科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络防火墙的系统解决方案(2)

网络防火墙的系统解决方案(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着计算机技术应用的普及,各个组织机构的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。在所有计算机安全威胁中,外部入侵和非法访问是最为严重的事。

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 防火墙 防火墙技术 硬件防火墙

  • 评论
  • 分享微博
  • 分享邮件

  二、防火墙技术

  一提到 网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也与此类似,一旦入侵者骗过了认证系统,便成为了内部人员。

  防火墙的基本类型有:包过滤型、代理服务型和状态包过滤型复合型。

  (一)包过滤型防火墙

  包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。

  网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的数据(内容),还包括源地址、目标地址等。

  数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。与路由器不同的是,包过滤防火墙,除了判断是否有到达目的网段的路由之外,还要根据一组包过滤规则决定是否将包转发出去。

  

  1、工作机制

  包过滤技术可以允许或禁止某些包在网络上传递,它依据的是以下的判断:

  对包的目的地址作出判断

  对包的源地址作出判断

  对包的传送协议(端口号)作出判断

  一般地,在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作,比如:不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。

  但包过滤不能允许我们进行如下的操作,如:允许用户使用FTP,同时还限制用户只可读取文件不可写入文件、允许某个用户使用Telnet登录而不允许其他用户进行这种操作。

  包过滤系统处于网络的IP层和TCP层,而不是应用层,所以它无法在应用层的具体操作进行任何过滤。以FTP为例,FTP文件传输协议应用中包含许多具体的操作,如读取操作、写入操作、删除操作等。再有,包过滤系统不能识别数据包中的用户信息。

  2、性能特点

  因为包过滤防火墙工作在IP和TCP层,所以处理包的速度要比代理服务型防火墙快

  提供透明的服务,用户不用改变客户端程序

  因为只涉及到TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低

  不支持用户认证,包中只有来自哪台机器的信息却不包含来自哪个用户的信息

  不提供日志功能

  包过滤防火墙的典型代表是早期的CISCOPIX防火墙。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章