防火墻按照訪問(wèn)控制方式分類_第1頁(yè)
防火墻按照訪問(wèn)控制方式分類_第2頁(yè)
防火墻按照訪問(wèn)控制方式分類_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

防火墻按照訪問(wèn)控制方式分類

防墻根據(jù)訪問(wèn)掌握式分類包過(guò)濾防墻特點(diǎn):包過(guò)濾是指在絡(luò)層對(duì)每個(gè)數(shù)據(jù)包進(jìn)檢查,依據(jù)配置的平安策略轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。

包過(guò)濾防墻的基本原理是:通過(guò)配置訪問(wèn)掌握列表,實(shí)施數(shù)據(jù)包的過(guò)濾。

主要基于數(shù)據(jù)包中的源的地址、源的端號(hào)、標(biāo)識(shí)和報(bào)傳遞的向等信息。

優(yōu)點(diǎn):設(shè)計(jì)簡(jiǎn)潔,易于實(shí)現(xiàn),價(jià)格廉價(jià)。

缺點(diǎn):隨著簡(jiǎn)單度和長(zhǎng)度的增加,其過(guò)濾性能呈指數(shù)下降趨勢(shì)靜態(tài)的規(guī)章難以適應(yīng)動(dòng)態(tài)的平安要求包過(guò)濾不檢查會(huì)話狀態(tài)也不分析數(shù)據(jù),這很簡(jiǎn)單讓客蒙混過(guò)關(guān)。

例如,攻擊者可以使假冒地址進(jìn)哄騙,通過(guò)把主機(jī)地址設(shè)成個(gè)合法主機(jī)地址,就能很輕易地通過(guò)報(bào)過(guò)濾器代理防墻特點(diǎn):代理服務(wù)作于絡(luò)的應(yīng)層,其實(shí)質(zhì)是把內(nèi)部絡(luò)和外部絡(luò)戶之間直接進(jìn)的業(yè)務(wù)由代理接管。

代理檢查來(lái)戶的懇求,戶通過(guò)平安策略檢查后,該防墻將代表外部戶與真正的服務(wù)器建連接,轉(zhuǎn)發(fā)外部戶懇求,并將真正服務(wù)器返回的響應(yīng)回送給外部戶。

優(yōu)點(diǎn):能夠完全掌握絡(luò)信息的交換,掌握會(huì)話過(guò)程,具有較的平安性。

缺點(diǎn):軟件實(shí)現(xiàn)限制了處理速度,易于患病拒絕服務(wù)攻擊需要針對(duì)每種協(xié)議開(kāi)發(fā)應(yīng)層代理,開(kāi)發(fā)周期長(zhǎng),且升級(jí)困難狀態(tài)檢測(cè)防墻特點(diǎn):狀態(tài)檢測(cè)是包過(guò)濾技術(shù)的擴(kuò)展。

基于連接狀態(tài)的包過(guò)濾在進(jìn)數(shù)據(jù)包的檢查時(shí),不僅將每個(gè)數(shù)據(jù)包看成是獨(dú)單元,還要考慮前后報(bào)的歷史關(guān)聯(lián)性。

我們知道,全部基于牢靠連接的數(shù)據(jù)流即基于協(xié)議的數(shù)據(jù)流的建都需要經(jīng)過(guò)“客戶端同步懇求”、“服務(wù)器應(yīng)答”以及“客戶端再應(yīng)答”三個(gè)過(guò)程即“三次握”過(guò)程,這說(shuō)明每個(gè)數(shù)據(jù)包都不是獨(dú)存在的,是前后有著親密的狀態(tài)聯(lián)系的。

基于這種狀態(tài)聯(lián)系,從進(jìn)展出狀態(tài)檢測(cè)技術(shù)。

基本原理:狀態(tài)檢測(cè)防墻使各種會(huì)話表來(lái)追蹤激活的會(huì)話和偽會(huì)話,由訪問(wèn)掌握列表打算建哪些會(huì)話,數(shù)據(jù)包只有與會(huì)話相關(guān)聯(lián)時(shí)才會(huì)被轉(zhuǎn)發(fā)。

其中偽會(huì)話是在處理協(xié)議包時(shí)為該數(shù)據(jù)流建虛擬連接是對(duì)連接的協(xié)議,以對(duì)連接過(guò)程進(jìn)狀態(tài)監(jiān)控的會(huì)話。

狀態(tài)檢測(cè)防墻在絡(luò)層截獲數(shù)據(jù)包,然后從各應(yīng)層提取出平安策略所需要的狀態(tài)信息,并保存到會(huì)話表中,通過(guò)分析這些會(huì)話表和與該數(shù)據(jù)包有關(guān)的后續(xù)連接懇求來(lái)做出恰當(dāng)打算。

優(yōu)點(diǎn):后續(xù)數(shù)據(jù)包處理性能優(yōu)異:狀態(tài)檢測(cè)防墻對(duì)數(shù)據(jù)包進(jìn)檢查的同時(shí),可以將數(shù)據(jù)流連接狀態(tài)記錄下來(lái),該數(shù)據(jù)流中的后續(xù)包則需再進(jìn)檢查,只需依據(jù)會(huì)話表對(duì)新收到的報(bào)進(jìn)連接記錄檢查即可。

檢查通過(guò)后,該連接狀態(tài)記錄將被刷新,從避開(kāi)重復(fù)檢查具有相同連接狀態(tài)的數(shù)據(jù)包。

連接會(huì)話表的記錄可以隨便排列,與記錄固定排列的不同,于是狀態(tài)檢測(cè)防墻可采諸如叉樹(shù)或哈希等算法進(jìn)快速搜尋,提了系統(tǒng)的傳輸效率。

平安性較:連接狀態(tài)清單是動(dòng)態(tài)管理的。

會(huì)話完成后防墻上所創(chuàng)建的臨時(shí)返回報(bào)隨即關(guān)閉,保障了內(nèi)部絡(luò)的實(shí)時(shí)平安。

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論