分类: 网络与安全
2007-08-23 12:21:14
包过滤防火墙
在Internet这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上Internet时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照系统管理员所给定的过滤规则进行过滤。如果防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常作为第一道防线。包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”和“同步风暴”便是黑客用于攻击包过滤防火墙比较常用的手段。另外,包过滤防火墙还具有配置繁琐的缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入Internet。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址盗用。
应用级网关
应用级网关也就是通常我们提到的代理服务器。它适用于特定的Internet服务,如HTTP、 FTP等等。代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。
但是应用级网关也存在一些不足之处:首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,尤其是,并非所有的Internet应用软件都可以使用代理服务器。
状态监测防火墙
这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
