HOME 首頁
SERVICE 服務產品
XINMEITI 新媒體代運營
CASE 服務案例
NEWS 熱點資訊
ABOUT 關于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    防火墻技術主要包括(防火墻技術主要包括什么和什么兩種)

    發(fā)布時間:2023-03-08 21:35:26     稿源: 創(chuàng)意嶺    閱讀: 834        問大家

    大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關于防火墻技術主要包括的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。

    創(chuàng)意嶺作為行業(yè)內優(yōu)秀的企業(yè),服務客戶遍布全球各地,相關業(yè)務請撥打電話:175-8598-2043,或添加微信:1454722008

    本文目錄:

    防火墻技術主要包括(防火墻技術主要包括什么和什么兩種)

    一、防火墻技術有哪些?

    1) 最小特權

    最小特權原則是指一個對象應該只擁有為執(zhí)行其分配的任務所必要的最小特權并且絕不超越此限。最小特權是最基本的保安原則。對任一對象指程序、人、路由器或者任何事物,應該只給它需要履行某些特定任務的那些特權而不是更多。

    2) 縱深防御

    縱深防御的原則是另一重要原則??v深防御是指不能只依賴單一安全機制,應該建立多種機制,互相支撐以達到比較滿意的目的。

    3) 阻塞點

    阻塞點就是設置一個窄道,在那里可以對攻擊者進行監(jiān)視和控制

    4) 最薄弱鏈接

    對于最薄弱鏈接,解決的方法在于那段鏈接盡量堅固并在發(fā)生危險前保持強度的均衡性。

    5) 失效保護狀態(tài)

    失效保護是說如果系統(tǒng)運行錯誤,那么它們發(fā)生故障時會拒絕侵略者訪問,更不用說讓侵略者進來了。除非糾錯之后,這種故障可能也會導致合法用戶無法使用。

    6) 普遍參與

    為了安全機制更有效,絕大部分安全保護系統(tǒng)要求站點人員普遍參與(或至少沒有反對者)。一個站點的安全系統(tǒng)要靠全體人員的努力。

    7) 防御多樣化

    通過大量不同類型的系統(tǒng)得到額外的安全保護。

    8) 簡單化

    讓事情簡單使它們易于理解,復雜化會為所有類型的事情提供隱藏的角落和縫隙。

    二、防火墻技術分為兩類?

    分為“包過濾型”和“應用代理型”兩大類包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發(fā)到相應的目的地,其余數據包則被從數據流中丟棄。

    應用代理型防火墻是工作在OSI的最高層,即應用層。其特點是完全"阻隔"了網絡通信流,通過對每種應用服務編制專門的代理程序,實現監(jiān)視和控制應用層通信流的作用。

