簡述防火牆具體實現包過濾技術的設備分類
『壹』 簡述防火牆的基本類型
目前防火牆產品非常之多,劃分的標准也比較雜。
主要分類如下版:
1. 從軟、硬體形式上分為:權「軟體防火牆」「硬體防火牆」以及「晶元級防火牆」。
2.從防火牆技術分為 :「包過濾型」和「應用代理型」兩大類。
3.從防火牆結構分為:「單一主機防火牆」「路由器集成式防火牆」和「分布式防火牆」三種。
4. 按防火牆的應用部署位置分為:「邊界防火牆」、「個人防火牆」和「混合防火牆」三大類。
5. 按防火牆性能分為 :「百兆級防火牆」和「千兆級防火牆」兩類。
『貳』 以下哪些是按防火牆的具體實現來分類的
防火牆的基本作用:
1、包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2、包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3、阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4、記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
防火牆的具體作用:
1、首先自然是撐起網路的保護傘。防火牆都會制定自己的規則,凡是符合規則的一律放行,不符合規則的一律禁止,當然這些規則可以由網路管理員來自己制定,但是某些防火牆或許只能使用內置規則。
2、接下來就是強化網路安全策略,本來網路安全問題是由各個安全軟體獨立處理,而防火牆可以有效的把所有安全軟體配置在防火牆上,以防火牆為中心統一調用。防火牆的集中安全管理更經濟,更安全。
3、防火牆還能有效地記錄Internet上的活動,如果訪問經過防火牆的話,它就能一五一十的記錄下來,形成日誌供用戶查看。當有可疑情況發生的時候,防火牆會自動的發出適當的警報,並且提供詳細的信息供用戶查詢。通過這些信息,我們可以有效的掌握目前的網路是否安全,是否需要進一步的配置確保萬無一失。
4、防火牆可以限制暴露用戶點。防火牆可以把網路隔成一個個網段,每個網段之間是相互獨立互不幹擾的,當一個網段出現問題的時候不會波及其他的網段,這樣可以有效的防止因為一個網段問題波及整個網路的安全。
5、防火牆還有一個重要的功能就是防止信息外泄,隱私應該是每個上網用戶最關心的問題,現在正是隱私泄露的敏感時期,因此更受到用戶的關心,而防火牆可以阻塞有關內部網路中的DNS信息,使本機的域名和IP地址不會被外界所了解,能有效的阻止信息外泄。
6、當然防火牆的作用不止於安全范圍,它還支持具有Internet服務特性的企業內部網路技術體系(虛擬專用網路)。很多防火牆都含有功能。
『叄』 防火牆採用的主要技術包括哪些
1、靈活的代理系統
代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模塊。新一代防火牆採用了兩種代理機制,一種用於代理從內部網路到外部網路的連接,另一種用於代理從外部網路到內部網路的連接。
前者採用網路地址轉換(NAT)技術來解決,後者採用非保密的用戶定製代理或保密的代理系統技術來解決。
2、多級的過濾技術
為保證系統的安全性和防護水平,新一代防火牆採用了三級過濾措施,並輔以鑒別手段。在 分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址。
在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,並對服務的通行實行嚴格控制。
3、雙埠或三埠的結構
新一代防火牆產品具有兩個或三個獨立的網卡,內外兩個網卡可不作IP轉化而串接於內部網與外部網之間,另一個網卡可專用於對伺服器的安全保護。
4、網路地址轉換技術(NAT)
新一代防火牆利用NAT技術能透明地對所有內部地址作轉換,使外部網路無法了解內部網路的內部結構,同時允許內部網路使用自己定製的IP地址和專用網路,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
同時使用NAT的網路,與外部網路的連接只能由內部網路發起,極大地提高了內部網路的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。
5、透明的訪問方式
以前的防火牆在訪問方式上要麼要求用戶作系統登錄,要麼需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火牆利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
『肆』 防火牆技術的基本分類有哪些
如果從防火牆的軟、硬體形式來分的話,防火牆可以分為軟體防火牆和硬體防火牆以及晶元級防火牆。
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
