2023年11月28日发(作者:)

防火墙的原理及应用

防火墙的原理:

1 包过滤防火墙

包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑, 检查数据

据流中的每个数据包,根据数据包的原地址、目标地址、以及包所使用端口确定 是否允许该类数据

包通过。在互联网这样的信息包交换网络上,所有往來的信息都被分割 成许许多多一定长度的信息

报,包中包括发送者的IP地址和接受者的IP地址。当这些包 被送上互联网时,路由器会读取接受者

IP并选择一条物理上的线路发送出去,信息包 可能以不同的路线抵达目的地,当所有的包抵达后

会在目的地重新组装还原。包过滤式的 防火墙会检査所有通过信息包里的IP地址,并按照系统管理

员所给定的过滤规则过滤信 息包。如果防火墙设定某一 IP为危险的话,从这个地址而來的所有信息

都彼会防火墙屏 蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙來禁止国

家用户 去访问那些违反我国有关规定或者“有问题”的国外站点,包过滤路由器的最优优点就是

对于用户來说是透明的,也就是说不需耍用户名和密码來登陆。这种防火墙速度快而II 易丁维护,通

常作为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的 使用记录,这样我们就

不能从访问记录中发现黑客的攻击记录,而攻击一个单纯的包过滤 式的防火墙对于黑客來说是比较

容易的,他们在这一方面己经积了大量的经验。“信息包 冲击”是黑客比较常用的一种攻击手段,

黑客们对包过滤式防火墙发出一系列信息包,不 过这些包中的IP地址已经被替换掉了,取而代之的

是一串顺序的IP地址。一旦有一个包 通过了防火墙,黑客便可以用这个IP地址來伪装他们发出的信

息。在另一些情况下黑客 们使用一种他们口己编织的路由器攻击程序,这种程序使用路由器歇息來

发送伪造的路由 器信息,这样所有的都会彼重新路由到一个入侵者所指定的特别抵制。对付这种路

由器的 另一种技术被称之为“同步淹没”,这实际上是一种网络炸弹。攻击者向被攻击的计算机

出许许多多个虚假的“同步请求”信号报,当服务器相应了这种信号报后会等待请求发 出者的回答,

而攻击者不做任何的相应。如果服务器在45秒钟里没有收到反应信号的话 就会取消掉这次的请求。

但是当服务器在处理成千上万各虚假请求时,它便没有时间來处 理正常的用户请求,处丁-这种攻击

下的服务器和死锁没什么两样。此种防火墙的缺点是很 明显的,通常它没有用户的使用记录,这样

我们就不能从访问记录中发现黑客的攻击记录。 此外,配置繁琐也是包过滤防火墙的一个缺点。它

阻挡别人进入内部网络,但也不告诉你 何人进入你的系统,或者何人从内部进入网际网路。它可以

组织外部对私有网络的访问, 却不能记录内部的访问。包过滤另一个关键的弱点就是不能再用户级

别上进行过滤,即不 能鉴别不同的用户和防止IP地址盗用。包过滤防火墙什么某种意义上的绝对安

全的系统。

2 用网关防火墙

应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而 提高网络

的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个 客户机/服务器通信

需要两个链接:一个是从客户端到防火墙,另一个是从防火墙到服务 器。另外,每个代理需要一个

不同的应用进程,或一个后台运行的服务程序,对每个新的 应用必须添加对此应用的服务程序,否

则不能使用该服务。所以,应用网关防火墙具有可 伸缩性差的缺点。

3 态监测防火墙

状态监测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透 明的,在

此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅 考察进出网络的数

据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表, 维护了连接,将进出网络的

数据当成一个个的事件來处理。可以和阳朔,状态检测包过滤 防火墙规范了网络层和传输层行为,

而应用代理型防火墙则是规范了特定的应用协议上的 行为。

4 合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基F- ASIC 架构,把

防病毒、内容过滤整合到防火墙里,其中还包裹、IDS功能,多单元融为一体, 是一种新突破。常

规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层 扫描,把防病毒、内容过滤

与防火墙结合起來,这体现了网络与信息安全的新思路。它在 网络边界实施OSI第七层的内容扫描,

实现了实时在网络边缘部署病毒防护、内容过滤等 应用层服务措施。

防火墙的典型应用:

1 防止网络入侵

2 防止消息文件泄露

3 保护内网安全

4 检查出入网络的链接,保护一些端口

5 防止计算机接收到非法包

感谢您的阅读,祝您生活愉快。