HOME 首頁
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運(yùn)營(yíng)
CASE 服務(wù)案例
NEWS 熱點(diǎn)資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    防火墻技術(shù)主要包括(防火墻技術(shù)主要包括什么和什么兩種)

    發(fā)布時(shí)間:2023-03-08 21:35:26     稿源: 創(chuàng)意嶺    閱讀: 834        問大家

    大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻技術(shù)主要包括的問題,以下是小編對(duì)此問題的歸納整理,讓我們一起來看看吧。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,相關(guān)業(yè)務(wù)請(qǐng)撥打電話:175-8598-2043,或添加微信:1454722008

    本文目錄:

    防火墻技術(shù)主要包括(防火墻技術(shù)主要包括什么和什么兩種)

    一、防火墻技術(shù)有哪些?

    1) 最小特權(quán)

    最小特權(quán)原則是指一個(gè)對(duì)象應(yīng)該只擁有為執(zhí)行其分配的任務(wù)所必要的最小特權(quán)并且絕不超越此限。最小特權(quán)是最基本的保安原則。對(duì)任一對(duì)象指程序、人、路由器或者任何事物,應(yīng)該只給它需要履行某些特定任務(wù)的那些特權(quán)而不是更多。

    2) 縱深防御

    縱深防御的原則是另一重要原則。縱深防御是指不能只依賴單一安全機(jī)制,應(yīng)該建立多種機(jī)制,互相支撐以達(dá)到比較滿意的目的。

    3) 阻塞點(diǎn)

    阻塞點(diǎn)就是設(shè)置一個(gè)窄道,在那里可以對(duì)攻擊者進(jìn)行監(jiān)視和控制

    4) 最薄弱鏈接

    對(duì)于最薄弱鏈接,解決的方法在于那段鏈接盡量堅(jiān)固并在發(fā)生危險(xiǎn)前保持強(qiáng)度的均衡性。

    5) 失效保護(hù)狀態(tài)

    失效保護(hù)是說如果系統(tǒng)運(yùn)行錯(cuò)誤,那么它們發(fā)生故障時(shí)會(huì)拒絕侵略者訪問,更不用說讓侵略者進(jìn)來了。除非糾錯(cuò)之后,這種故障可能也會(huì)導(dǎo)致合法用戶無法使用。

    6) 普遍參與

    為了安全機(jī)制更有效,絕大部分安全保護(hù)系統(tǒng)要求站點(diǎn)人員普遍參與(或至少?zèng)]有反對(duì)者)。一個(gè)站點(diǎn)的安全系統(tǒng)要靠全體人員的努力。

    7) 防御多樣化

    通過大量不同類型的系統(tǒng)得到額外的安全保護(hù)。

    8) 簡(jiǎn)單化

    讓事情簡(jiǎn)單使它們易于理解,復(fù)雜化會(huì)為所有類型的事情提供隱藏的角落和縫隙。

    二、防火墻技術(shù)分為兩類?

    分為“包過濾型”和“應(yīng)用代理型”兩大類包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

    應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

    三、防火墻基本技術(shù)

    防火墻的基本技術(shù)

    防火墻是在對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)詳細(xì)分析的基礎(chǔ)上,在被保護(hù)對(duì)象周圍通過的專用軟件、硬件以及

    管理措施的綜合,對(duì)跨越網(wǎng)絡(luò)邊界的信息進(jìn)行監(jiān)測(cè)、控制甚至修改的設(shè)施。目前使用的防火墻技術(shù)主要有包過濾

    和代理服務(wù)技術(shù)等,用這些技術(shù)可以分別做成具有不同功能的防火墻部件。

    ⒈包過濾技術(shù)

    包過濾(Packet Filtering)技術(shù)就是在網(wǎng)絡(luò)的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行審查,審查的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾

    邏輯——訪問控制表(Access Control table)。包過濾器逐一審查每份數(shù)據(jù)包并判斷它是否與包過濾規(guī)則相匹配。

    過濾規(guī)則以順行處理數(shù)據(jù)包頭信息為基礎(chǔ),即通過對(duì)IP包頭和TCP包頭或UDP包頭的檢查而實(shí)現(xiàn)。包過濾工作在網(wǎng)

