1樓:哆啦a夢是夢想家
從實現原理上分,防火牆的技術包括四大類:網路級防火牆、應用級閘道器、電路級閘道器和規則檢查防火牆。
1、網路級防火牆
一般是基於源地址和目的地址、應用、協議以及每個ip包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的資訊與某規則相符。
如果沒有一條規則能符合,防火牆就會使用預設規則,一般情況下,預設規則就是要求防火牆丟棄該包。通過定義基於tcp或udp資料包的埠號,防火牆能夠判斷是否允許建立特定的連線,如tel***、ftp連線。
2、應用級閘道器
應用級閘道器能夠檢查進出的資料包,通過閘道器複製傳遞資料,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用級閘道器能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。
它針對特別的網路應用服務協議即資料過濾協議,並且能夠對資料包分析並形成相關的報告。應用閘道器對某些易於登入和控制所有輸出輸入的通訊的環境給予嚴格的控制,以防有價值的程式和資料被竊取。
3、電路級閘道器
電路級閘道器用來監控受信任的客戶或伺服器與不受信任的主機間的tcp握手資訊,這樣來決定該會話是否合法,電路級閘道器是在osi模型中會話層上來過濾資料包,這樣比包過濾防火牆要高二層。
電路級閘道器**伺服器功能,**伺服器是設定在inter***防火牆閘道器的專用應用級**。這種**服務准許網管員允許或拒絕特定的應用程式或一個應用的特定功能。包過濾技術和應用閘道器是通過特定的邏輯判斷來決定是否允許特定的資料包通過,成功地實現了防火牆內外計算機系統的隔離。
4、規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級閘道器和應用級閘道器的特點。能夠在osi網路層上通過ip地址和埠號,過濾進出的資料包,也能夠檢查syn和ack標記和序列數字是否邏輯有序。當然它也象應用級閘道器一樣,可以在osi應用層上檢查資料包的內容,檢視這些內容是否能符合企業網路的安全規則。
規則檢查防火牆雖然整合前三者的特點,但是不同於一個應用級閘道器的是,它並不打破客戶機/伺服器模式來分析應用層的資料,它允許受信任的客戶機和不受信任的主機建立直接連線。規則檢查防火牆不依靠與應用層有關的**,而是依靠某種演算法來識別進出的應用層資料。
擴充套件資料
應用防火牆技術考慮以下方面:
1、防火牆是不能防病毒的。
2、防火牆技術的另外一個弱點在於資料在防火牆之間的更新是一個難題,如果延遲太大將無法支援實時服務請求。
防火牆採用濾波技術,濾波通常使網路的效能降低50%以上,如果為了改善網路效能而購置高速路由器,又會大大提高經濟預算。
防火牆是企業網安全問題的常用方案,即把公共資料和服務置於防火牆外,使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術,防火牆具有簡單實用的特點,並且透明度高,可以在不修改原有網路應用系統的情況下達到一定的安全要求。
2樓:雲端科技
如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆以及晶片級防火牆。
第一種:軟體防火牆
軟體防火牆執行於特定的計算機上,它需要客戶預先安裝好的計算機作業系統的支援,一般來說這臺計算機就是整個網路的閘道器。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。
防火牆廠商中做網路版軟體防火牆最出名的莫過於checkpoint。使用這類防火牆,需要網管對所工作的作業系統平臺比較熟悉。
第二種:硬體防火牆
這裡說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二字是針對晶片級防火牆說的了。它們最大的差別在於是否基於專用的硬體平臺。
目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於pc架構,就是說,它們和普通的家庭用的pc沒有太大區別。在這些pc架構計算機上執行一些經過裁剪和簡化的作業系統,最常用的有老版本的unix、linux和freebsd系統。 值得注意的是,由於此類防火牆採用的依然是別人的核心,因此依然會受到os(作業系統)本身的安全性影響。
傳統硬體防火牆一般至少應具備三個埠,分別接內網,外網和dmz區(非軍事化區),現在一些新的硬體防火牆往往擴充套件了埠,常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴充套件埠數目。
第三種:晶片級防火牆
晶片級防火牆基於專門的硬體平臺,沒有作業系統。專有的asic晶片促使它們比其他種類的防火牆速度更快,處理能力更強,效能更高。做這類防火牆最出名的廠商有***screen、forti***、cisco等。
這類防火牆由於是專用os(作業系統),因此防火牆本身的漏洞比較少,不過**相對比較高昂。
防火牆技術雖然出現了許多,但總體來講可分為「包過濾型」和「應用**型」兩大類。前者以以色列的checkpoint防火牆和美國cisco公司的pix防火牆為代表,後者以美國nai公司的gauntlet防火牆為代表。
3樓:蟹甲歸儂
從實現原理上分,防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級閘道器、電路級閘道器和規則檢查防火牆。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。
網路級防火牆
一般是基於源地址和目的地址、應用、協議以及每個ip包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些資訊來決定是否將所收到的包**,但它不能判斷出一個ip包來自何方,去向何處。防火牆檢查每一條規則直至發現包中的資訊與某規則相符。
