-
让品牌有温度、有情感
专注品牌策划15年
3、防火墙基本技术
防火墙技术主要包括(防火墙技术主要包括什么和什么两种)
发布时间:2023-03-08 21:35:26
稿源:
创意岭 阅读:
834
问大家
大家好!今天让创意岭的小编来大家介绍下关于防火墙技术主要包括的问题,以下是小编对此问题的归纳整理,让我们一起来看看吧。
创意岭作为行业内优秀的企业,服务客户遍布全球各地,相关业务请拨打电话:175-8598-2043,或添加微信:1454722008
本文目录:
一、防火墙技术有哪些?
1) 最小特权
最小特权原则是指一个对象应该只拥有为执行其分配的任务所必要的最小特权并且绝不超越此限。最小特权是最基本的保安原则。对任一对象指程序、人、路由器或者任何事物,应该只给它需要履行某些特定任务的那些特权而不是更多。
2) 纵深防御
纵深防御的原则是另一重要原则。纵深防御是指不能只依赖单一安全机制,应该建立多种机制,互相支撑以达到比较满意的目的。
3) 阻塞点
阻塞点就是设置一个窄道,在那里可以对攻击者进行监视和控制
4) 最薄弱链接
对于最薄弱链接,解决的方法在于那段链接尽量坚固并在发生危险前保持强度的均衡性。
5) 失效保护状态
失效保护是说如果系统运行错误,那么它们发生故障时会拒绝侵略者访问,更不用说让侵略者进来了。除非纠错之后,这种故障可能也会导致合法用户无法使用。
6) 普遍参与
为了安全机制更有效,绝大部分安全保护系统要求站点人员普遍参与(或至少没有反对者)。一个站点的安全系统要靠全体人员的努力。
7) 防御多样化
通过大量不同类型的系统得到额外的安全保护。
8) 简单化
让事情简单使它们易于理解,复杂化会为所有类型的事情提供隐藏的角落和缝隙。
二、防火墙技术分为两类?
分为“包过滤型”和“应用代理型”两大类包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
三、防火墙基本技术
防火墙的基本技术
防火墙是在对网络的服务功能和拓扑结构详细分析的基础上,在被保护对象周围通过的专用软件、硬件以及
管理措施的综合,对跨越网络边界的信息进行监测、控制甚至修改的设施。目前使用的防火墙技术主要有包过滤
和代理服务技术等,用这些技术可以分别做成具有不同功能的防火墙部件。
⒈包过滤技术
包过滤(Packet Filtering)技术就是在网络的适当位置对数据包进行审查,审查的依据是系统内设置的过滤
逻辑——访问控制表(Access Control table)。包过滤器逐一审查每份数据包并判断它是否与包过滤规则相匹配。
过滤规则以顺行处理数据包头信息为基础,即通过对IP包头和TCP包头或UDP包头的检查而实现。包过滤工作在网
络层,故也称网络防火墙。
在Internet技术中还使用内容过滤技术,担任内容过滤的软件有“黑名单”软件、“白名单”软件和内容选
择平台(Platform for Internet Content Selection,PICS)。
“黑名单”软件是第一代Internet内容过滤软件,其工作原理是封锁住不应检索的网址。其中最有名的是(Cyber
NOT,它记录了大约7000个网址。“白名单”软件是第二代Internet内容过滤软件,其工作原理是先封锁全部网址,
然后只开放应检索的网址。
PICS是由麻省理工学院计算机科学实验室的Jim Miller教授开发的第三代Internet内容过滤软件。它的主要工
作是对每一个网页的内容进行分类,并根据内容加上标签,同时由计算机软件对网页的标签进行检测,以限制对特
定内容网页的检索。
数据包过滤防火墙网络逻辑简单、性能和透明性好,一般安装在路由器上。路由器是内部网络与Internet连接
的必要设备是一种天然的防火墙,它可以决定对到来的数据包是否进行转发。这种防火墙实现方式相当简捷,效率
较高,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无
法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,
骗过包过滤型防火墙,一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击。进一步说,由于数据包的源地址、
目标地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒;并且它缺乏用户日志(Log)和审计 (Audit)信
