防火墙技术浅析
防火墙概念作为现代技术层面上非常好的一个网络安全屏障,防火墙是由硬件和软件设备组合而成的,人们往往将其设置在受保护的网络和外部网络之间从而可以实现对网络的保护。在设计防火墙系统的过程中,阻塞点
防火墙概念
作为现代技术层面上非常好的一个网络安全屏障,防火墙是由硬件和软件设备组合而成的,人们往往将其设置在受保护的网络和外部网络之间从而可以实现对网络的保护。在设计防火墙系统的过程中,阻塞点、最小特权、故障安全状态、纵深防御、最薄弱的环节简化等原则是我们一定要遵循的。
2 防火墙的分类及其优缺点
2.1包过滤防火墙
包过滤防火墙可以对经过网络的包的包头进行查询,从而决定包的未来定向。通过包过滤防火墙,有些包被丢弃,有些包经过,有些包被用来进行其它的处理。
包过滤防火墙具有以下优点:所有经过的网络数据包都会由其实现低层次的控制;每个IP数据包都进行领域检查;如果经过网络的包带有欺骗性源IP地址的,那么它就会被防火墙识别并丢弃;为了实现两个网络之间进行访问,我们必须经由包过滤防火墙;路由器数据包中通常包含包过滤,所以不需要另外添加系统进行处理。
包过滤防火墙有以下缺点:很难进行配置,因为包过滤防火墙具有复杂性的特性,可能导致一些必要规则的建立被人忘记,也可能导致不能正确的进行配置;人们可能会使用其他的一些方法使得防火墙不能察觉。
2.2状态/动态检测防火墙
状态/动态检测防火墙通过试图跟踪通过防火墙的网络连接和数据包,从而使防火墙使用一个额外的准则,以确定是否允许和拒绝通信。
状态/动态检测防火墙有以下优点:它基于遵守包中信息过滤规则,并检测IP数据包的所有字段;确定源IP地址伪造数据包的能力:根据应用程序信息并推断出该包所处的状态信息;记录所有通过网络的包的信息。
状态/动态检测防火墙有以下缺点:记录的所有的信息,测试和分析可能导致的网络延时,在同一时间,如果有很多连接在被使用,或网络中正在运行大流量的软件的时候会显得更加明易。
2.3应用程序代理防火墙
应用代理防火墙可以接受来自内部网络特定的用户应用程序的通信,然后创建一个单独的Web服务器的公共访问。由于内网用户不能实现与外部服务器的直接通信,使得所有的内部网络均拒绝服务器的访问。
应用程序代理防火墙有以下优点:指定连接控制;通过对某些协议请求的蔓延,减少不必要的网络服务;代理防火墙的大部分记录,包括地址和时间的连接。
应用代理防火墙有以下缺点:用户的系统的设定有特定的范围,这根据应用程序的不同而有所不同;在网络中某些部位根本不支持代理连接的使用。
2.4 NAT
NAT是经常用于居民区、小型会议室的协议,通过NAT协议内部网络的多个IP地址可以被转换到一个大家都知道的地址并转发到Internet上。
NAT有如下优点:外界没有任何途径可以获得任何内部人的IP地址;当公共IP地址资源不足时,通过NAT的使用,只需要一个单独的IP地址即可实现所有的访问;如果所有传入的数据包没有特定的NAT的话,就会将其丢弃,在这种情况下,它可以实现对基本的包过滤防火墙安全机制的启用。
NAT有如下缺点:虽然它在一定程度上起到保护内部网络的安全的目的,但它也有很多局限,如果内部网络的木马使用一些外部连接做NAT,那么它就会非常容易的实现对防火墙的穿越。
2.5个人防火墙
个人防火墙可以运行在用户的计算机上,用于保护个人电脑系统的安全,它和状态/动态检测防火墙使用相似的方法来保护电脑免受攻击。
个人防火墙有如下优点:提高了保护水平,从而节约了设备;外部攻击和内部攻击都很攻克个人防火墙;由于个人防火墙的使用,使得公共网络系统中的单一系统得到了相应的保护。个人防火墙有如下缺点:个人防火墙的主要缺点是只有一个外网可以连接的接口,这使得个人防火墙本身可能是脆弱的。
3 防火墙技术
3.1包过滤技术
包过滤技术是网络监控和过滤的IP数据包流入和流出的原则,不执行对可疑包的发送。根据不同协议的要求,路由器在端口对数据包进行归类和划分的能力被称为包过滤。由于因特网和内联网的大部分连接使用路由器作必要的内部和外部的通讯端口,所以路由器生产厂商在路由器的基础上额外使其增加了IP过滤功能,我们把这种路由器也称为数据包过滤或筛选路由器。通常情况下,我们使用的防火墙就是这样一种简单的可以过滤包的路由器,只要配置合理,还是相对比较安全的。
