2万+  知识点  标题检索     全文检索
       防火墙基本分类及实现原理
        根据防火墙实现原理的不同,可将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙。
               包过滤防火墙
               包过滤防火墙是在网络的入口对通过的数据包进行选择,只有满足条件的数据包才能通过;否则被抛弃。
               包过滤防火墙是多址的,它有两个或两个以上网络适配器或接口。包过滤防火墙中每个IP包的字段都会被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,与规则不匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。包过滤防火墙是通过规则的组合来完成复杂策略的。
               包过滤防火墙的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。其缺陷是包过滤防火墙是完全基于网络层的安全技术,只能对数据包的来源、目标和端口等信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
               应用层网关防火墙
               应用层网关防火墙不允许在它连接的网络之间直接通信,而是接受来自内部网特定用户应用程序的通信,然后建立与公共网络服务器单独的连接。
               应用层网关防火墙又称代理(Proxy),网络内部的用户不能直接与外部的服务器通信,服务器不能直接访问内部网的任何一部分。代理服务器必须为特定的应用程序安装代理程序代码,才能建立连接,从而为安全性提供了额外的保证。
               代理型防火墙的优点是安全性较高,可以针对应用层进行检测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,从而大大增加了系统管理的复杂性。
               状态检测防火墙
               状态检测防火墙又称为动态包过滤防火墙,是在传统包过滤上的功能扩展,通过跟踪防火墙的网络连接和数据包,使用一组附加的标准确定是允许还是拒绝通信。
               状态检测防火墙能够对多层的数据进行主动、实时的检测,在对这些数据加以分析的基础上,检测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自网络内部的恶意破坏也有极强的防范作用。
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2019 All Rights Reserved 软考在线版权所有