趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
防火墻主要有以下三種技術:
包過濾技術:包過濾技術(IP Filtering or packet filtering) 的原理在于利用路由器監視并過濾網絡上流入流出的IP包,拒絕發送可疑的包。由于Internet 與Intranet 的連接多數都要使用路由器,所以Router成為內外通信的必經端口,Router的廠商在Router上加入IP 過濾 功能,過濾路由器也可以稱作包過濾路由器或篩選路由器(Packet FilterRouter)。防火墻常常就是這樣一個具備包過濾功能的簡單路由器,這種Firewall應該是足夠安全的,但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的,因而在安全要求較高的場合,通常還配合使用其它的技術來加強安全性。
應用代理技術:應用代理(Application Proxy)技術是指在web服務器上或某一臺單獨主機上運行代理服務器軟件,對網絡上的信息進行監聽和檢測,并對訪問內網的數據進行過濾,從而起到隔斷內網與外網的直接通信的作用,保護內網不受破壞。在代理方式下,內部網絡的數據包不能直接進入外部網絡,內網用戶對外網的訪問變成代理對外網的訪問。同樣,外部網絡的數據也不能直接進入內網,而是要經過代理的處理之后才能到達內部網絡。所有通信都必須經應用層代理軟件轉發,應用層的協議會話過程必須符合代理的安全策略要求,因此在代理上就可以實現訪問控制、網絡地址轉換(NAT)等功能。
狀態檢測技術:狀態檢測技術是防火墻近幾年才應用的新技術。傳統的包過濾防火墻只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕,而狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息,也可以是其他相關應用程序的信息,因此,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性。
推薦文章
