防火墙之所以能保护网络
王大伟 · 2008-07-14 20:25 · 58479 次点击
防火墙之所以能保护网络,应该取决于防火墙所使用的策略或者是方法。当今我们所长提到的防火墙,暂且分类为4种:
1.包过滤型防火墙
2.应用级网关型防火墙
3.电路级网关型防火墙
4.状态检测型防火墙
一、包过滤型防火墙
包过滤防火墙的工作原理是使用了包过滤机制,这种包过滤机制的系统依赖于数据传输的一般结构,而这些结构所使用的数据包头包含有IP地址信息和协议所使用的端口信息,根据这些头部信息,系统可以决定是否将数据包发往下一个目的地址。
在数据包通过防火墙的过程中,防火墙对每一个数据包都要进行检查,如同我们通过安全检查一样,每个人都要出示自己的相关证件,不能漏过任何人。
包过滤防火墙一般分为三个部分,一个脏端口(就是跟不信任网络相接的那个口)、一个干净端口(就是接入可信任网络的那个口)和一组规则(根据需要自己定制的)。
不信任网络中的数据从脏端口进入后,有规则库中的相关规则进行处理,并判断其数据是否合法,合法的数据包让其从干净端口通过,不合法就进行阻隔。
二、应用级网关型防火墙
在网络上混,偶尔可能会看到这样的名词:堡垒主机、代理网关、代理服务器。其实这三种名词都是一个意思,他们就是应用级网关型防火墙的称谓。
应用级网关型防火墙的安全度,相比包过滤级别要高。其实现的方法就是做为一个数据转发的过程,它能够给数据提供一个唯一的程序来接受客户应用程序的数据,并且要求这个程序做为中转站将数据发往目标。
所有经过应用级网关防火墙的数据,都有两选择,一个是通过,要么被拒绝。
三、电路级网关型防火墙
电路级网关型防火墙的运行方式与应用级网关型防火墙很相似,但是它有一个典型的特征,它更多的是面向非交互式的应用程序。在用户通过了最初的身份验证之后,电路级网关型防火墙就允许用户穿过网关来访问服务器了,在此过程中,电路级网关型防火墙只是简单的中转用户和服务器之间的连接而已。
电路级网关型防火墙的典型应用例子就是代理服务器和SOCKS服务器。电路级网关型防火墙的工作方式是对从受信任网络发到不受信任网络的TCP连接中进行中转,在中转过程中,源IP地址被转换成电路级网关的IP地址,使得外界看来就是网关和目的地址在进行连接。
四、状态包检测型防火墙
状态包检测型防火墙是使用了一种SPI引擎的方式来工作的。它是前三种防火墙的一个折中。
状态包检测型防火墙的运行方式是:
1.检查数据包SYN位并作出判断是否是正在进行连接的,如果是,对数据包内容进行检查,否则检查数据包是否符合连接规则,如果符合规则,则对数据包内容进行检查,如果不符合就进行阻隔。
2.数据包通过内容检查,如果不符合就阻隔,符合则进行策略集对数据包内容检查,如果策略集检查通过,则数据送往目的地址并更新对话列表,进行日值记录,如果不通过,则进行阻隔。