如果沒有一條規則能符合,防火牆就會使用預設規則,一般情況下,預設規則就是要求防火牆丟棄該包。其次,通過定義基於tcp或udp資料包的埠號,防火牆能夠判斷是否允許建立特定的連線,如tel***、ftp連線。
應用級閘道器
應用級閘道器能夠檢查進出的資料包,通過閘道器複製傳遞資料,防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用級閘道器能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。它針對特別的網路應用服務協議即資料過濾協議,並且能夠對資料包分析並形成相關的報告。
應用閘道器對某些易於登入和控制所有輸出輸入的通訊的環境給予嚴格的控制,以防有價值的程式和資料被竊取。 在實際工作中,應用閘道器一般由專用工作站系統來完成。但每一種協議需要相應的**軟體,使用時工作量大,效率不如網路級防火牆。
應用級閘道器有較好的訪問控制,是最安全的防火牆技術,但實現困難,而且有的應用級閘道器缺乏「透明度」。在實際使用中,使用者在受信任的網路上通過防火牆訪問inter***時,經常會發現存在延遲並且必須進行多次登入(login)才能訪問inter***或intra***。
電路級閘道器
電路級閘道器用來監控受信任的客戶或伺服器與不受信任的主機間的tcp握手資訊,這樣來決定該會話(session)是否合法,電路級閘道器是在osi模型中會話層上來過濾資料包,這樣比包過濾防火牆要高二層。電路級閘道器還提供一個重要的安全功能:**伺服器(proxy server)。
**伺服器是設定在inter***防火牆閘道器的專用應用級**。這種**服務准許網管員允許或拒絕特定的應用程式或一個應用的特定功能。包過濾技術和應用閘道器是通過特定的邏輯判斷來決定是否允許特定的資料包通過,一旦判斷條件滿足,防火牆內部網路的結構和執行狀態便「暴露」在外來使用者面前,這就引入了**服務的概念,即防火牆內外計算機系統應用層的「連結」由兩個終止於**服務的「連結」來實現,這就成功地實現了防火牆內外計算機系統的隔離。
同時,**服務還可用於實施較強的資料流監控、過濾、記錄和報告等功能。**服務技術主要通過專用計算機硬體(如工作站)來承擔。
規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級閘道器和應用級閘道器的特點。它同包過濾防火牆一樣,規則檢查防火牆能夠在osi網路層上通過ip地址和埠號,過濾進出的資料包。它也象電路級閘道器一樣,能夠檢查syn和ack標記和序列數字是否邏輯有序。
當然它也象應用級閘道器一樣,可以在osi應用層上檢查資料包的內容,檢視這些內容是否能符合企業網路的安全規則。規則檢查防火牆雖然整合前三者的特點,但是不同於一個應用級閘道器的是,它並不打破客戶機/伺服器模式來分析應用層的資料,它允許受信任的客戶機和不受信任的主機建立直接連線。規則檢查防火牆不依靠與應用層有關的**,而是依靠某種演算法來識別進出的應用層資料,這些演算法通過已知合法資料包的模式來比較進出資料包,這樣從理論上就能比應用級**在過濾資料包上更有效。
4樓:射手修學菩提
防火牆採用的主要技術包括以下幾種。 1.包過濾技術 其原理在於監視並過濾網路上流入流出的包,拒絕傳送那些可疑的包。
由於包過濾技術無法有效地區分相同ip地址的不同使用者,安全性相對較差。 2.**服務技術 其原理是在閘道器計算機上執行應用**程式,執行時由兩部分連線構成:
一部分是應用閘道器同內部網使用者計算機建立的連線,另一部分是代替原來的客戶程式與伺服器建立的連線。通過**服務,內部網使用者可以通過應用閘道器安全地使用inter***服務,而對於非法使用者的請求將予拒絕。**服務技術與包過濾技術不同之處,在於內部網和外部網之間不存在直接連線,同時提供審計和日誌服務。
3.網路地址轉換技術 其原理如同**交換總機,當不同的內部網路使用者向外連線時,使用相同的ip地址(總機號碼);內部網路使用者互相通訊時則使用內部ip地址(分機號碼)。內部網路對外部網路來說是不可見的,防火牆能詳盡記錄每一個內部網計算機的通訊,確保每個資料包的正確傳送。
4.虛擬專用網vpn技術 虛擬專用網(vpn)是區域網在廣域網上的擴充套件,是專用計算機網路在inter***上的延伸。vpn通過專用隧道技術在公共網路上**一條點到點的專線,實現安全的資訊傳輸。
雖然vpn不是真正的專用網路,但卻能夠實現專用網路的功能。 5.審計技術通過對網路上發生的各種訪問過程進行記錄和產生日誌,並對日誌進行統計處理,從而對網路資源的使用情況進行分析,對異常現象進行追蹤監視。
6.資訊加密技術 加密路由器對路由的資訊進行加密處理,然後通過inter***傳輸到目的端進行解密。
防火牆有哪幾種,防火牆技術有哪些
防火牆技術有哪些?1 最小特權。最小特權原則是指一個物件應該只擁有為執行其分配的任務所必要的最小特權並且絕不超越此限。最小特權是最基本的保安原則。對任一物件指程式 人 路由器或者任何事物,應該只給它需要履行某些特定任務的那些特權而不是更多。2 縱深防禦。縱深防禦的原則是另一重要原則。縱深防禦是指不能...
什麼是防火牆,什麼是防火牆?防火牆有哪些主要功能
所謂防火牆指的是一個由軟體和硬體裝置組合而成 在內部網和外部網之間 專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使internet與intranet之間建立起一個安全閘道器,從而保護內部網免受非法使用者的侵入,防火牆主要由服務訪問規則 驗...
防火牆有哪些功能特點,防火牆的優點,缺點,功能
防火牆能幫你擋住木馬 防火牆的優點,缺點,功能 防火牆的功能 防火牆是網路安全的屏障 一個防火牆 作為阻塞點 控制點 能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的nfs...