整的包,應用網關是目前最安全的防火墻。
狀態檢測包過濾:狀態檢測綜合了很多動態包過濾、電路網關和應用網關的功能。狀態檢測包過濾有一個最基本的功能,即檢查所有開放系統互連(Open System Interconnect,OSI)七層的信息,但主要是工作在網絡層,而且主要是采用動態包過濾的工作模式。狀態檢測包過濾也能像電路網關那樣工作,決定在一個會話中的包是否是正常的。狀態檢測也能作為一個最小化的應用網關,對某些內容進行檢查,但也與應用網關相同,一旦采用這些功能,防火墻的性能也是直線下降。
切換代理:切換代理是動態包過濾和電路網關的一種混合型防火墻。切換代理首先作為一個電路代理來執行RFC(Internet 標準)規定的三次握手和認證要求,然后切換到動態包過濾模式。因此,開始時,切換代理工作在網絡的會話層,在認證完成并建立連接之后,轉到網絡層。因此,切換代理又稱為自適應防火墻,在安全性和效率之間取得了一定程度的平衡。切換代理比傳統的電路網關對網絡性能的影響更小,三次握手檢查機制減小了IP假冒和欺騙的可能性,但是切換代理并沒有中斷網絡連接,因此安全性比電路網關更低,另外,切換代理防火墻的規則也不易設計。
回答所涉及的環境:聯想天逸510S、Windows 10。
信息安全中使用的防火墻技術有以下功能:
靜態包過濾:運行在網絡層,根據IP包的源地址、目的地址、應用協議、源接口號、目的接口號來決定是否放行一個包。其優點是對網絡性能基本上沒有影響,成本很低,路由器和一般的操作系統都支持。缺點是工作在網絡層,只檢查IP和TCP的包頭;不檢查包的數據,提供的安全性不高;缺乏狀態信息;IP易被假冒和欺騙;規則很好寫,但很難寫正確,規則測試困難;保護的等級低。
動態包過濾:是靜態包過濾技術的發展和演化,它與靜態包過濾技術的不同點在于,動態包過濾防火墻知道一個新的連接和一個已經建立的連接的不同點,而靜態包過濾技術對此一無所知。對于已經建立的連接,動態包過濾防火墻將狀態信息寫進常駐內存的狀態表,后來的包的信息與狀態表中的信息進行比較,該動作是在操作系統的內核中完成的。因此,動態包過濾增加了很多的安全性,其速度和效率都較高,成本低,但仍具有與靜態包過濾技術相同的缺點。
電路網關:電路網關工作在會話層。電路網關在執行包過濾功能的基礎上,增加一個握手再證實及建立連接的序列號的合法性檢查的過程。同時電路網關還要對客戶端進行認證,使其安全性有所提高。認證程序決定用戶是否是可信的,一旦認證通過,客戶端便發起TCP握手標志,并確保相關的序列號是正確且連貫的,這樣該會話才是合法的。一旦會話有效,便開始執行包過濾規則的檢查。電路網關對網絡性能的影響不是很大,中斷了網絡連接,其安全性要比包過濾高。
應用網關:應用網關截獲所有進和出的包,運行代理機制,通過網關來復制和轉發信息,其功能像一個代理服務器,防止任何直接連接出現。應用網關的代理是與具體應用相關的,每一種應用需要一個具體的代理,代理檢查包的所有數據,包括包頭和數據,以及工作在OSI的第七層。由于應用協議規定了所有的規程,因此較為容易設計過濾規則。應用代理要比包過濾更容易配置和管理。通過檢查完整的包,應用網關是目前最安全的防火墻。
狀態檢測包過濾:狀態檢測綜合了很多動態包過濾、電路網關和應用網關的功能。狀態檢測包過濾有一個最基本的功能,即檢查所有開放系統互連(Open System Interconnect,OSI)七層的信息,但主要是工作在網絡層,而且主要是采用動態包過濾的工作模式。狀態檢測包過濾也能像電路網關那樣工作,決定在一個會話中的包是否是正常的。狀態檢測也能作為一個最小化的應用網關,對某些內容進行檢查,但也與應用網關相同,一旦采用這些功能,防火墻的性能也是直線下降。
切換代理:切換代理是動態包過濾和電路網關的一種混合型防火墻。切換代理首先作為一個電路代理來執行RFC(Internet 標準)規定的三次握手和認證要求,然后切換到動態包過濾模式。因此,開始時,切換代理工作在網絡的會話層,在認證完成并建立連接之后,轉到網絡層。因此,切換代理又稱為自適應防火墻,在安全性和效率之間取得了一定程度的平衡。切換代理比傳統的電路網關對網絡性能的影響更小,三次握手檢查機制減小了IP假冒和欺騙的可能性,但是切換代理并沒有中斷網絡連接,因此安全性比電路網關更低,另外,切換代理防火墻的規則也不易設計。
回答所涉及的環境:聯想天逸510S、Windows 10。