1.包过滤技术(Packet Filter)式防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤
逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所
使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上,所有
往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的 IP 地址和
接收者的 IP 地址。当这些包被送上互联网时,路由器会读取接收者的 IP 并选择一
条物理上的线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达
后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的 IP 地
址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一 IP 为
危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很
多,比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国
有关规定或者“有问题”的国外站点。 包过滤路由器的最大的优点就是它对
于用户来说是透明的,也就是说不需要用户名和密码来登录。这种防火墙速度快而
且易于维护,通常做为第一道防线。包过滤路由器的弊端也是很明显的,通常它没
有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单
纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常
用的一种攻击手段,黑客们对包过滤式防火墙发出一系列信息包,不过这些包中的
IP 地址已经被替换掉了,取而代之的是一串顺序的 IP 地址。一旦有一个包通过了
防火墙,黑客便可以用这个 IP 地址来伪装他们发出的信息。通常它没有用户的使
用记录,这样我们就不能从访问记录中发现黑客的攻击记录;此外,配置繁琐也是
包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问,却不能
记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不
能鉴别不同的用户和防止 ip 地址盗用。所以说包过滤型防火墙是某种意义上的安
全系统。
2.代理服务式防火墙
代理服务是另一种类型的防火墙,它通常是一个软件模块,运行在一台主机
上。代理服务器与路由器的合作,路由器实现内部和外部网络交互时的信息流导
向,将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层,其特
点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现
监视和控制应用层通信流的作用。代理服务的实质是中介作用,它不允许内部网和
外部网之间进行直接的通信。
用户希望访问内部网某个应用服务器时,实际上是向运行在防火墙上的代理服
务软件提出请求,建立连接;理服务器代表它向要访问的应用系统提出请求,建立
连接;应用系统给予代理服务器响应;代理服务器给予外部网用户以响应。外部网用
户与应用服务器之间的数据传输全部由代理服务器中转,外部网用户无法直接与应
用服务器交互,避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务
而言的,不同的应用服务可以设置不同的代理服务器。 目前,很多内部网络都同
时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的
效果。
3.地址迁移式防火墙
由于多种原因,IPv4 地址逐步面临耗尽的危机,而 Ipv6 的实际应用还有待时
日。随着企业上网的人数增多,企业获得的公共 IP 地址(称全局 IP 地址,或者实
际 IP 地址)可能难以和企业上网的实际设备数目匹配,这种现象具有加剧的倾
向。 一种可能的解决方案是为每个企业分配若干个全局 IP 地址,企业网内部使用
自定义的 IP 地址(称为本地 IP 地址或者虚拟 IP 地址)。 当内外用户希望相互访
问时,专门的路由器(NAT 路由器)负责全局/本地 IP 地址的映射。NAT 路由器位
于不同地址域的边界处,通过保留部分全局 IP 地址的分配权来支持 IP 数据报的跨
网传输。其工作原理:(1)地址绑定(静态或者动态的建立本地/全局地址的映射关
系);(2)地址查找和转换(对数据报中的相关地址信息进行修改);(3)地址解绑定
(释放全局地址)。
扫一扫
2085
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