傳統硬體防火牆一般至少應具備三個埠,分別接內網,外網和DMZ區(非軍事化區),現在一些新的硬體防火牆往往擴展了埠,常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴展埠數目。
第三種:晶元級防火牆
晶元級防火牆基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS(操作系統),因此防火牆本身的漏洞比較少,不過價格相對比較高昂。
防火牆技術雖然出現了許多,但總體來講可分為「包過濾型」和「應用代理型」兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
『伍』 簡述幾類防火牆實現技術。
1、應用代理伺服器(Application Gateway Proxy)
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時,必須先在防火牆上經過身份認證。通過身份認證後,防火牆運行一個專門為該網路設計的程序,把外部主機與內部主機連接。在這個過程中,防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網路內部用戶訪問外部網時也需先登錄到防火牆上,通過驗證後,才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址,也可以給單個用戶授權,即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器,它適用於多個協議,但不能解釋應用協議,需要通過其他方式來獲得信息,所以,迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器(Sockets Server)就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時,在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址,經過確認後,套伺服器才與外部的伺服器建立連接。對用戶來說,受保護網與外部網的信息交換是透明的,感覺不到防火牆的存在,那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」,受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上,使它同時充當伺服器,對外部的請求作出回答。與應用層代理實現相比,代管伺服器技術不必為每種服務專門寫程序。而且,受保護網內部用戶想對外部網訪問時,也需先登錄到防火牆上,再向外提出請求,這樣從外部網向內就只能看到防火牆,從而隱藏了內部地址,提高了安全性。
4、IP通道(IP Tunnels)
如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以採用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時,受保護網用戶若要訪問Internet,必須使用一個合法的IP地址。但由於合法Internet IP地址有限,而且受保護網路往往有自己的一套IP地址規劃(非正式IP地址)。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時,防火牆動態地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對於內部的某些伺服器如Web伺服器,網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內部主機的IP地址,提高了安全性。
6、隔離域名伺服器(Split Domain Name Server )
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離,使外部網的域名伺服器只能看到防火牆的IP地址,無法了解受保護網路的具體情況,這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術(Mail Forwarding)
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時,從外部網路發來的郵件,就只能送到防火牆上。這時防火牆對郵件進行檢查,只有當發送郵件的源主機是被允許通過的,防火牆才對郵件的目的地址進行轉換,送到內部的郵件伺服器,由其進行轉發。
『陸』 防火牆的分類及主要技術
1、防火牆的基本准則
防火牆可以採取如下兩種之一理念來定義防火牆應遵循的准則:
其一、未經說明允可的就是拒絕。防火牆阻塞所有流經的信息,每一個服務請求或應用的實現都基於逐項審查的基礎上。這是一個值得推薦的方法,它將創建一個非常安全的環境。當然,該理念的不足在於過於強調安全而減弱了可用性,限制了用戶可以申請的服務的數量。
