⑴ 静态包过滤防火墙、动态(状态检测)包过滤防火墙、应用层(代理)防火墙这三类防火墙适用情况
//ok,我改 //包过滤的防火墙最简单,你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过],它不支持应用层的过滤,不支持数据包内容的过滤。 //状态防火墙更复杂一点,按照TCP基于状态的特点,在防火墙上记录各个连接的状态,这可以弥补包过滤防火墙的缺点,比如你允许了ip为1.1.1.1的数据包通过防火墙,但是恶意的人伪造ip的话,没有通过tcp的三次握手也可以闯过包过滤防火墙。 //应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。 // 一、当前防火墙技术分类 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 1.1 包过滤技术 包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。 包过滤防火墙具有根本的缺陷: 1 .不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些 IP 是可信网络,哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行 IP 地址欺骗。 2 .不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用 HTTP 协议),不允许去外网下载电影(一般使用 FTP 协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。 3 .不能处理新的安全威胁。它不能跟踪 TCP 状态,所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时,一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。 1.2 应用代理网关技术 应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。 缺点也非常突出,主要有: · 难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。 · 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个 Web 访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常 Web 访问不能及时得到响应。 总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。 在 IT 领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业
⑵ 防火墙采用最简易的技术是
防火墙采用最简易的技术是包过滤。
绝大多数Internet防火墙系统只用一个包过滤路由器,一个过滤路由器能协助保护整个网络。
过滤路由器只检查报头相应的字段,一般不查看数据报的内容,而且某些核心部分是由专用硬件实现的,当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,用户感知非常小,不需要专门的用户培训或在主机上设置特别的软件,所以是防火墙经常采取的简易技术。
(2)包过滤器防火墙示例扩展阅读
防火墙技术包过滤的局限性:
1、定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的,则过滤规则集可能会变得很长很复杂,并且没有什么工具可以用来验证过滤规则的正确性。
2、路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表,而后将信息包顺向运行到适当转发接口。如果过滤可执行,路由器还必须对每个包执行所有过滤规则。
3、不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的,而IP地址的伪造是很容易、很普遍的。
4、一些应用协议不适合于数据包过滤。即使是完美的数据包过滤,也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X-Window和FTP。而且服务代理和HTTP的链接,大大削弱了基于源地址和源端口的过滤功能。
⑶ 什么叫包过滤防火墙
包过滤防火墙是最来简单的一种自防火墙,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。