防火墙的三种分类

James发布于:2021-09-11阅读:0

防火墙的分类

传统防火墙总体上分为数据包过滤、应用级网关和代理服务器几大类型。

数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑 ,被称为访问控制表(Access Control Table)。

通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与互联网连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二:

  1. 非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;

  2. 数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。

过滤规则考虑的因素如下:

  • IP源或目的地址

  • 在IP数据包中协议类型字段:TCP、UDP、ICMP、OSPF等

  • TCP或UDP的源和目的端口

  • TCP标识比特:SYN、ACK等

  • ICMP报文类型

  • 数据包离开和进入网络的不同规则

  • 对不同路由器接口的不同规则

应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。

实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。

一旦满足逻辑,则防火墙内外计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部网络结构和运行状态,这有利于实施非法访问和攻击。

代理服务

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。

它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。

防火墙内外计算机系统间应用层的"链接", 由两个终止代理服务器上的"链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。

此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。

微云网络&网络综合解决方案提供商,助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速海外视频加速海外分支组网,有效提升国际间沟通效率,助力中国企业开拓国际市场。服务热线:400-028-9798,欢迎来电咨询。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/hlw/2819.html

TAG标签:防火墙

上一篇:防火墙工作原理
下一篇:如何理解路由中的IP选路,修改,ICMP重定向差错?

相关文章

返回顶部