防火墻按照訪問控制方式分類

防火墻按照訪問控制方式分類

防墻根據(jù)訪問掌握式分類包過濾防墻特點:包過濾是指在絡(luò)層對每個數(shù)據(jù)包進檢查,依據(jù)配置的平安策略轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。

包過濾防墻的基本原理是:通過配置訪問掌握列表,實施數(shù)據(jù)包的過濾。

主要基于數(shù)據(jù)包中的源的地址、源的端號、標(biāo)識和報傳遞的向等信息。

優(yōu)點:設(shè)計簡潔,易于實現(xiàn),價格廉價。

缺點:隨著簡單度和長度的增加,其過濾性能呈指數(shù)下降趨勢靜態(tài)的規(guī)章難以適應(yīng)動態(tài)的平安要求包過濾不檢查會話狀態(tài)也不分析數(shù)據(jù),這很簡單讓客蒙混過關(guān)。

例如,攻擊者可以使假冒地址進哄騙,通過把主機地址設(shè)成個合法主機地址,就能很輕易地通過報過濾器代理防墻特點:代理服務(wù)作于絡(luò)的應(yīng)層,其實質(zhì)是把內(nèi)部絡(luò)和外部絡(luò)戶之間直接進的業(yè)務(wù)由代理接管。

代理檢查來戶的懇求,戶通過平安策略檢查后,該防墻將代表外部戶與真正的服務(wù)器建連接,轉(zhuǎn)發(fā)外部戶懇求,并將真正服務(wù)器返回的響應(yīng)回送給外部戶。

優(yōu)點:能夠完全掌握絡(luò)信息的交換,掌握會話過程,具有較的平安性。

缺點:軟件實現(xiàn)限制了處理速度,易于患病拒絕服務(wù)攻擊需要針對每種協(xié)議開發(fā)應(yīng)層代理,開發(fā)周期長,且升級困難狀態(tài)檢測防墻特點:狀態(tài)檢測是包過濾技術(shù)的擴展。

基于連接狀態(tài)的包過濾在進數(shù)據(jù)包的檢查時,不僅將每個數(shù)據(jù)包看成是獨單元,還要考慮前后報的歷史關(guān)聯(lián)性。

我們知道,全部基于牢靠連接的數(shù)據(jù)流即基于協(xié)議的數(shù)據(jù)流的建都需要經(jīng)過“客戶端同步懇求”、“服務(wù)器應(yīng)答”以及“客戶端再應(yīng)答”三個過程即“三次握”過程,這說明每個數(shù)據(jù)包都不是獨存在的,是前后有著親密的狀態(tài)聯(lián)系的。

基于這種狀態(tài)聯(lián)系,從進展出狀態(tài)檢測技術(shù)。

基本原理:狀態(tài)檢測防墻使各種會話表來追蹤激活的會話和偽會話,由訪問掌握列表打算建哪些會話,數(shù)據(jù)包只有與會話相關(guān)聯(lián)時才會被轉(zhuǎn)發(fā)。

其中偽會話是在處理協(xié)議包時為該數(shù)據(jù)流建虛擬連接是對連接的協(xié)議,以對連接過程進狀態(tài)監(jiān)控的會話。

狀態(tài)檢測防墻在絡(luò)層截獲數(shù)據(jù)包,然后從各應(yīng)層提取出平安策略所需要的狀態(tài)信息,并保存到會話表中,通過分析這些會話表和與該數(shù)據(jù)包有關(guān)的后續(xù)連接懇求來做出恰當(dāng)打算。

優(yōu)點:后續(xù)數(shù)據(jù)包處理性能優(yōu)異:狀態(tài)檢測防墻對數(shù)據(jù)包進檢查的同時,可以將數(shù)據(jù)流連接狀態(tài)記錄下來,該數(shù)據(jù)流中的后續(xù)包則需再進檢查,只需依據(jù)會話表對新收到的報進連接記錄檢查即可。

檢查通過后,該連接狀態(tài)記錄將被刷新,從避開重復(fù)檢查具有相同連接狀態(tài)的數(shù)據(jù)包。

連接會話表的記錄可以隨便排列,與記錄固定排列的不同,于是狀態(tài)檢測防墻可采諸如叉樹或哈希等算法進快速搜尋,提了系統(tǒng)的傳輸效率。

平安性較:連接狀態(tài)清單是動態(tài)管理的。

會話完成后防墻上所創(chuàng)建的臨時返回報隨即關(guān)閉,保障了內(nèi)部絡(luò)的實時平安。