防火墙技术分类

防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其在接入Internet网络时应用最多。

网络防火墙技术的主要功能包括入侵检测、网络地址转换、审计监控、强化网络安全服务等。现代防火墙按技术分类,可以分成以下以下三类:

一、包过滤(Packet filtering)防火墙

包过滤方式是一种通用、廉价和有效的安全手段。它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务。一般的路由器都提供数据包过滤功能,它能很大程度上满足绝大多数企业及家庭安全要求。

在防火墙技术的发展过程中,包过滤技术出现了两种不同版本,第一代静态包过滤技术和第二代动态包过滤技术。

包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。其弱点比较明显的,过滤判断的依据只是网络层和传输层的有限信息,所以各种安全要求不可能充分满足。在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,防火墙性能会受到很大地影响。由于缺少上 下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议。另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。同时,它对运维人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,包过滤通常是和应用网关配合使用,共同组成防火墙系统。

二、应用代理(Application Proxy)防火墙

应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。

在代理型防火墙技术的发展过程中,经历了两个不同的版本:第一代应用网关代理防火墙和第二代自适应代理防火墙。

代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,都经过代理服务器审核,通过后再由代理服务器代为连接,给内、外部网络计算机不会产生直接会话,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。

代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务,为内、外部网络用户建立连接需要时间。

三、状态(Stateful firewall)防火墙

这是继包过滤技术和应用代理技术后发展的防火墙技术,它通过采用一种被称为“状态监视”的模块,对网络通信各个层级实现监测,并根据各种过滤规则作出安全策略。它使用的“安全监视”技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息分析的基础上,进一步发展了“会话过滤”功能,在连接建立时,防之墙会对该连接建立一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行。这种防火墙也可以提供动态数据包过滤(Dynamic Packet Filtering)的功能。

通过跟踪连接状态,状态防火墙可以提高数据包检查的效率。 这是因为对于现有连接,防火墙仅需要检查状态表,而不需要对照防火墙的规则集去检查数据包。 此外,在与状态表匹配的情况下,防火墙也不需要执行深度数据包检查。

pfSense和OPNsense都属于状态防火墙。

此条目发表在OTHER分类目录,贴了标签。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注