防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。1.数据包过滤型防火墙数据包过滤(PacketFil terin 技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access ControlTable)通过检查数据流中每个数据包的源地址、目的地址、所用的端号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端号都在数据包的头部,很有可能被窃听或假冒。分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务实行特别的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于 I P、TCP 或 UDP 包头。包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC 一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素养要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深化的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。2 .应用级网关型防火墙 应用级网关(Application Level Gateway、)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可...
