(1)邏輯區域過濾器,將網路區域分成兩大部分,被防火牆保護的區域—信任區,另外乙個區域為非信任區
(2)隱藏內網網路結構
(3)自身安全保障
(4)主動防禦攻擊
根據訪問控制方式,可以分為包過濾防火牆,**防火牆,狀態監測防火牆,前兩種已經被淘汰,
(1)包過濾防火牆
根據五元組(源目ip 源目埠號 協議),通過在防火牆上配置acl對包進行過濾。
缺點:(a)通過訪問控制列表acl對包進行過濾(軟體過濾),當acl條目數量增多,配置越來越複雜,裝置效能下降。
(b)無法適應多通道協議,acl訪問控制列表是一種靜態的形式,對於ftp這種多通道協議(控制通道和資料通道,資料通道的埠號隨機分配,不固定),無法配置acl
(b)通常不檢查應用層資料,不能有效防範外部攻擊。
(2)**防火牆
**防火牆工作在應用層,檢查來自使用者的請求,是否能夠通過acl訪問規則,如果允許訪問,防火牆與內部伺服器、外部客戶端建立連線,**請求。安全性較包過濾防火牆高,因為會檢查應用資料的載荷。
缺點:(a)通過軟體形式完成對業務報文的處理,處理速度慢。
(b)對應用層資料報進行檢測,需要針對每一種應用層協議開發相應的**,開發和公升級困難。
(3)狀態檢測防火牆
在狀態檢測防火牆中,對會話進行維護和檢測,是對包過濾技術的擴充套件,是基於連線狀態的包過濾。在網路層層面攔截資料報,解析報文頭部,在應用層狀態資訊體現在防火牆上。連線狀態資訊體現在防火牆上就是會話表
優點:處理後續包速度快且安全性高
傳統包過濾技術是對需要**的每乙個資料報,先獲取報頭資訊(五元組),然後和設定的規則進行比較,根據比較結果對資料報進行**或丟棄,當資料流量較大時,會成為網路中資料**的瓶頸。實現包過濾的技術核心是訪問控制列表。當對資料報文與acl進行匹配時,需要上公升到cpu進行處理,軟體方式的處理速度慢,消耗cpu資源。狀態監測機制是對包過濾技術的擴充套件,只對乙個連線的首包進行包過濾檢查,如果首包能夠通過包過濾檢查,並建立相應的會話,那麼對後續的包不再進行過濾規則檢查,而是根據會話表進行**。目前,許多廠商的防火牆可以不止對五元組進行檢測,還可以檢查使用者、應用、時間段等更多的屬性。防火牆安全策略分類(以華為防火牆為例)分為域間策略(預設為deny),域內策略(預設為不檢查域內包)和基於界麵包過濾
在狀態檢測機制中,對首包進行包過濾,非首包,則查詢會話表。
待續。。。
防火牆概述
防火牆是乙個連線兩個或多個網路區域,並且基於策略限制區域間流量的裝置。本質就是在各網路區域之間做監控。fw firewall session link state check 開啟狀態監測功能安全區域 zone 指乙個或多個介面的集合。防火牆通過介面連線各網路裝置來劃分網路,標識報文在網路中的流動方...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
windows防火牆概述
防火牆的作用 控制網路1和網路2之間傳輸的資訊流.所謂控制是指允許網路1與網路2之間傳輸某種型別的資訊流,阻斷另一型別的資訊流網路1與網路2之間的傳輸過程.允許與阻斷操作的依據是為防火牆配置的安全策略.安全的網路系統既要能夠保障正常的資料交換過程,又要能夠阻止用於實施攻擊的資料交換過程 由此出現的防...