防火墙的技术与应用-相关知识(2)

2016-01-29 16:39 4 1 收藏

防火墙的技术与应用-相关知识(2),防火墙的技术与应用-相关知识(2)

【 tulaoshi.com - 防火墙的作用 】

防火墙原理入门(2)
    

第二代:动态包过滤

  这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更绿跄俊?

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)



  图2 动态包过滤防火墙

  2. 代理防火墙

  第一代:代理防火墙

  代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

  所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。

  代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)



 图3 传统代理型防火墙

  代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目前用户接入Internet的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。

  第二代:自适应代理防火墙

  自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。



  图4 自适应代理防火墙

  在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。

小资料

  防火墙的发展史

  第一代防火墙

  第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。

  第二、三代防火墙

  1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—

来源:http://www.tulaoshi.com/n/20160129/1499229.html

延伸阅读
扫描到的端口到底有什么用? (2)      ftp端口 (21/tcp) ftp服务TELNET服务一样,是可以匿名登录的,而且在有的机器上它还允许你执行远程命令,比如CWD ~XXXX,如果你能CWD ROOT成功,那你就可以获得最高权限了,不过这样的好事好像不多。另外,有时还能用它获得一个可用的帐号(guest),或得知主机在运行什么系统 ...
解读分布式防火墙之——产品篇(2)      二、3COM的分布式防火墙系统 3Com最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙解决方案,它们被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从而提供了分布式...
防火墙的工作原理(1)     “黑客会打上我的主意吗?”这么想就对了,黑客就想钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢? 什么是防火墙? 防火墙就是一种过滤塞(...
解读分布式防火墙之——产品篇(4)      功能优点 安全性 3Com 嵌入式防火墙防火墙卡将安全真正嵌入在局域网边缘,可针对入侵、篡改和破坏提供保护。基于硬件的安全性对操作系统和最终用户透明,使安全系统特别防篡改或防破坏。基于标准的补充解决方案增强传统的安全解决方案,包括周边防火墙、网络监控、DMZ子网和防病毒程...
防火墙安全及效能分析     网络防火墙早已是一般企业用来保护企业网络安全的主要机制。然而,企业网络的整体安全涉及的层面相当广,防火墙不仅无法解决所有的安全问题,防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。 在众多影响防火墙安全性能的因素中,有些是管...

经验教程

309

收藏

81
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部