2016-1213

网站防火墙的有哪些种类

返回

  网站防火墙的有哪些种类

 

  1.包过滤。包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一个网络安全保护机制,它用来控制流出和流人网络的数据。包过滤规则以IP信息包为基础,对IP报文中的源地址、IP目标地址、封装协议端口等进行筛选,如果包的出人接口相匹配,并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发,否则该包就会被丢弃。包过滤路由器使得路由器能够根据特定的服务,允许或拒绝流动的数据,因为多数的服务收听者都在已知的端口上,例如Telnet在23号端口,SMTP在25号端口。因此,如果要阻塞所有外部进人Telnet的连接,路由器只需拒绝所有端口号等于23,并且目标地址不等于允许主机的IP地址的数据包。由于包过滤路由器工作在网络层,所以防火墙也分为网络层防火墙和应用层防火墙,也叫代理防火墙。包过滤路由器属于网络层防火墙,而应用层防火墙分为应用层网关和电路层网关。

  包过滤路由器的优点是:路由器的软件中都设置了包过滤的功能,因此无需额外费用;包过滤路由器对于用户和应用透明,甚至用户将没有认识到它的存在;包过滤路由器速度快、效率高。包过滤路由器的缺点是:定义复杂,容易出现因配置不当带来问题;包过滤路由器允许数据包直接在内部网络和外部网络之间通过,容易造成数据驱动式攻击的潜在危险;包过滤路由器不能理解特定服务的上下文环境,相应控制只能在高层由代理服务和应用层网关来完成。

  2.应用层网关。应用层网关是通过在应用网关上安装代理防火墙(Proxy)来实现的,其工作原理。从图中可以看出,代理服务器作为内部网络客户端的服务器,拦截住所有要求,也向客户端转发响应。代理客户(Proxy Client)负责代表内部客户10端口向外部服务器发出请求,当然也向代理服务器转发响应。当某用户(不管是远程的还是本地的)想和一个运行代理的网络建立联系时,此代理(应用层网关)会阻塞这个连接,然后对连接请求的各个域进行检查。如果此连接请求符合预定的安全策略或规则,代理防火墙便会在用户和服务器之间建立一个“桥”,从而保证其通讯。对不符合预定的安全规则的,则阻塞或抛弃。换句话说,“桥”上设置了很多控制。

  应用层网关的优点是能够针对各种服务进行全面的控制;支持可靠的身份认证;提供详细的审计功能和方便的日志分析工具;相对于包过滤路由器来说更易于配置和测试。缺点就是它的非透明性,要求用户改变自己的使用习惯,一般要对用户进行简单的培训。

网站防火墙的有哪些种类

  3.电路层网关。另一种类型的代理技术称为电路层网关(Circuit Gateway)。在电路层网关中,数据包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。电路层网关是建立应用层网关的一个更加灵活和一般化的方法。它只依赖于TCP连接,并不进行附加的包处理和过滤。它就像电线一样,只是在内部连接和外部连接之间来回复制数据。但从外部看,类似于有个防火墙,隐藏了受保护的子网信息。在实际应用中,通常对进人连接的使用应用层网关或代理服务器,而对于出去的连接使用电路层网关。