防火牆工作方式 基本分類和優缺點

http://film.56tw.com
http://www.56tw.comInternet的迅速發展給現代人的生產和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺;而與此同時給人們帶來了一個日益嚴峻的問題―――網絡安全。網絡的安全性成為當今最熱門的話題之一，很多企業為了保障自身服務器或數據安全都採用了防火牆。隨著科技的發展，防火牆也逐漸被大眾所接受。但是，由於防火牆是屬於高科技產物，許多的人對此還並不是了解的十分透徹。而這篇文章就是給大家講述了防火牆工作的方式，以及防火牆的基本分類，並且討論了每一種防火牆的優缺點。 　　一、防火牆的基本分類 　　1.包過濾防火牆 第一代防火牆和最基本形式防火牆檢查每一個通過的網絡包，或者丟棄，或者放行，取決於所建立的一套規則。這稱為包過濾防火牆。 本質上，包過濾防火牆是多址的，表明它有兩個或兩個以上網絡適配器或接口。例如，作為防火牆的設備可能有兩塊網卡(NIC)，一塊連到內部網絡，一塊連到公共的Internet。防火牆的任務，就是作為“通信警察”，指引包和截住那些有危害的包。 包過濾防火牆檢查每一個傳入包，查看包中可用的基本信息(源地址和目的地址、端口號、協議等)。然後，將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接，而包的目的端口是23的話，那麼該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。 多個複雜規則的組合也是可行的。如果允許Web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規則相匹配，才可以讓該包通過。 最後，可以確定當一個包到達時，如果對該包沒有規則被定義，接下來將會發生什麼事情了。通常，為了安全起見，與傳入規則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規則來處理它。 建立包過濾防火牆規則的例子如下： 對來自專用網絡的包，只允許來自內部地址的包通過，因為其他包包含不正確的包頭部信息。這條規則可以防止網絡內部的任何人通過欺騙性的源地址發起攻擊。而且，如果黑客對專用網絡內部的機器具有了不知從何得來的訪問權，這種過濾方式可以阻止黑客從網絡內部發起攻擊。 在公共網絡，只允許目的地址為80端口的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同端口的連接，所以它並不是十分安全。 丟棄從公共網絡傳入的包，而這些包都有你的網絡內的源地址，從而減少IP欺騙性的攻擊。 丟棄包含源路由信息的包，以減少源路由攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過網絡應採取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火牆可以減少這種方式的攻擊。