當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

防火墻功能分類及其局限性分析

http://www.yibo1263.com　2010/3/18 7:21:51 　來源:東北IT網(wǎng) 　編輯:葉子

應(yīng)用代理(Application Proxy)：也叫應(yīng)用網(wǎng)關(guān)(Application Gateway)，它作用在應(yīng)用層，其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

4.分組過濾型防火墻

分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價，因為大多數(shù)路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。

包過濾在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源、宿地址，端口號及協(xié)議類型、標志確定是否允許分組包通過。所根據(jù)的信息來源于IP、TCP或UDP包頭。

包過濾的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點也是明顯的：據(jù)以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

5.應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

6.復合型防火墻

由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。

屏蔽主機防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。

屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。

7.防火墻操作系統(tǒng)

防火墻應(yīng)該建立在安全的操作系統(tǒng)之上，而安全的操作系統(tǒng)來自于對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)有的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行：取消危險的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核，等等。

8.NAT技術(shù)

NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。

NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

9.防火墻的抗攻擊能力

作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。

10.防火墻的局限性

存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對比

·企業(yè)選購指南：國內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購十要素

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费