網路各層中,給防火牆提供判別依據有,
1、連線層
desctination, source的mac位址。
2、網路層
header length, differentiated service, total length, flags, time to live, protocol, source, destination
3、傳輸層
source port, destination port, header length, flags
4、應用層
主機網域名稱
防火牆根據過濾技術,可以分為兩類:
1、包過濾防火牆
優點:由於包過濾防火牆的檢查範圍為乙個封包,因此,乙個封包從左邊介質送入,並且在防火牆檢查沒有問題之後,封包即可從右邊介面送出。當然,在封包由右邊介面送出之後,就與防火牆主機無關了,因此,包過濾防火牆所需要的「記憶體」及「cpu占用」都不需要很高,通常200人以下的企業只需要一台 pentium iii 450及128mb記憶體的主機就夠了,由此可知,包過濾防火牆的成本較低。
另乙個優點是,包過濾防火牆其本身是以router的形式存在網路之上的,因此,包過濾防火牆完全與「協議」無關,故其應用的範圍較廣。
缺點:因為包過濾防火牆的檢查範圍只有乙個封包,所以包過濾防火牆無法對連線中的資訊執行極為精準的過濾動作。比如說,我們無法使用包過濾防火牆檢查一封電子郵件中是否帶有計算機病毒。
2、應用層防火牆
優點:因為應用層防火牆能夠檢查到一條連線中的每乙個by t e,因此,應用層防火牆能夠進行比包過濾防火牆還精準的過濾。
此外,由於應用層防火牆必須執行封包的儲存及還原動作,因此,應用層防火牆需要更多的記憶體及cpu 的運算資源,故其成本較高。
常見的防火牆結構
1、單機防火牆
2、閘道器式防火牆
3、通透式防火牆
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
小白入門防火牆iptables
iptables防火牆 檢視4表5鏈 man iptables 4表 1 filter 篩選作用,最常用 2 nat 3 mangle 硬體常使用 4 raw 5鏈 包含在4表裡面,1 input 2 output 3 prerouteing 4 postrouting 5 forward 檢視表 ...
防火牆系列(一) 何為防火牆
簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...