1、通用防火墙分类
包过滤防火墙、代理防火墙、状态检测防火墙
1.1包过滤防火墙
顾名思义,包过滤防火墙的原理为:通过设置访问控制列表(ACL, Access Control List)实行数据包的过滤。紧张基于数据包中的源/目标IP所在、源/目标端标语、IP 标识和报文传递的方向等信息。
优点:设计简朴、代价低廉,有多低?
咳咳咳~回到原题
缺点:
①随着ACL 复杂度和长度的增长,其过滤性能呈指数下降趋势;
②静态的ACL 规则难以顺应动态的安全要求;
③包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用冒充所在进行欺骗,通过把本身主机IP所在设成一个合法主机IP所在,就能很容易地通过报文过滤器。
总结来说:性能不高、防护强度不够,就是一道烂木门,挡不住啥玩意儿
2、代理防火墙
代理服务作用于网络的应用层,实在质是把内部网络和外部网络用户之间直接进行的业务由代理接受。代理检查来自用户的哀求,用户通过安全计谋检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户哀求,并将真正服务器返回的响应回送给外部用户。
优点:完全控制了信息的交换,安全、安全、安全
缺点:
①限制了处理速度,容易受到DDoS攻击
②需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
1.3状态检测防火墙
大致就是根据网络层回话,来选择相关联的会话的数据包进行转发,如果不一致则丢弃。
只对一个连接的首包进行包过滤检查,如果这个首包可以或许通过包过滤规则的检查,并建立会话的话,后续报文将不再继承通过包过滤机制检测,而是直接通过会话表进行转发。
什么是会话表项?
Session:Tcp 192.168.1.1:2000 ---→1.1.1.1:23 就是一个会话
每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为关键值”key值“,建立动态的回话项提供域间安全转发。
下一代防火墙接纳七元组:源IP、源端口、目标IP、目标端口、协议号、用户、应用。
表现查看会话表项简要信息:display firewall session table
表现查看会话表项具体信息:display firewall session table verbose
下一代防火墙相对于传统防火墙的安全计谋相比,有如下优势:
可以或许通过“用户”来区分差别部分的员工,使网络的管理更加机动和可视:
可以或许有效区分协议(例如HTTP)承载的差别应用(例如网页IM、网页游戏等),使网络的管理更加精细:
可以或许通过安全计谋实现内容安全检测,阻断病毒、黑客等的入侵,更好的保护内部网络。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
