主機租用商告訴您網(wǎng)絡(luò )防火墻原理

防火墻按照工作原理分類(lèi)如下

　　防火墻處于5層網(wǎng)絡(luò )安全體系中的最底層，屬于網(wǎng)絡(luò )層安全技術(shù)范疇。在這一層上，企業(yè)對安全系統提出的問(wèn)題是：所有的IP是否都能訪(fǎng)問(wèn)到企業(yè)的內部網(wǎng)絡(luò )系統?如果答案是 “是”，則說(shuō)明企業(yè)內部網(wǎng)還沒(méi)有在網(wǎng)絡(luò )層采取相應的防范措施。

　　作為內部網(wǎng)絡(luò )與外部公共網(wǎng)絡(luò )之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò )安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò )安全的最底層，負責網(wǎng)絡(luò )間的安全認證與傳輸

　　但隨著(zhù)網(wǎng)絡(luò )安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò )應用的不斷變化，現代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò )層之外的其他安全層次，不僅要完成傳統防火墻的過(guò)濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò )應用提供相應的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著(zhù)數據安全與用戶(hù)認證、防止病毒與黑客侵入等方向發(fā)展。

　　根據防火墻所采用的技術(shù)不同，我們可以將它分為三種基本類(lèi)型：包過(guò)濾型、代理型和監測型。

　　防火墻按照工作原理分類(lèi)

1.包過(guò)濾型

　　包過(guò)濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據是網(wǎng)絡(luò )中的分包傳輸技術(shù)。網(wǎng)絡(luò )上的數據都是以“包”為單位進(jìn)行傳輸的，數據被分割成為一定大小的數據包，每一個(gè)數據包中都會(huì )包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過(guò)讀取數據包中的地址信息來(lái)判斷這些“包” 是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現來(lái)自危險站點(diǎn)的數據包，防火墻便會(huì )將這些數據拒之門(mén)外。系統管理員也可以根據實(shí)際情況靈活制訂判斷規則。

　　包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現成本較低，在應用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統的安全。

　　但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò )層的安全技術(shù)，只能根據數據包的來(lái)源、目標和端口等網(wǎng)絡(luò )信息進(jìn)行判斷，無(wú)法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒

　　有經(jīng)驗的黑客很容易偽造IP地址，騙過(guò)包過(guò)濾型防火墻。

2.代理型

　　代理型防火墻也可以被稱(chēng)為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應用層發(fā)展。代理服務(wù)器位于客戶(hù)機與服務(wù)器之間，完全阻擋了二者間的數據交流。從客戶(hù)機來(lái)看，代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來(lái)看

　　代理服務(wù)器又是一臺真正的客戶(hù)機。當客戶(hù)機需要使用服務(wù)器上的數據時(shí)，首先將數據請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據這一請求向服務(wù)器索取數據，然后再由代理服務(wù)器將數據傳輸給客戶(hù)機。由于外部系統與內部服務(wù)器之間沒(méi)有直接的數據通道，外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡(luò )系統。

文章推薦：說(shuō)說(shuō)代理服務(wù)器的那些小秘密