防火墙的基本准则: 1、一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提 供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的环境,因为只有经 过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用 的服务范围受到限制。 2、一切未被禁止的就是允许的。基于该准则,防火墙就转发所有信息流,然后逐项屏 蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。 其弊端是,在日益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范围增大 时,很难提供可靠的安全防护。 防火墙的基本类型有: (1)包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路 由器都提供了包过滤的功能。另外,PC机上同样可以安装包过滤软件。包过滤规则以IP包信 息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等 进行筛选。包过滤在OSI协议网络层进行。 (2)、代理服务型(Proxy Sservice):代理服务型防火墙通常由两部分构成,服务 器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访 问的外部服务器实际连接。与包过滤防火墙不同的是,内部网与外部网之间不存在直接的连 接,同时提供日志(Log)及审计(Audit)服务 。 (3)、复合型(Hybrid)防火墙:把包过滤和代理服用两种方法结合起来,可以形成 新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。 (4)、 其他防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。 双宿主主机防火墙(Dual-Homed Host Firewall)。堡垒主机充当网关,并在其上运 行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。 主机过滤防火墙(Screened Host Firewall)。一个包过滤路由器与外部网相连,同时, 一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不 受外部非授权用户的攻击。 加密路由器(Encrypting Router)。加密路由器对通过路由器的信息流进行加密和压 缩,然后通过外部网络传输到目的端进行解压缩和解密。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-10-1 12:16 , Processed in 0.132885 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.