下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙按照访问控制方式分类
防墙根据访问掌握式分类包过滤防墙特点:包过滤是指在络层对每个数据包进检查,依据配置的平安策略转发或丢弃数据包。
包过滤防墙的基本原理是:通过配置访问掌握列表,实施数据包的过滤。
主要基于数据包中的源的地址、源的端号、标识和报传递的向等信息。
优点:设计简洁,易于实现,价格廉价。
缺点:随着简单度和长度的增加,其过滤性能呈指数下降趋势静态的规章难以适应动态的平安要求包过滤不检查会话状态也不分析数据,这很简单让客蒙混过关。
例如,攻击者可以使假冒地址进哄骗,通过把主机地址设成个合法主机地址,就能很轻易地通过报过滤器代理防墙特点:代理服务作于络的应层,其实质是把内部络和外部络户之间直接进的业务由代理接管。
代理检查来户的恳求,户通过平安策略检查后,该防墙将代表外部户与真正的服务器建连接,转发外部户恳求,并将真正服务器返回的响应回送给外部户。
优点:能够完全掌握络信息的交换,掌握会话过程,具有较的平安性。
缺点:软件实现限制了处理速度,易于患病拒绝服务攻击需要针对每种协议开发应层代理,开发周期长,且升级困难状态检测防墙特点:状态检测是包过滤技术的扩展。
基于连接状态的包过滤在进数据包的检查时,不仅将每个数据包看成是独单元,还要考虑前后报的历史关联性。
我们知道,全部基于牢靠连接的数据流即基于协议的数据流的建都需要经过“客户端同步恳求”、“服务器应答”以及“客户端再应答”三个过程即“三次握”过程,这说明每个数据包都不是独存在的,是前后有着亲密的状态联系的。
基于这种状态联系,从进展出状态检测技术。
基本原理:状态检测防墙使各种会话表来追踪激活的会话和伪会话,由访问掌握列表打算建哪些会话,数据包只有与会话相关联时才会被转发。
其中伪会话是在处理协议包时为该数据流建虚拟连接是对连接的协议,以对连接过程进状态监控的会话。
状态检测防墙在络层截获数据包,然后从各应层提取出平安策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接恳求来做出恰当打算。
优点:后续数据包处理性能优异:状态检测防墙对数据包进检查的同时,可以将数据流连接状态记录下来,该数据流中的后续包则需再进检查,只需依据会话表对新收到的报进连接记录检查即可。
检查通过后,该连接状态记录将被刷新,从避开重复检查具有相同连接状态的数据包。
连接会话表的记录可以随便排列,与记录固定排列的不同,于是状态检测防墙可采诸如叉树或哈希等算法进快速搜寻,提了系统的传输效率。
平安性较:连接状态清单是动态管理的。
会话完成后防墙上所创建的临时返回报随即关闭,保障了内部络的实时平安。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论