我們都知道除了從結(jié)構(gòu)上可以把服務(wù)器防火墻分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類。一個防火墻的實(shí)現(xiàn)過程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。
我們都知道除了從結(jié)構(gòu)上可以把服務(wù)器防火墻分為軟件防火墻和硬件防火墻以外,還可以從技術(shù)上分為“包過濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類。一個防火墻的實(shí)現(xiàn)過程多么復(fù)雜,歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。
1. 包過濾型
包過濾是最早使用的一種防火墻技術(shù),它的第一代模型是靜態(tài)包過濾,工作在OSI模型中的網(wǎng)絡(luò)層上,之后發(fā)展出來的動態(tài)包過濾則是工作在OSI模型的傳輸層上。包過濾防火墻工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報文進(jìn)出的通道,它把這網(wǎng)絡(luò)層和傳輸層作為數(shù)據(jù)監(jiān)控的對象,對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析,并與預(yù)先設(shè)定好的防火墻過濾規(guī)則進(jìn)行核對,一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候,這個包就會被丟棄。
基于包過濾技術(shù)的防火墻的優(yōu)點(diǎn)是對于小型的、不太復(fù)雜的站點(diǎn),比較容易實(shí)現(xiàn)。但是其缺點(diǎn)是很顯著的,首先面對大型的,復(fù)雜站點(diǎn)包過濾的規(guī)則表很快會變得很大而且復(fù)雜,規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。其次是這種防火墻依賴于一個單一的部件來保護(hù)系統(tǒng)。如果這個部件出現(xiàn)了問題,或者外部用戶被允許訪問內(nèi)部主機(jī),則它就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)。
2. 應(yīng)用代理型
應(yīng)用代理防火墻,實(shí)際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器,但是它并不是單純的在一個代理設(shè)備中嵌入包過濾技術(shù),而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)。應(yīng)用代理防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的,實(shí)時的監(jiān)測,能夠有效地判斷出各層中的非法侵入。同時,這種防火墻一般還帶有分布式探測器, 能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。
應(yīng)用代理型防火墻基于代理技術(shù),通過防火墻的每個連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上,而代理進(jìn)程自身是要消耗一定時間,于是數(shù)據(jù)在通過代理防火墻時就不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象,代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能。
3. 狀態(tài)監(jiān)視型
這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊,在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實(shí)行監(jiān)測,并根據(jù)各種過濾規(guī)則作出安全決策。狀態(tài)監(jiān)視可以對包內(nèi)容進(jìn)行分析,從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點(diǎn),而且這種防火墻不必開放過多端口,進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來的安全隱患。
以上就是服務(wù)器防火墻的三種類別。
上一篇:服務(wù)器管理的方法
下一篇:服務(wù)器防火墻的分類
免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)送郵件至:operations@xinnet.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。