    絡(luò)層,故也稱網(wǎng)絡(luò)防火墻。

    在Internet技術(shù)中還使用內(nèi)容過濾技術(shù),擔(dān)任內(nèi)容過濾的軟件有“黑名單”軟件、“白名單”軟件和內(nèi)容選

    擇平臺(tái)(Platform for Internet Content Selection,PICS)。

    “黑名單”軟件是第一代Internet內(nèi)容過濾軟件,其工作原理是封鎖住不應(yīng)檢索的網(wǎng)址。其中最有名的是(Cyber

    NOT,它記錄了大約7000個(gè)網(wǎng)址。“白名單”軟件是第二代Internet內(nèi)容過濾軟件,其工作原理是先封鎖全部網(wǎng)址,

    然后只開放應(yīng)檢索的網(wǎng)址。

    PICS是由麻省理工學(xué)院計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的Jim Miller教授開發(fā)的第三代Internet內(nèi)容過濾軟件。它的主要工

    作是對(duì)每一個(gè)網(wǎng)頁的內(nèi)容進(jìn)行分類,并根據(jù)內(nèi)容加上標(biāo)簽,同時(shí)由計(jì)算機(jī)軟件對(duì)網(wǎng)頁的標(biāo)簽進(jìn)行檢測(cè),以限制對(duì)特

    定內(nèi)容網(wǎng)頁的檢索。

    數(shù)據(jù)包過濾防火墻網(wǎng)絡(luò)邏輯簡(jiǎn)單、性能和透明性好,一般安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接

    的必要設(shè)備是一種天然的防火墻,它可以決定對(duì)到來的數(shù)據(jù)包是否進(jìn)行轉(zhuǎn)發(fā)。這種防火墻實(shí)現(xiàn)方式相當(dāng)簡(jiǎn)捷,效率

    較高,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

    包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無

    法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,

    騙過包過濾型防火墻,一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊。進(jìn)一步說,由于數(shù)據(jù)包的源地址、

    目標(biāo)地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒;并且它缺乏用戶日志(Log)和審計(jì) (Audit)信

    息,不具備登錄和報(bào)告性能,不能進(jìn)行審核管理,因而過濾規(guī)則的完整性難以驗(yàn)證,所以安全性較差。

    ⒉代理服務(wù)技術(shù)

    ⑴代理服務(wù)概述

    代理服務(wù)器(Proxy Server)是位于兩個(gè)網(wǎng)絡(luò)(如Internet和Intranet)之間的一種常見服務(wù)器,如果把網(wǎng)絡(luò)防火墻

    比做門衛(wèi),代理服務(wù)器就好比是接待室。門衛(wèi)只根據(jù)證件決定來訪者是否可以進(jìn)入,而接待室在內(nèi)部人員與來訪者之

    間真正隔起一道屏障,它位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。其特別之處就在于它的雙重角色,

    從客戶機(jī)來看,它相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,它又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)

    器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)

    器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企

    業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

    代理服務(wù)技術(shù)可以運(yùn)用于應(yīng)用層,也可以運(yùn)用于傳輸層。運(yùn)用于應(yīng)用層的代理服務(wù)與過濾路由器組合的防火墻,

    被稱為應(yīng)用層網(wǎng)關(guān),它們是面對(duì)不同的應(yīng)用的。運(yùn)用于傳輸層的代理服務(wù)防火墻,實(shí)際上是TCP/UDP連接中繼服務(wù)。

    ⑵代理服務(wù)器的工作原理

    圖8-9所示表明了代理服務(wù)器(應(yīng)用網(wǎng)關(guān))的工作原理。

    ①代理服務(wù)器運(yùn)行后,它的核心部件——應(yīng)用代理程序啟動(dòng),并開始監(jiān)聽某個(gè)應(yīng)用端口(這個(gè)應(yīng)用端口是由安全管

    理員設(shè)定的);

    ②外部客戶需要訪問內(nèi)部服務(wù)器時(shí),發(fā)送請(qǐng)求到對(duì)應(yīng)的應(yīng)用端口;

    ③代理服務(wù)器將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部服務(wù)器;