作为现代技术层面上非常好的一个网络安全屏障,防火墙是由硬件和软件设备组合而成的,人们往往将其设置在受保护的网络和外部网络之间从而可以实现对网络的保护。在设计防火墙系统的过程中,阻塞点、最小特权、故障安全状态、纵深防御、最薄弱的环节简化等原则是我们一定要遵循的。
2 防火墙的分类及其优缺点
2.1包过滤防火墙
包过滤防火墙可以对经过网络的包的包头进行查询,从而决定包的未来定向。通过包过滤防火墙,有些包被丢弃,有些包经过,有些包被用来进行其它的处理。
包过滤防火墙具有以下优点:所有经过的网络数据包都会由其实现低层次的控制;每个IP数据包都进行领域检查;如果经过网络的包带有欺骗性源IP地址的,那么它就会被防火墙识别并丢弃;为了实现两个网络之间进行访问,我们必须经由包过滤防火墙;路由器数据包中通常包含包过滤,所以不需要另外添加系统进行处理。
包过滤防火墙有以下缺点:很难进行配置,因为包过滤防火墙具有复杂性的特性,可能导致一些必要规则的建立被人忘记,也可能导致不能正确的进行配置;人们可能会使用其他的一些方法使得防火墙不能察觉。
2.2状态/动态检测防火墙
状态/动态检测防火墙通过试图跟踪通过防火墙的网络连接和数据包,从而使防火墙使用一个额外的准则,以确定是否允许和拒绝通信。
状态/动态检测防火墙有以下优点:它基于遵守包中信息过滤规则,并检测IP数据包的所有字段;确定源IP地址伪造数据包的能力:根据应用程序信息并推断出该包所处的状态信息;记录所有通过网络的包的信息。
状态/动态检测防火墙有以下缺点:记录的所有的信息,测试和分析可能导致的网络延时,在同一时间,如果有很多连接在被使用,或网络中正在运行大流量的软件的时候会显得更加明易。
2.3应用程序代理防火墙
应用代理防火墙可以接受来自内部网络特定的用户应用程序的通信,然后创建一个单独的Web服务器的公共访问。由于内网用户不能实现与外部服务器的直接通信,使得所有的内部网络均拒绝服务器的访问。
应用程序代理防火墙有以下优点:指定连接控制;通过对某些协议请求的蔓延,减少不必要的网络服务;代理防火墙的大部分记录,包括地址和时间的连接。
应用代理防火墙有以下缺点:用户的系统的设定有特定的范围,这根据应用程序的不同而有所不同;在网络中某些部位根本不支持代理连接的使用。
2.4 NAT
NAT是经常用于居民区、小型会议室的协议,通过NAT协议内部网络的多个IP地址可以被转换到一个大家都知道的地址并转发到Internet上。
NAT有如下优点:外界没有任何途径可以获得任何内部人的IP地址;当公共IP地址资源不足时,通过NAT的使用,只需要一个单独的IP地址即可实现所有的访问;如果所有传入的数据包没有特定的NAT的话,就会将其丢弃,在这种情况下,它可以实现对基本的包过滤防火墙安全机制的启用。
NAT有如下缺点:虽然它在一定程度上起到保护内部网络的安全的目的,但它也有很多局限,如果内部网络的木马使用一些外部连接做NAT,那么它就会非常容易的实现对防火墙的穿越。
2.5个人防火墙
个人防火墙可以运行在用户的计算机上,用于保护个人电脑系统的安全,它和状态/动态检测防火墙使用相似的方法来保护电脑免受攻击。
个人防火墙有如下优点:提高了保护水平,从而节约了设备;外部攻击和内部攻击都很攻克个人防火墙;由于个人防火墙的使用,使得公共网络系统中的单一系统得到了相应的保护。个人防火墙有如下缺点:个人防火墙的主要缺点是只有一个外网可以连接的接口,这使得个人防火墙本身可能是脆弱的。
3 防火墙技术
3.1包过滤技术
包过滤技术是网络监控和过滤的IP数据包流入和流出的原则,不执行对可疑包的发送。根据不同协议的要求,路由器在端口对数据包进行归类和划分的能力被称为包过滤。由于因特网和内联网的大部分连接使用路由器作必要的内部和外部的通讯端口,所以路由器生产厂商在路由器的基础上额外使其增加了IP过滤功能,我们把这种路由器也称为数据包过滤或筛选路由器。通常情况下,我们使用的防火墙就是这样一种简单的可以过滤包的路由器,只要配置合理,还是相对比较安全的。
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络
