导航:首页 > 净水问答 > 数据包过滤是一种基于网络层

数据包过滤是一种基于网络层

发布时间:2024-12-21 11:37:10

㈠ 急!考试题:一般的防火墙分为哪几类主要有哪些功能

一般情况下从防火墙的软、硬件形式来分,防火墙可以分为软件防火墙、硬件防火墙以及芯片级防火墙。

第一种:软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

第二种:硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

第三种:芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

第一要素:防火墙的基本功能

防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能:

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”; 防火墙本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问,应把信息服务器和其他内部服务器分开。

防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。此外,为了使日志具有可读性,防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证,设计尽量简单,以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

正像前面提到的那样,Internet每时每刻都在发生着变化,新的易攻击点随时可能会产生。当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的可适应性是很重要的。

第二要素:企业的特殊要求

企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一,常见的需求如下:

1、网络地址转换功能(NAT)

进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。

2、双重DNS

当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。

3、虚拟专用网络(VPN)

VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。

4、扫毒功能

大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫毒功能,差别只是扫毒工作是由防火墙完成,或是由另一台专用的计算机完成。

5、特殊控制需求

有时候企业会有特别的控制需求,如限制特定使用者才能发送E�mail,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、ActiveX控件等,依需求不同而定。

第三要素:与用户网络结合

1、管理的难易度

防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因,除了先前提到的包过滤,并不能达到完全的控制之外,设定工作困难、须具备完整的知识以及不易除错等管理问题,更是一般企业不愿意使用的主要原因。

2、自身的安全性

大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。

大部分防火墙都安装在一般的操作系统上,如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时,防火墙本身也将受到威胁。此时,任何的防火墙控制机制都可能失效,因为当一个黑客取得了防火墙上的控制权以后,黑客几乎可为所欲为地修改防火墙上的访问规则,进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。

3、完善的售后服务

我们认为,用户在选购防火墙产品时,除了从以上的功能特点考虑之外,还应该注意好的防火墙应该是企业整体网络的保护者,并能弥补其它操作系统的不足,使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台,因为使用者才是完全的控制者,而使用者的平台往往是多种多样的,它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现,就会有人研究新的破解方法,所以好的防火墙产品应拥有完善及时的售后服务体系。

4、完整的安全检查

好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接,但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。

5、结合用户情况

在选购一个防火墙时,用户应该从自身考虑以下的因素:

网络受威胁的程度;

若入侵者闯入网络,将要受到的潜在的损失;

其他已经用来保护网络及其资源的安全措施;

由于硬件或软件失效,或防火墙遭到“拒绝服务攻击”,而导致用户不能访问Internet,造成的整个机构的损失;

机构所希望提供给Internet的服务,希望能从Internet得到的服务以及可以同时通过防火墙的用户数目;

网络是否有经验丰富的管理员;

今后可能的要求,如要求增加通过防火墙的网络活动或要求新的Internet服务。

㈡ 防火墙可分为两种类型,即 ( )和( )。

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。

㈢ 以下关于包过滤防火墙和代理服务防火墙叙述中,正确是( )

【答案】:B
包过滤技术是一种基于网络层、传输层安全技术,优点是简单实用,实现成本较低同时,包过滤操作对于应用层来说是透明,它不要求客户与服务器程序做任何修改。但包过滤技术无法识别基于应用层恶意入侵,如恶意Java小程序以及电子邮件中附带病毒。代理服务技术基于应用层,需要检查数据包内容,能够对基于高层协议攻击进行拦截,安全性较包过滤技术要好。缺点是处理速度比较慢,不适用于高速网之间应用。另外,代理使用一个客户程序与特定中间节点连接,然后中间节点与代理服务器进行实际连接。因此,使用这类防火墙时外部网络与内部网络之间不存在直接连接,即使防火墙发生了问题,外部网络也无法与被保护网络连接。

㈣ 包过滤型防火墙原理是基于什么进行分析的技术

包过滤型防火墙原理是基于网络层的数据包进行过滤和分析的技术。
包过滤型防火墙工作在网络层,通过对每个数据包进行过滤和分析,来判断是否允许该数据包通过防火墙。具体来说,包过滤型防火墙会根据预先设定的规则,对每个数据包进行检查,包括源IP地址、目标IP地址、端口号、协议类型等信息。如果数据包符合规则,则允许通过,否则将被拦截。
包过滤型防火墙的优点在于处理速度快,因为只检查数据包头信息,不需要对整个数据包进行深度分析。此外,包过滤型防火墙可以根据需要灵活配置规则,以满足不同的安全需求。然而,包过滤型防火墙也存在一些缺点,例如无法识别应用层协议,从而无法对应用层攻击进行有效防范。
为了克服包过滤型防火墙的缺点,一些现代的防火墙采用了更为先进的技术,如状态检测技术和应用层网关技术等。状态检测技术通过跟踪每个连接的状态,来判断数据包是否合法,从而有效防范了IP欺骗和端口扫描等攻击。而应用层网关技术则可以识别应用层协议,对应用层攻击进行有效防范。
总的来说,包过滤型防火墙是一种基于网络层数据包进行过滤和分析的技术,具有处理速度快和规则配置灵活的优点。但是,它也存在一些缺点,如无法识别应用层协议等。因此,在选择防火墙时需要根据实际需求和安全威胁来选择适合的技术。

阅读全文

与数据包过滤是一种基于网络层相关的资料

热点内容
成熟植物细胞中的什么相当于半透膜 浏览:468
净水器去水垢3m 浏览:140
一个反渗透膜的产水能力 浏览:754
长春回锦州用隔离吗 浏览:341
蒸馏水是几级用水 浏览:736
净水器快接头和pe管怎么接 浏览:572
kfrd70lw过滤网 浏览:853
白酒蒸馏分类 浏览:556
蒸馏牛角管 浏览:489
菊花饮水机怎么调时间 浏览:438
净水机ro膜怎样打开 浏览:118
市中区推荐的空气净化器有什么 浏览:337
15款大众速腾空调滤芯怎么换 浏览:553
发酵水回用 浏览:213
雷凌空调滤芯多少钱 浏览:831
ro膜寿命变短原因 浏览:892
丹麦自来水水垢 浏览:200
透明净水器压力罐怎么换内胆 浏览:117
呀上树脂垫怎么吃东西 浏览:171
燃气热水器水垢除垢剂 浏览:854