防火墙技术现状与展望

来源: e-works
2013/12/16 15:23:48
防火墙不能解决来自内部网络的安全问题,而且如果网络管理员对防火墙的不当配置,也会使内部网面临安全威胁。

分享到: 新浪微博 腾讯微博
本文关键字: 防火墙 信息 数据

1.2防火墙的设计原理

(1)数据包过滤,包过滤是在网络层根据访问控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的动作、NAT地址转换、deny拒绝等等)进行包选择的,它可以用路由器完成。它是根据包的源端口、目的端口、源IP地址、目的IP地址、封装协议类型(TCP、UDP、ICMP等)、ICMP报文类型等报头信息(如图2、图3)来判断是否允许包通过和过滤用户定义的内容,如IP地址。

如果数据包满足该过滤规则,则允许通过,否则将此数据包所要到达的网络物理上被断开,起到了保护内部网络的作用。防火墙系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。数据包过滤防火墙优点:逻辑简单,网络性能好便于路由器安装;处理包速度比代理服务器快;实现包过滤比较经济,因为这些特点都包含在标准的路由器软件上;透明性好,不必对用户进行特殊的培训和安装特定的软件。缺点:数据包的源地址、目的地址以及IP端口号都在报头容易被假冒和窃听;因为定义数据包过滤器比较复杂,因而维护比较困难;随着过滤器数目的增加,路由器的吞吐量会下降。

\

(2)应用层代理,应用层代理防火墙(如图4)不允许网络直连,通常分为透明代理(Transparent Proxy)、传统代理(Traditional Proxy)。它是接收来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器的单独连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。因此无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。透明代理与传统代理工作原理相似,不同的是传统代理需要在客户端设置代理服务器。一般常见的应用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。应用层代理的优点:有强大的日志记录功能,能审查完整的网络数据;应用防火墙可以直接验证用户身份控制远程登录命令。缺点:每个协议都需要单独的代理程序,因此它对新的网络程序或网络协议的支持很有局限性;在对包解析会耗费大量CPU资源,因此会形成网络性能障碍。

责编:王雅京
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map