`

防火墙技术:“包过滤型”和“应用代理型

 
阅读更多
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。





包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
●第一代静态包过滤类型防火墙
这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。





●第二代动态包过滤类型防火墙
    这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。





(2). 应用代理(Application Proxy)型
    应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全"阻隔"了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。




在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙
    这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。






第二代自适应代理(Adaptive proxy)型防火墙
    它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。





在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
  • 大小: 17.7 KB
  • 大小: 75 KB
  • 大小: 90.6 KB
  • 大小: 29.5 KB
  • 大小: 86.3 KB
  • 大小: 76.8 KB
分享到:
评论

相关推荐

    高职院校校园网防火墙技术的应用_徐健.pdf

    防火墙技术可以分为三类:代理服务器型防火墙技术、包过滤型防火墙技术和应用级网关防火墙技术。代理服务器型防火墙技术具有较强的网络安全维护能力,能够辅助网络用户完成各项任务。包过滤型防火墙技术可以根据不同...

    网络安全-防火墙.pptx

    12 包过滤型防火墙 优点: 处理数据包的速度比较快(与代理服务器相比) 在流量适中并定义较少过滤规则时,路由器的性能几乎不受影响 实现包过滤几乎不再需要费用 标准的路由器软件包含数据包过滤功能 包过滤路由器对...

    gwboy.exe广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。

    使用了目前流行的反弹端口的木马技术,由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,轻松穿过防火墙(包括:包过滤型及代理型防火墙)。 使用广外程序员独创的...

    防火墙技术对网络安全的影响(一).docx

    按防火墙发展的先后顺序可分为:包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙);以及继复合型防火墙之后的第三代防火墙,在第三代防火墙中最具代表性的有:IGA...

    操作系统安全:防火墙概述.pptx

    它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨跃防火墙的网络通信链路分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。 防火墙工作原理 ...

    防火墙网络安全的重要性.docx

    根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型、网络地址转换—nat、代理型和监测型。 1包过滤型 防火墙网络安全的重要性全文共3页,当前为第1页。 包过滤型产品是防火墙的初级产品,其技术依据...

    防火墙网络安全的重要性.doc

    根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型、网络地址转 换—NAT、代理型和监测型。 1包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上 的数据都是以"包...

    网络安全---NS-CH12-防火墙.pptx

    从技术上,防火墙可以分为: 包过滤防火墙(Packet Filtering) 静态包过滤防火墙 动态包过滤防火墙(状态检测防火墙) 代理技术 应用层代理(应用网关,代理服务器) 电路级网关 混和型防火墙 9 防火墙的分类 网络...

    LINUX 下防火墙的研究与实现

    关键词: 防火墙 包过滤 代理 复合型防火墙 Linux Abstract Recently, with computer network and Internet increasing rapidly, its have changed forever the way of corporations, enterprises, and ...

    LINUX 下防火墙的研究与实现(详细配置)

    关键词: 防火墙 包过滤 代理 复合型防火墙 Linux Abstract Recently, with computer network and Internet increasing rapidly, its have changed forever the way of corporations, enterprises, and ...

    中网烽火Ⅱ型防火墙解决方案

    新近推出的烽火Ⅱ型可以支持高效、高速的状态检测包过滤、高安全性应用代理和智能访问控制,其优化的系统内核、内置VPN模 块,更为您提供系统和数据传输的安全保障。最大支持多达500,000个并发连接数,20条VPN隧道,...

    电子信息技术安全问题与防护路径.pdf

    常见的防火墙类型有包过滤型和代理型。包过滤型防火墙利用分包传输技术来分析数据包的地址信息,并据此判定数据包的安全性;而代理型防火墙则在应用层运行,通过设置代理服务器和专门的代理程序来控制数据信息交流,...

    Huatech-2000防火墙在大型企业应用案例

    根据中软HuaTech-2000型防火墙具有非常好的包过滤功能、代理功能、地址转换功能、地址绑定功能、时间段控制访问功 能、防止IP地址欺骗功能、DMZ功能、VPN功能等,以及高速稳定、安全可靠、兼容性好等特点,完全可以...

    目前最好的IIS防火墙-威盾IIS防火墙

    (CISP、CIW、CCIE)在多年服务器主机及网站管理经验的基础上,结合IIS网站对WEB安全的特殊需求而开发的一款专业级IIS应用防火墙,具备禁用代理访问、高级盗链保护、URL安全过滤、IP地址阻塞等多种安全防护功能,可...

    ICF防火墙知识

    从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。 本文来源于:u大师u盘...

    三级网络技术南开百题

    - 防火墙的工作原理及类型:包过滤型、应用代理型、状态检测型。 - 入侵检测系统的功能与分类。 3. **网络安全协议**: - SSL/TLS协议的作用与原理。 - SSH协议的安全特性。 ### 网络管理与维护 1. **网络...

    网络安全技术(全文).docx

    根据采纳的技术可将防火墙分为3类:包过滤型、代理型和监测型。 1)包过滤型 包过滤型依据是XX络信息的分包传输。要传输的数据被分成一定大小的包,每个包中都含有特定信息,如源地址、目标地址等。防火墙通过读取...

    《计算机网络安全》试题及答案.docx

    9. 防火墙技术:屏蔽路由器型防火墙基于数据包过滤技术,通过检查IP头信息来决定是否允许数据包通过。 10. SSL(Secure Sockets Layer):是安全套接层协议,用于在互联网上提供安全通信,常用于HTTPS。 11. CA...

    阿里云-Web应用防火墙产品简介-D.docx

    之后,所有公网流量首先经过Web应用防火墙,防火墙会检测和过滤恶意攻击流量,只将正常流量转发至源站IP,从而保护源站IP免受攻击,保持其稳定运行。WAF还具备智能防护功能,如对单一源IP的访问频率控制、重定向跳转...

    兰州大学兰大《计算机安全技术》21春平时作业3.docx

    选项A:保密性 选项B:完整性 选项C:可用性 选项D:可靠性 正确选项:A 包过滤型防火墙工作在___ 选项A:会话层 选项B:应用层 选项C:网络层 选项D:数据链路层 正确选项:C 下面属于操作系统中的日志记录功能的...

Global site tag (gtag.js) - Google Analytics