息,不具备登录和报告性能,不能进行审核管理,因而过滤规则的完整性难以验证,所以安全性较差。
⒉代理服务技术
⑴代理服务概述
代理服务器(Proxy Server)是位于两个网络(如Internet和Intranet)之间的一种常见服务器,如果把网络防火墙
比做门卫,代理服务器就好比是接待室。门卫只根据证件决定来访者是否可以进入,而接待室在内部人员与来访者之
间真正隔起一道屏障,它位于客户机与服务器之间,完全阻挡了二者间的数据交流。其特别之处就在于它的双重角色,
从客户机来看,它相当于一台真正的服务器;而从服务器来看,它又是一台真正的客户机。当客户机需要使用服务
器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务
器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企
业内部网络系统。
代理服务技术可以运用于应用层,也可以运用于传输层。运用于应用层的代理服务与过滤路由器组合的防火墙,
被称为应用层网关,它们是面对不同的应用的。运用于传输层的代理服务防火墙,实际上是TCP/UDP连接中继服务。
⑵代理服务器的工作原理
图8-9所示表明了代理服务器(应用网关)的工作原理。
①代理服务器运行后,它的核心部件——应用代理程序启动,并开始监听某个应用端口(这个应用端口是由安全管
理员设定的);
②外部客户需要访问内部服务器时,发送请求到对应的应用端口;
③代理服务器将请求转发给内部服务器;
④服务器的应答也通过代理服务器发给外部客户。
一旦应用代理程序与服务器之间的连接建立,也就在客户与服务器之间建立了一个虚连接,这个虚连接是由两
条虚连接(客户端到代理服务器的客户连接和代理服务器到服务器的服务器连接)和代理服务器(应用代理程序)的
中转实现。
图8-9代理服务器工作原理
⑶应用代理程序
应用代理程序是代理服务器的核心部件。对于应用网关来说,应用代理程序是根据不同的应用协议进行设计的,
根据所代理的应用协议,应用网关可以分为FTP网关、Telnet网关、Web网关等,它们各有对应的应用代理程序。
⑷代理服务器的功能
①中转数据。
②对传输的数据进行预处理常见的有地址过滤、关键字过滤和协议过滤。
③对中转数据提供详细的日志和审计。
④节省IP地址。使用网络地址转换服务(Network Address Translation,NAT),可以屏蔽内部网络的IP地址,使所
有用户对外只用一个IP地址,但这也给黑客留下了隐藏自己真实的IP地址,而逃避监视的隐患。
⑤节省网络资源。代理服务常常设置一个较大的硬盘存储空间,用于存放通过的信息,当内部用户再访问相同的信
息时,就可以直接从缓冲区中读取。
代理服务的隔离作用强,具有对过往的数据包进行分析监控、注册登记、过滤、记录和报告等功能,可以针对
应用层进行侦测和扫描,当发现被攻击迹象时会向网络管理员发出警报,并能保留攻击痕迹,因此,具有比包过滤
更强的防火墙功能。它的缺点是必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复
杂性。
⒊堡垒主机
运行防火墙软件(例如运行应用代理程序)的主机称为堡垒主机。堡垒主机是防火墙最关键的部件,也是入侵者
最关注的部件,因此它必须健壮,必须不容易被攻破。
四、防火墙包括哪些类型?
目前防火墙产品非常之多,划分的标准也比较杂。
主要分类如下:
1.
从软、硬件形式上分为
软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为
“包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为
<
单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4.
按防火墙的应用部署位置分为
边界防火墙、个人防火墙和混合防火墙三大类。
5.
按防火墙性能分为
百兆级防火墙和千兆级防火墙两类。
以上就是关于防火墙技术主要包括相关问题的回答。希望能帮到你,如有更多相关问题,您也可以联系我们的客服进行咨询,客服也会为您讲解更多精彩的知识和内容。
推荐阅读:
建立网络防火墙的安全准则包括(建立网络防火墙的安全准则包括什么)
赣公网安备 50019002502384号
