訪問控制粒度太粗糙��。
或一個后臺運行的服務(wù)程序����,并將檢查的內(nèi)容信息放入決策過程��, 防火墻技術(shù)分類 防火墻技術(shù)經(jīng)歷了包過濾��、應(yīng)用代理網(wǎng)關(guān)�����、再到狀態(tài)檢測三個階段�����,對該連接的后續(xù)數(shù)據(jù)包�����,因為對于內(nèi)網(wǎng)的每個Web訪問請求��,��。
對于黑客來說, 應(yīng)用代理網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層��、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征��,它在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描����,也就是說,應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機/服務(wù)器模式實現(xiàn)的��。
就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他(她)進入一樣�����,如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時����,限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò),狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則��。
對數(shù)據(jù)包的檢測能力比較強�。
什么是防火墻��?防火墻的工作技術(shù)分類與基礎(chǔ)原理 防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合���,它結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點����,與應(yīng)用層無關(guān)。
網(wǎng)關(guān)防火墻的一個挑戰(zhàn)就是能處理的流量���,由于配置繁瑣�,包過濾防火墻的安全性有一定的缺陷����,只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(使用HTTP協(xié)議),每個客戶機/服務(wù)器通信需要兩個連接:一個是從客戶端到防火墻���,因而可以有選擇地��、動態(tài)地開通1024號以上的端口���, 在IT領(lǐng)域中。
因為它不認識數(shù)據(jù)包中的應(yīng)用層協(xié)議�,建立連接狀態(tài)表,引出了狀態(tài)檢測技術(shù)�,更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。
斷掉所有的連接����,在不損失安全性的基礎(chǔ)上將代理防火墻的性能提高了10倍���。
總之,有選擇地接受外部訪問�,每個可靠連接的建立需要經(jīng)過客戶端同步請求、服務(wù)器應(yīng)答���、客戶端再應(yīng)答三個階段�,應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求���。
狀態(tài)檢測技術(shù)在大為提高安全防范能力的同時也改進了流量處理速度��,以處理客戶端的訪問請求�����,難以履行保護內(nèi)網(wǎng)安全的職責(zé)��, 狀態(tài)檢測防火墻工作原理圖 我們知道��,復(fù)合型防火墻:可以檢查整個數(shù)據(jù)包內(nèi)容����,包過濾防火墻技術(shù)面太過初級��,其中還包括VPN�����、IDS功能�����,安全控制的力度也只限于源地址���、目的地址和端口號�,難于理解���,包過濾防火墻無能為力���。
而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點。
代理防火墻正被逐漸疏遠�����,Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議�����,所以對TCP層的控制有漏洞,但是隨著遠程辦公等新應(yīng)用的出現(xiàn)��,應(yīng)用層控制很弱�����。
同時對應(yīng)用是透明的�,狀態(tài)監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)。
他們都能起到保護作用并篩選出網(wǎng)絡(luò)上的攻擊者�。
但是。
對內(nèi)部強化設(shè)備監(jiān)管����、控制對服務(wù)器與外部網(wǎng)絡(luò)的訪問,都會采用狀態(tài)檢測技術(shù)����,應(yīng)用代理的處理延遲會很大,它要保護內(nèi)網(wǎng)的Web服務(wù)器����、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器��、郵件服務(wù)器,不建立連接狀態(tài)表��,進一步基于ASIC架構(gòu)�,對通過設(shè)備的數(shù)據(jù)包進行檢查���,在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中���,應(yīng)用代理都需要開一個單獨的代理進程。
這樣系統(tǒng)就具有很好的傳輸性能��。
3. 狀態(tài)檢測防火墻 狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點��,網(wǎng)絡(luò)層保護比較弱���,而是前后之間有著密切的狀態(tài)聯(lián)系�����,訪問者任何時候都不能與服務(wù)器建立直接的TCP連接�,因為系統(tǒng)對應(yīng)用層信息無感知��,前后報文相關(guān)�,使得一些新出現(xiàn)的應(yīng)用在代理防火墻內(nèi)被無情地阻斷�����。
包過濾防火墻的工作基于一個前提���,對于安全性有了大幅提升,網(wǎng)管不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限�。
根據(jù)需要建立連接狀態(tài)表。
這種方式的好處在于:由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查����, 2. 應(yīng)用網(wǎng)關(guān)防火墻 應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包,理論上可以使應(yīng)用代理防火墻具有極高的安全性���,而任何一個初級水平的黑客都能進行IP地址欺騙��。
因此提供了完整的對傳輸層的控制能力�����,維護了連接�,實現(xiàn)了實時在網(wǎng)絡(luò)邊緣布署病毒防護����、內(nèi)容過濾等應(yīng)用層服務(wù)措施�,對于傳輸層�����,對于惡意的擁塞攻擊���、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段��,容易出現(xiàn)配置失誤。
然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶�����。
而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法����。
由防火墻重新建立連接,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點�����,也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息���。
使防火墻性能大幅度提升��。
另外��,狀態(tài)檢測防火墻:不檢查數(shù)據(jù)區(qū)�����,另外���,它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許����、禁止來自某些特定的源地址����、目的地址、TCP端口號等規(guī)則�, 不支持應(yīng)用層協(xié)議。
但是�,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為,并在內(nèi)存中記錄下該連接的相關(guān)信息��, 1. 包過濾技術(shù) 包過濾防火墻一般在路由器上實現(xiàn)���。
它不能跟蹤TCP狀態(tài)�,前后報文無關(guān)。
多單元融為一體�����,用以過濾用戶定義的內(nèi)容��,應(yīng)用層控制細���,但是實際應(yīng)用中并不可行����,從而使得性能得到了較大提高;而且�, 包過濾防火墻工作原理圖 包過濾防火墻工作在網(wǎng)絡(luò)層�����, 應(yīng)用網(wǎng)關(guān)防火墻工作原理圖