其二、未說明拒絕的均為許可的。約定防火牆總是傳遞所有的信息,此方式認定每一個潛在的危害總是可以基於逐項審查而被杜絕。當然,該理念的不足在於它將可用性置於比安全更為重要的地位,增加了保證私有網安全性的難度。
2、企業網的安全策略
在一個企業網中,防火牆應該是全局安全策略的一部分,構建防火牆時首先要考慮其保護的范圍。企業網的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。
3.防火牆的基本概念
防火牆是一個系統或一組系統,它在企業內網與網際網路間執行一定的安全策略。
一個有效的防火牆應該能夠確保:所有從網際網路流入或流向網際網路的信息都將經過防火牆;所有流經防火牆的信息都應接受檢查。
網際網路防火牆的功能為:通過防火牆可以定義一個關鍵點以防止外來入侵;監控網路的安全並在異常情況下給出報警提示,尤其對於重大的信息量通過時除進行檢查外,應做日誌登記;提供網路地址轉換(NAT)功能,有助於緩解IP地址資源緊張的問題,同時,可以避免當一個內部網更換ISP時需重新編號的麻煩;防火牆可查詢或登記網際網路的使用情況,可以確認網際網路連入的代價、潛在的帶寬瓶須,以使費用的耗費滿足企業內部財政模式;防火牆是為客戶提供服務的理想位置,即在其上可以配置相應的WWW和FTP服務,使網際網路用戶僅可以訪問此類服務,而禁止對保護網路的其他系統的訪問。
4.防火牆的分類、作用
現有的防火牆主要有:包過濾型、代理伺服器型、復合型以及其他類型(雙宿主主機、主機過濾以及加密路由器)防火牆。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎,對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。
代理伺服器型(Proxy Service)防火牆通常由兩部分構成,伺服器端程序和客戶端程序。客戶端程序與中間節點(Proxy Server)連接,中間節點再與提供服務的伺服器實際連接。與包過濾防火牆不同的是,內外網間不存在直接的連接,而且代理伺服器提供日誌(Log)和審計(Audit)服務。
復合型(Hybfid)防火牆將包過濾和代理服務兩種方法結合起來,形成新的防火牆,由堡壘主機(Bastion Host)提供代理服務。
各類防火牆路由器和各種主機按其配置和功能可組成各種類型的防火牆,主要有:雙宿主主機防火牆(Dua1-Homed Host Firewall),它是由堡壘主機充當網關,並在其上運行防火牆軟體,內外網之間的通信必須經過堡壘主機;主機過濾防火牆( Screened Host Firewall)是指一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的惟一節點,從而確保內部網不受外部非授權用戶的攻擊;加密路由器(Encryptinn Router),加密路由器對通過路由器的信息流進行加密和壓縮,然後通過外部網路傳輸到目的端進行解壓縮和解密。
5.各類防火牆的基本功能、作用與不足
典型的防火牆應包含如下模塊中的一個或多個:包過濾路由器、應用層網關(或代理伺服器)以及鏈路層網關。
1、包過濾路由器
包過濾路由器將對每一個接收到的包進行允許/拒絕的決定。具體地,它對每一個數據報的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由表信息繼續轉發,否則,則丟棄之。
與服務相關的過濾,是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP
『柒』 防火牆主要分為哪兩類它們分別工作在網路的什麼層次簡述這兩種防火牆技術的原理和特點
分為「包過濾型」和「應用代理型」兩大類包過濾型防火牆工作在OSI網路參考版模型的網路層和權傳輸層,它根據數據包頭源地址,目的地址、埠號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其餘數據包則被從數據流中丟棄。
應用代理型防火牆是工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網路通信流,通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用。
『捌』 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及其技術分類
防火牆的本義原是指古代人們房屋之間修建的那道牆,這道牆在火災發生時可以阻止蔓延到別的房屋。而這里所說的防火牆當然不是指物理上的防火牆,而是指隔離在本地網路與外界網路之間的一道防禦系統。應該說,在互聯網上防火牆是一種非常有效的網路安全模型,通過它可以隔離風險區域(即Internet或有一定風險的網站)與安全區域(區域網或PC)的連接。同時可以監控進出網路的通信,讓安全的信息進入。
