摘要:視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報(bào)名時(shí)間9.4.2網(wǎng)絡(luò)防火墻的類型從所采用的技術(shù)上看,防火墻有6種基本類型:濾型、代理服務(wù)器型、電路層網(wǎng)關(guān)、混合型防火墻、應(yīng)用層網(wǎng)關(guān)和自適應(yīng)代理技術(shù)。1.濾型防火墻(PacketFilternrewall)濾型防火墻中的濾器一般安裝在路由器上,工作在網(wǎng)絡(luò)層。它基于單個(gè)包實(shí)施網(wǎng)絡(luò)控制,
在線輔導(dǎo) 面授招生 考試大綱 指定教材 報(bào)名時(shí)間
9.4.2 網(wǎng)絡(luò)防火墻的類型
從所采用的技術(shù)上看,防火墻有6種基本類型:濾型、代理服務(wù)器型、電路層網(wǎng)關(guān)、混合型防火墻、應(yīng)用層網(wǎng)關(guān)和自適應(yīng)代理技術(shù)。
1.濾型防火墻(PacketFilternrewall)
濾型防火墻中的濾器一般安裝在路由器上,工作在網(wǎng)絡(luò)層。它基于單個(gè)包實(shí)施網(wǎng)絡(luò)控制,根據(jù)所收到的數(shù)據(jù)包的源地址、目的地址、TCP/UDP、源端U號(hào)及目的端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù),與用戶預(yù)定的訪問(wèn)控制表進(jìn)行比較,決定數(shù)據(jù)是否符合預(yù)先制定的安全策略,決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄,即實(shí)$信息過(guò)濾。實(shí)際上,它一般容許網(wǎng)絡(luò)內(nèi)部的主機(jī)直接訪問(wèn)外部網(wǎng)絡(luò),而外部網(wǎng)絡(luò)上的主杉W內(nèi)部網(wǎng)絡(luò)的訪問(wèn)則要受到限制。
在互聯(lián)網(wǎng)上提供某些特定服務(wù)的服務(wù)器一般都使用相對(duì)固定的端口號(hào)。因此路由器在設(shè)置濾規(guī)則時(shí)指定:對(duì)于某些端口號(hào)允許數(shù)據(jù)包與該端口交換,或者阻斷數(shù)據(jù)包與它們的連接。
濾型防火墻的優(yōu)點(diǎn)是簡(jiǎn)單、方便、速度快、透明性好,對(duì)網(wǎng)絡(luò)性能影響不大,但它缺乏用戶日志和審計(jì)信息,缺乏用戶認(rèn)證機(jī)制,不具備審核管理,且過(guò)濾規(guī)則的完備性難以得到檢驗(yàn),復(fù)雜過(guò)濾規(guī)則的管理也比較困難。因此,濾性防火墻的安全性較差。
2.代理服務(wù)器型防火墻(ProxyServiceFirewall)
代理服務(wù)器型防火墻通過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序,直接面對(duì)特定的應(yīng)用層服務(wù),因此也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)進(jìn)程,該進(jìn)程代理用戶完成TCP/IP功能,實(shí)際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。對(duì)每種不同的應(yīng)用(如E-mail、FTP、Telnet,WWW等)都有一個(gè)相應(yīng)的代理服務(wù)。外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間想要建立連接,必須先通過(guò)代理服務(wù)器的中間轉(zhuǎn)換,內(nèi)部網(wǎng)絡(luò)只接收代理服務(wù)器提出的要求,拒絕外部網(wǎng)絡(luò)的直接請(qǐng)求。代理服務(wù)可以實(shí)施用戶認(rèn)證、詳細(xì)曰志、審計(jì)跟蹤和數(shù)據(jù)加密等功能和對(duì)具體協(xié)議及應(yīng)用的過(guò)濾,如阻塞java或JavaScript等。
代理服務(wù)器有兩個(gè)部件:一個(gè)代理服務(wù)器和一個(gè)代理客戶。代理服務(wù)器是一個(gè)運(yùn)行代理服務(wù)程序的雙宿主主機(jī):而代理客戶是通客戶程序(如一個(gè)Telnet或FTP客戶)的特別版本,它與代理服務(wù)器交互,而并不與真正的外部服務(wù)器相連。普通客戶按照一定的步驟提出服務(wù)請(qǐng)求,代理服務(wù)器依據(jù)一定的安全規(guī)則來(lái)評(píng)測(cè)代理客戶的網(wǎng)絡(luò)服務(wù)請(qǐng)求,然后決定是支持還是否決該請(qǐng)求。如果代理服務(wù)器支持該請(qǐng)求,代理服務(wù)器就代表客戶與真正的服務(wù)器相連,并將服務(wù)器的相應(yīng)響應(yīng)傳送給代理客戶?史精細(xì)的代理服務(wù)可以對(duì)不同的主機(jī)執(zhí)行不同的安全規(guī)則,而不對(duì)所有主機(jī)執(zhí)行同一個(gè)標(biāo)準(zhǔn)。
代理服務(wù)器型防火墻能完全控制網(wǎng)絡(luò)信息的交換,控制會(huì)話過(guò)程,具有靈活性和安全性,但可能影響M絡(luò)的性能,對(duì)用戶不透明,且對(duì)每一種服務(wù)器都要設(shè)計(jì)一個(gè)代理模塊,建立對(duì)應(yīng)的網(wǎng)關(guān)層,實(shí)現(xiàn)起來(lái)比較復(fù)雜。
返回目錄:通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總
編輯相關(guān)推薦:
互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總
通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總
通信工程師備考資料免費(fèi)領(lǐng)取
去領(lǐng)取
共收錄117.93萬(wàn)道題
已有25.02萬(wàn)小伙伴參與做題