防火墙概技术及其特点

防火墙概技术及其特点大家知道，传统防火墙的类型主要有三种：包过滤、应用层网关和代理，每种都有各自的特点。1、数据包过滤防火墙技术数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessContro*Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。包过滤的优点是一个过滤路由器能协助保护整个网络，数据包过滤对用户透明，过滤路由器速度快、效率高；缺点是不能彻底防止地址欺骗，一些应用协议不适合于数据包过滤，正常的数据包过滤路由器无法执行某些安全策略。2、应用层网关防火墙技术应用层网关(ApplicationLeve*Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。3、代理防火墙技术代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLeve*GatewaysorTCPTunnels)，也有人将它归于应用层网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。三、新一代防火墙技术及其应用新一代防火墙的目的主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现TCP/IP协议的微内核，从而在TCP/IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密(DES和RSA)，提供对虚拟网VPN的强大支持；内部信息完全隐藏；产生一个新的防火墙理论。新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性提升到又一高度。智能防火墙的关键技术有：*防攻击技术智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYNFlooding，LandAttack，UDPFlooding，FraggleAttack，PingFlooding，Smurf，PingofDeath，UnreachableHost等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。防扫描技术智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。*防欺骗技术智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。*入侵防御技术智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。*包擦洗和协议正常化技术智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。*AAA技术IPv4版本的一大缺陷是缺