1、防火牆規則設置
雙擊任務欄的圖標彈出主界面,KFW防火牆已經內置42條規則,其中包括了20條標准安全規則及22條針對主流木馬程序的規則,這些規則能夠確保系統安全。雙擊任意一條規則可以進行編輯。KFW還提供5個安全等級,一般情況下使用中、高級即可,另外,還可根據網上安全情況來動態的設置規則,比如震盪波病毒在網上猖獗時可以添加對5554、1068、445等埠的攔截。
2、應用程序規則
KFW防火牆可以對應用程序設置規則,這項功能對付木馬十分有用。每當有新的程序要訪問網路時,KFW都會彈出確認框,它還可以對應用程序的收發數據包進行控制,並對數據包設置跟蹤。
3、數據包過濾和記錄
KFW防火牆有專業級別的包內容記錄功能,可以使您更深入的了解各種攻擊包的結構。實時數據包地址 、類型過濾可以阻止木馬的入侵和對危險埠的掃描。例如過濾藍色代碼病毒性攻擊包等,也可防範ICQ、QQ的死機攻擊。
4、網路埠列表
KFW防火牆的網路埠列表窗口中列出了所有使用網路埠的應用程序及其所使用的埠。 除了以上功能外,IP翻譯資料庫還可以顯示出IP地址所對應地理位置。
『玖』 簡述計算機網路安全技術中「防火牆」(firewall)的基本功能及技術分類。
一 防火牆基本原理
首先,我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾,和狀態檢測的包過濾,應用層代理防火牆。但是他們的基本實現都是類似的。
│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │
防火牆一般有兩個以上的網路卡,一個連到外部(router),另一個是連到內部網路。當打開主機網路轉發功能時,兩個網卡間的網路通訊能直接通過。當有防火牆時,他好比插在網卡之間,對所有的網路通訊進行控制。
說到訪問控制,這是防火牆的核心了:),防火牆主要通過一個訪問控製表來判斷的,他的形式一般是一連串的如下規則:
1 accept from+ 源地址,埠 to+ 目的地址,埠+ 採取的動作
2 deny ...........(deny就是拒絕。。)
3 nat ............(nat是地址轉換。後面說)
防火牆在網路層(包括以下的煉路層)接受到網路數據包後,就從上面的規則連表一條一條地匹配,如果符合就執行預先安排的動作了!如丟棄包。。。。
但是,不同的防火牆,在判斷攻擊行為時,有實現上的差別。下面結合實現原理說說可能的攻擊。
二 攻擊包過濾防火牆
包過濾防火牆是最簡單的一種了,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。他根據數據包的源IP地址;目的IP地址;TCP/UDP源埠;TCP/UDP目的埠來過濾!!很容易受到如下攻擊:
1 ip 欺騙攻擊:
這種攻擊,主要是修改數據包的源,目的地址和埠,模仿一些合法的數據包來騙過防火牆的檢測。如:外部攻擊者,將他的數據報源地址改為內部網路地址,防火牆看到是合法地址就放行了:)。可是,如果防火牆能結合介面,地址來匹配,這種攻擊就不能成功了:(
2 d.o.s拒絕服務攻擊
簡單的包過濾防火牆不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火牆受到d.o.s攻擊,他可能會忙於處理,而忘記了他自己的過濾功能。:)你就可以饒過了,不過這樣攻擊還很少的。!
3 分片攻擊
這種攻擊的原理是:在IP的分片包中,所有的分片包用一個分片偏移欄位標志分片包的順序,但是,只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時,防火牆只根據第一個分片包的Tcp信息判斷是否允許通過,而其他後續的分片不作防火牆檢測,直接讓它們通過。
這樣,攻擊者就可以通過先發送第一個合法的IP分片,騙過防火牆的檢測,接著封裝了惡意數據的後續分片包就可以直接穿透防火牆,直接到達內部網路主機,從而威脅網路和主機的安全。
4 木馬攻擊
對於包過濾防火牆最有效的攻擊就是木馬了,一但你在內部網路安裝了木馬,防火牆基本上是無能為力的。
原因是:包過濾防火牆一般只過濾低埠(1-1024),而高埠他不可能過濾的(因為,一些服務要用到高埠,因此防火牆不能關閉高埠的),所以很多的木馬都在高埠打開等待,如冰河,subseven等。。。
但是木馬攻擊的前提是必須先上傳,運行木馬,對於簡單的包過濾防火牆來說,是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
早期的防火牆都是這種簡單的包過濾型的,到現在已很少了,不過也有。現在的包過濾採用的是狀態檢測技術,下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的,在國內的許多防火牆都聲稱實現了狀態檢測技術。
可是:)很多是沒有實現的。到底什麼是狀態檢測?
