第一代:靜態包過濾
這種型別的防火牆根據定義好的過濾規則審查每個資料報,以便確定其是否與某一條包過濾規則匹配。過濾規則基於資料報的報頭資訊進行制訂。報頭資訊中包括ip源位址、ip目標位址、傳輸協議(tcp、udp、icmp等等)、tcp/udp目標埠、icmp訊息型別等。包過濾型別的防火牆要遵循的一條基本原則是「最小特權原則」,即明確允許那些管理員希望通過的資料報,禁止其他的資料報。
第二代:動態包過濾
這種型別的防火牆採用動態設定包過濾規則的方法,避免了靜態包過濾所具有的問題。這種技術後來發展成為所謂包狀態監測(stateful inspection)技術。採用這種技術的防火牆對通過其建立的每乙個連線都進行跟蹤,並且根據需要可動態地在過濾規則中增加或更改條目。
第三代:**防火牆
所謂**伺服器,是指代表客戶處理在伺服器連線請求的程式。當**伺服器得到乙個客戶的連線意圖時,它們將核實客戶請求,並經過特定的安全化的proxy應用程式處理連線請求,將處理後的請求傳遞到真實的伺服器上,然後接受伺服器應答,並做進一步處理後,將答覆交給發出請求的最終客戶。**伺服器在外部網路向內部網路申請服務時發揮了中間轉接的作用。
**型別防火牆的最突出的優點就是安全。由於每乙個內外網路之間的連線都要通過proxy的介入和轉換,通過專門為特定的服務如http編寫的安全化的應用程式進行處理,然後由防火牆本身提交請求和應答,沒有給內外網路的計算機以任何直接會話的機會,從而避免了入侵者使用資料驅動型別的攻擊方式入侵內部網。包過濾型別的防火牆是很難徹底避免這一漏洞的。就像你要向乙個陌生的重要人物遞交乙份宣告一樣,如果你先將這份宣告交給你的律師,然後律師就會審查你的宣告,確認沒有什麼負面的影響後才由他交給那個陌生人。在此期間,陌生人對你的存在一無所知,如果要對你進行侵犯,他面對的將是你的律師,而你的律師當然比你更加清楚該如何對付這種人。
**防火牆的最大缺點就是速度相對比較慢,當使用者對內外網路閘道器的吞吐量要求比較高時,(比如要求達到75-100mbps時)**防火牆就會成為內外網路之間的瓶頸。所幸的是,目前使用者接入inter***的速度一般都遠低於這個數字。在現實環境中,要考慮使用包過濾型別防火牆來滿足速度要求的情況,大部分是高速網(atm或千兆位乙太網等)之間的防火牆。
***:自適應**防火牆
自適應**技術(adaptive proxy)是最近在商業應用防火牆中實現的一種革命性的技術。它可以結合**型別防火牆的安全性和包過濾防火牆的高速度等優點,在毫不損失安全性的基礎之上將**型防火牆的效能提高10倍以上。組成這種型別防火牆的基本要素有兩個:自適應**伺服器(adaptive proxy server)與動態包過濾器(dynamic packet filter)。
在自適應**與動態包過濾器之間存在乙個控制通道。在對防火牆進行配置時,使用者僅僅將所需要的服務型別、安全級別等資訊通過相應proxy的管理介面進行設定就可以了。然後,自適應**就可以根據使用者的配置資訊,決定是使用**服務從應用層**請求還是從網路層**包。如果是後者,它將動態地通知包過濾
器增減過濾規則,滿足使用者對速度和安全性的雙重要求。
防火牆的原理
防火牆 防火牆的一些專業術語 原ip位址,目標ip位址,一般指內網ip和外網ip.源埠,目標埠,一般指內網埠,外網埠.資料報型別,如 icmp,ftp,pop,smtp.網路位址轉換,nat 隔離區,dmz.防火牆的基本功能 資料報過濾.服務 加密認證.記錄和報警.vpn和寬頻管理.基於源ip位址和...
web防火牆和waf防火牆的區別和選擇
首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西.真的,看我解釋.web應用防火牆,屬於硬體級別防火牆.對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,...
web防火牆和waf防火牆的區別和選擇
首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西 web應用防火牆,屬於硬體級別防火牆 對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,強依賴的安全產品...