    ④服務(wù)器的應(yīng)答也通過代理服務(wù)器發(fā)給外部客戶。

    一旦應(yīng)用代理程序與服務(wù)器之間的連接建立,也就在客戶與服務(wù)器之間建立了一個(gè)虛連接,這個(gè)虛連接是由兩

    條虛連接(客戶端到代理服務(wù)器的客戶連接和代理服務(wù)器到服務(wù)器的服務(wù)器連接)和代理服務(wù)器(應(yīng)用代理程序)的

    中轉(zhuǎn)實(shí)現(xiàn)。

    圖8-9代理服務(wù)器工作原理

    ⑶應(yīng)用代理程序

    應(yīng)用代理程序是代理服務(wù)器的核心部件。對(duì)于應(yīng)用網(wǎng)關(guān)來說,應(yīng)用代理程序是根據(jù)不同的應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)的,

    根據(jù)所代理的應(yīng)用協(xié)議,應(yīng)用網(wǎng)關(guān)可以分為FTP網(wǎng)關(guān)、Telnet網(wǎng)關(guān)、Web網(wǎng)關(guān)等,它們各有對(duì)應(yīng)的應(yīng)用代理程序。

    ⑷代理服務(wù)器的功能

    ①中轉(zhuǎn)數(shù)據(jù)。

    ②對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行預(yù)處理常見的有地址過濾、關(guān)鍵字過濾和協(xié)議過濾。

    ③對(duì)中轉(zhuǎn)數(shù)據(jù)提供詳細(xì)的日志和審計(jì)。

    ④節(jié)省IP地址。使用網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)(Network Address Translation,NAT),可以屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址,使所

    有用戶對(duì)外只用一個(gè)IP地址,但這也給黑客留下了隱藏自己真實(shí)的IP地址,而逃避監(jiān)視的隱患。

    ⑤節(jié)省網(wǎng)絡(luò)資源。代理服務(wù)常常設(shè)置一個(gè)較大的硬盤存儲(chǔ)空間,用于存放通過的信息,當(dāng)內(nèi)部用戶再訪問相同的信

    息時(shí),就可以直接從緩沖區(qū)中讀取。

    代理服務(wù)的隔離作用強(qiáng),具有對(duì)過往的數(shù)據(jù)包進(jìn)行分析監(jiān)控、注冊(cè)登記、過濾、記錄和報(bào)告等功能,可以針對(duì)

    應(yīng)用層進(jìn)行偵測(cè)和掃描,當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并能保留攻擊痕跡,因此,具有比包過濾

    更強(qiáng)的防火墻功能。它的缺點(diǎn)是必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)

    雜性。

    ⒊堡壘主機(jī)

    運(yùn)行防火墻軟件(例如運(yùn)行應(yīng)用代理程序)的主機(jī)稱為堡壘主機(jī)。堡壘主機(jī)是防火墻最關(guān)鍵的部件,也是入侵者

    最關(guān)注的部件,因此它必須健壯,必須不容易被攻破。

    四、防火墻包括哪些類型?

    目前防火墻產(chǎn)品非常之多,劃分的標(biāo)準(zhǔn)也比較雜。

    主要分類如下:

    1.

    從軟、硬件形式上分為

    軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

    2.從防火墻技術(shù)分為

    “包過濾型”和“應(yīng)用代理型”兩大類。

    3.從防火墻結(jié)構(gòu)分為

    <

    單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

    4.

    按防火墻的應(yīng)用部署位置分為

    邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

    5.

    按防火墻性能分為

    百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

    以上就是關(guān)于防火墻技術(shù)主要包括相關(guān)問題的回答。希望能幫到你,如有更多相關(guān)問題,您也可以聯(lián)系我們的客服進(jìn)行咨詢,客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。


    推薦閱讀:

    景觀設(shè)計(jì)如何考慮防火(景觀設(shè)計(jì)如何考慮防火問題)

    防火墻技術(shù)主要包括(防火墻技術(shù)主要包括什么和什么兩種)

    建立網(wǎng)絡(luò)防火墻的安全準(zhǔn)則包括(建立網(wǎng)絡(luò)防火墻的安全準(zhǔn)則包括什么)

    發(fā)布廣告的平臺(tái)免費(fèi)

    陜西日式景觀設(shè)計(jì)報(bào)價(jià)(日式景觀設(shè)計(jì)公司)