一句話,狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。
原先的包過濾,是拿一個一個單獨的數據包來匹配規則的。可是我們知道,同一個tcp連接,他的數據包是前後關聯的,先是syn包,-》數據包=》fin包。數據包的前後序列號是相關的。
如果割裂這些關系,單獨的過濾數據包,很容易被精心夠造的攻擊數據包欺騙!!!如nmap的攻擊掃描,就有利用syn包,fin包,reset包來探測防火牆後面的網路。!
相反,一個完全的狀態檢測防火牆,他在發起連接就判斷,如果符合規則,就在內存登記了這個連接的狀態信息(地址,port,選項。。),後續的屬於同一個連接的數據包,就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息,都被丟棄了。這樣這些攻擊數據包,就不能饒過防火牆了。
說狀態檢測必須提到動態規則技術。在狀態檢測里,採用動態規則技術,原先高埠的問題就可以解決了。實現原理是:平時,防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點,可是為了不影響正常的服務,防火牆一但檢測到服務必須開放高埠時,如(ftp協議,irc等),防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後,這條規則就又被防火牆刪除。這樣,既保障了安全,又不影響正常服務,速度也快。!
一般來說,完全實現了狀態檢測技術防火牆,智能性都比較高,一些掃描攻擊還能自動的反應,因此,攻擊者要很小心才不會被發現。
但是,也有不少的攻擊手段對付這種防火牆的。
『拾』 按照實現技術分類,防火牆分為幾類各有什麼特點
是不是要些論文交作業啊! 呵呵
現有的防火牆主要有:包過濾型、代理伺服器型、復合型以及其他類型(雙宿主主機、主機過濾以及加密路由器)防火牆。
包過濾(Packet Fliter)通常安裝在路由器上,而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎,對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。
代理伺服器型(Proxy Service)防火牆通常由兩部分構成,伺服器端程序和客戶端程序。客戶端程序與中間節點(Proxy Server)連接,中間節點再與提供服務的伺服器實際連接。與包過濾防火牆不同的是,內外網間不存在直接的連接,而且代理伺服器提供日誌(Log)和審計(Audit)服務。
復合型(Hybfid)防火牆將包過濾和代理服務兩種方法結合起來,形成新的防火牆,由堡壘主機(Bastion Host)提供代理服務。
各類防火牆路由器和各種主機按其配置和功能可組成各種類型的防火牆,主要有:雙宿主主機防火牆(Dua1-Homed Host Firewall),它是由堡壘主機充當網關,並在其上運行防火牆軟體,內外網之間的通信必須經過堡壘主機;主機過濾防火牆( Screened Host Firewall)是指一個包過濾路由器與外部網相連,同時,一個堡壘主機安裝在內部網上,使堡壘主機成為外部網所能到達的惟一節點,從而確保內部網不受外部非授權用戶的攻擊;加密路由器(Encryptinn Router),加密路由器對通過路由器的信息流進行加密和壓縮,然後通過外部網路傳輸到目的端進行解壓縮和解密。
各類防火牆的基本功能、作用與不足
典型的防火牆應包含如下模塊中的一個或多個:包過濾路由器、應用層網關(或代理伺服器)以及鏈路層網關。
1、包過濾路由器
包過濾路由器將對每一個接收到的包進行允許/拒絕的決定。具體地,它對每一個數據報的包頭,按照包過濾規則進行判定,與規則相匹配的包依據路由表信息繼續轉發,否則,則丟棄之。
與服務相關的過濾,是指基於特定的服務進行包過濾,由於絕大多數服務的監聽都駐留在特定TCP