防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型
数据包过滤型防火墙数据包过滤(PacketFil terin 技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access ControlTable)通过检查数据流中每个数据包的源地址、目的地址、所用的端号、协议状态等因素,或它们的组合来确定是否允许该数据包通过
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上
路由器是内部网络与 Internet 连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用
数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端号都在数据包的头部,很有可能被窃听或假冒
分组过滤或包过滤,是一种通用、廉价、有效的安全手段
之所以通用,因为它不针对各个具体的网络服务实行特别的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求
所根据的信息来源于 I P、TCP 或 UDP 包头
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC 一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素养要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深化的理解
因此,过滤器通常是和应
