詳細信息
當前位置:
首頁>
詳細信息
【網站百科】網絡防火墻很重要!
專欄:行業資訊
發布日期:2020-03-14
閱讀量:2965
作者:
網絡的發展讓人越來越依靠網絡,網絡問題日增越劇,金錢丟失、賬號被盜等等層出不窮,網絡安全越顯重要。網絡安全中的防火墻您了解多少,帶大家認識一下四大防火墻:
應用級網關
應用級網關能夠檢查進出的數據包,是通過網關復制傳遞數據的,防止受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊。它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。在實際工作中,應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟件,使用時工作量大,效率不如網絡級防火墻。 應用級網關有較好的訪問控制,是目前最安全的防火墻技術。
網絡級防火墻
網絡級防火墻一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻,大多數的路由器都能通過檢查這些信息,決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方和去向何處。防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
電路級網關
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前,這就引入了代理服務的概念,即防火墻內外計算機系統應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現,這就成功地實現了防火墻內外計算機系統的隔離。同時,代理服務還可用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。
規則檢查防火墻
該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣,規則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業網絡的安全規則。規則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網關的是,它并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
總結
四大類防火墻技術種類之間各有優勢,在使用中具體要選擇哪種或是否選擇混合使用,需要根據具體需要來決定。
本文由今科科技用戶上傳并發布,今科科技僅提供信息發布平臺。文章代表作者個人觀點,不代表今科科技立場。未經作者許可,不得轉載,有涉嫌抄襲的內容,請通過 反饋中心 進行舉報。
售前咨詢:0760-2332 0168
售后客服:400 830 7686
1998~2024,今科26年專注于企業信息化服務
立 即 注 冊 / 咨 詢
上 線 您 的 網 站 !
