發(fā)布時間:2022-06-21 作者:admin
在選擇高防護服務器租賃時�����,了解防火墻的相關(guān)知識可以幫助我們做出更好的選擇�。防火墻又稱防護墻,是內(nèi)外網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)���,允許或限制數(shù)據(jù)傳輸?shù)耐ㄟ^����。
防火墻技術(shù)主要分為四類:
網(wǎng)絡級防火墻
網(wǎng)絡級防火墻一般以源地址和目的地址�、應用、協(xié)議為基礎(chǔ)IP包的端口可以判斷是否通過�。路由器是傳統(tǒng)的網(wǎng)絡防火墻。大多數(shù)路由器可以通過檢查這些信息來決定是否轉(zhuǎn)發(fā)收到的包���,但它無法判斷一個IP包從哪里來�,去哪里���。檢查防火墻的每一條規(guī)則�����,直到發(fā)現(xiàn)包中的信息與某一規(guī)則一致�����。如果沒有規(guī)則可以滿足��,防火墻將使用默認規(guī)則�。一般來說,默認規(guī)則要求防火墻丟棄包�����。其次���,基于定義TCP或UDP防火墻可以判斷數(shù)據(jù)包的端口號是否允許建立特定的連接�����,如Telnet�����、FTP連接����。
應用級網(wǎng)關(guān)
應用級網(wǎng)關(guān)可以檢查進出數(shù)據(jù)包���,通過網(wǎng)關(guān)復制傳輸數(shù)據(jù)���,防止信任服務器與客戶機與不信任主機之間的直接聯(lián)系。應用級網(wǎng)關(guān)可以理解應用層上的協(xié)議�����,進行復雜的訪問控制����,并進行精細的注冊和審計。它可以分析和形成特殊的網(wǎng)絡應用服務協(xié)議�����,即數(shù)據(jù)過濾協(xié)議���,并可以分析數(shù)據(jù)包并形成相關(guān)報告����。應用網(wǎng)關(guān)嚴格控制一些易于登錄和控制所有輸出輸入的通信環(huán)境,以防止有價值的程序和數(shù)據(jù)被盜���。在實際工作中���,應用網(wǎng)關(guān)一般由專用工作站系統(tǒng)完成。但每個協(xié)議都需要相應的代理軟件��,工作量大���,效率低于網(wǎng)絡級防火墻���。應用級網(wǎng)關(guān)具有良好的訪問控制,是目前最安全的防火墻技術(shù)���,但難以實現(xiàn)�����,部分應用級網(wǎng)關(guān)缺乏透明度�。在實際使用中�,用戶可以通過防火墻訪問網(wǎng)絡Internet經(jīng)常會發(fā)現(xiàn)延遲�����,必須多次登錄(Login)才能訪問Internet或Intranet��。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用于監(jiān)控可信客戶或服務器與不可信主機之間的監(jiān)控TCP握手信息決定會話(Session)電路級網(wǎng)關(guān)是否合法OSI模型中的會話層過濾數(shù)據(jù)包���,比過濾防火墻高二層���。電路級網(wǎng)關(guān)還提供了一個重要的安全功能:代理服務器(Proxy Server)�。設置代理服務器Internet防火墻網(wǎng)關(guān)的特殊應用級代碼���。該代理服務允許網(wǎng)絡管理員允許或拒絕特定的應用程序或應用程序的特定功能���。包裝過濾技術(shù)和應用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包,一旦滿足判斷條件�����,防火墻內(nèi)部網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)將暴露在外部用戶面前�,這引入了代理服務的概念,即防火墻內(nèi)外計算機系統(tǒng)應用層的鏈接通過兩個鏈接終止代理服務,成功實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離���。同時��,代理服務也可用于實施強大的數(shù)據(jù)流監(jiān)控���、過濾、記錄和報告功能����。代理服務技術(shù)主要由特殊的計算機硬件(如工作站)承擔。
檢查防火墻的規(guī)則
防火墻結(jié)合了包裝過濾防火墻���、電路級網(wǎng)關(guān)和應用級網(wǎng)關(guān)的特點��。它和包裝過濾防火墻一樣�,規(guī)則檢查防火墻OSI通過網(wǎng)絡層IP地址和端口號����,過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關(guān)一樣�����,能夠檢查SYN和ACK標記和序列數(shù)字是否合乎邏輯有序�����。當然,它也可以像應用級網(wǎng)關(guān)一樣OSI檢查應用層數(shù)據(jù)包的內(nèi)容�,檢查這些內(nèi)容是否符合企業(yè)網(wǎng)絡的安全規(guī)則。雖然規(guī)則檢查防火墻集成了前三個特點����,但與應用級網(wǎng)關(guān)不同的是,它不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)����。它允許信任的客戶機與不信任的主機建立直接連接�。規(guī)則檢查防火墻不依賴于與應用層相關(guān)的代理,而是依賴于某種算法來識別進出的應用層數(shù)據(jù)����。這些算法通過已知的合法數(shù)據(jù)包模式比較進出數(shù)據(jù)包,理論上比應用級代理更有效�。
四類防火墻技術(shù)各有優(yōu)勢。在使用中���,需要根據(jù)具體需要確定選擇哪一種或是否混合�����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
