防火墙的基本分类.pdf

  1. 1、本文档共3页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

防火墙的基本分类

1.包过滤防火墙

第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,

取决于所建立的一套规则。这称为包过滤防火墙。

本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,

作为防火墙的设备可能有两块网卡NIC,一块连到内部网络,一块连到公共的Internet。

防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包,查看包中可用的基本信息源地址和目的地址、端口

号、协议等。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,

而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口

为80,则包就会被放行。

多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的

端口和目的地址二者必须与规则相匹配,才可以让该包通过。

最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么

事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通

过,就要建立规则来处理它。

建立包过滤防火墙规则的例子如下:

对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头

部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且,如果

黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从

网络内部发起攻击。

在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web

连接。这条规则也允许与Web连接使用相同端口的连接,所以它并不是十分安全。

丢弃从公共网络传入的包,而这些包都有你的网络内的源地址,从而减少IP欺骗性

的攻击。丢弃包含源路由信息的包,以减少源路由攻击。要记住,在源路由攻击中,传入

的包包含路由信息,它覆盖了包通过网络应采取得正常路由,可能会绕过已有的安全程序。

通过忽略源路由信息,防火墙可以减少这种方式的攻击。

2.状态/动态检测防火墙

状态/动态检测防火墙,试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使

用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信

上应用一些技术来做到这点的。

当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未

来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号

等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅

是存在而已。

一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙

还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。

例如,如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位

于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是

要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。

一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防

火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只

有未被请求的传入通信被截断。

如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很

有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传

到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web

服务器。

状态/动态检测防火墙可提供的其他一些额外的服务有:

将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web

服务器连接被允许之前,可能被发到SecutID服务器用一次性口令来使用。

拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含

ActiveX程序的Web页面。

跟踪连接状态的方式取决于包通过防火墙的类型:

TCP包。当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况

下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部

的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直

文档评论(0)

Saucebox + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档