    三、防火墻基本技術

    防火墻的基本技術

    防火墻是在對網絡的服務功能和拓撲結構詳細分析的基礎上,在被保護對象周圍通過的專用軟件、硬件以及

    管理措施的綜合,對跨越網絡邊界的信息進行監(jiān)測、控制甚至修改的設施。目前使用的防火墻技術主要有包過濾

    和代理服務技術等,用這些技術可以分別做成具有不同功能的防火墻部件。

    ⒈包過濾技術

    包過濾(Packet Filtering)技術就是在網絡的適當位置對數據包進行審查,審查的依據是系統(tǒng)內設置的過濾

    邏輯——訪問控制表(Access Control table)。包過濾器逐一審查每份數據包并判斷它是否與包過濾規(guī)則相匹配。

    過濾規(guī)則以順行處理數據包頭信息為基礎,即通過對IP包頭和TCP包頭或UDP包頭的檢查而實現。包過濾工作在網

    絡層,故也稱網絡防火墻。

    在Internet技術中還使用內容過濾技術,擔任內容過濾的軟件有“黑名單”軟件、“白名單”軟件和內容選

    擇平臺(Platform for Internet Content Selection,PICS)。

    “黑名單”軟件是第一代Internet內容過濾軟件,其工作原理是封鎖住不應檢索的網址。其中最有名的是(Cyber

    NOT,它記錄了大約7000個網址?!鞍酌麊巍避浖堑诙鶬nternet內容過濾軟件,其工作原理是先封鎖全部網址,

    然后只開放應檢索的網址。

    PICS是由麻省理工學院計算機科學實驗室的Jim Miller教授開發(fā)的第三代Internet內容過濾軟件。它的主要工

    作是對每一個網頁的內容進行分類,并根據內容加上標簽,同時由計算機軟件對網頁的標簽進行檢測,以限制對特

    定內容網頁的檢索。

    數據包過濾防火墻網絡邏輯簡單、性能和透明性好,一般安裝在路由器上。路由器是內部網絡與Internet連接

    的必要設備是一種天然的防火墻,它可以決定對到來的數據包是否進行轉發(fā)。這種防火墻實現方式相當簡捷,效率

    較高,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

    包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無

    法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,

    騙過包過濾型防火墻,一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊。進一步說,由于數據包的源地址、

    目標地址以及IP的端口號都在數據包的頭部,很有可能被竊聽或假冒;并且它缺乏用戶日志(Log)和審計 (Audit)信

    息,不具備登錄和報告性能,不能進行審核管理,因而過濾規(guī)則的完整性難以驗證,所以安全性較差。

    ⒉代理服務技術

    ⑴代理服務概述

    代理服務器(Proxy Server)是位于兩個網絡(如Internet和Intranet)之間的一種常見服務器,如果把網絡防火墻

    比做門衛(wèi),代理服務器就好比是接待室。門衛(wèi)只根據證件決定來訪者是否可以進入,而接待室在內部人員與來訪者之

    間真正隔起一道屏障,它位于客戶機與服務器之間,完全阻擋了二者間的數據交流。其特別之處就在于它的雙重角色,

    從客戶機來看,它相當于一臺真正的服務器;而從服務器來看,它又是一臺真正的客戶機。當客戶機需要使用服務

    器上的數據時,首先將數據請求發(fā)給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務

    器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企

    業(yè)內部網絡系統(tǒng)。

    代理服務技術可以運用于應用層,也可以運用于傳輸層。運用于應用層的代理服務與過濾路由器組合的防火墻,

    被稱為應用層網關,它們是面對不同的應用的。運用于傳輸層的代理服務防火墻,實際上是TCP/UDP連接中繼服務。

    ⑵代理服務器的工作原理

    圖8-9所示表明了代理服務器(應用網關)的工作原理。

    ①代理服務器運行后,它的核心部件——應用代理程序啟動,并開始監(jiān)聽某個應用端口(這個應用端口是由安全管

    理員設定的);

    ②外部客戶需要訪問內部服務器時,發(fā)送請求到對應的應用端口;

    ③代理服務器將請求轉發(fā)給內部服務器;

    ④服務器的應答也通過代理服務器發(fā)給外部客戶。

    一旦應用代理程序與服務器之間的連接建立,也就在客戶與服務器之間建立了一個虛連接,這個虛連接是由兩

    條虛連接(客戶端到代理服務器的客戶連接和代理服務器到服務器的服務器連接)和代理服務器(應用代理程序)的

    中轉實現。

    圖8-9代理服務器工作原理

    ⑶應用代理程序

    應用代理程序是代理服務器的核心部件。對于應用網關來說,應用代理程序是根據不同的應用協(xié)議進行設計的,

    根據所代理的應用協(xié)議,應用網關可以分為FTP網關、Telnet網關、Web網關等,它們各有對應的應用代理程序。

    ⑷代理服務器的功能

    ①中轉數據。

    ②對傳輸的數據進行預處理常見的有地址過濾、關鍵字過濾和協(xié)議過濾。

    ③對中轉數據提供詳細的日志和審計。

    ④節(jié)省IP地址。使用網絡地址轉換服務(Network Address Translation,NAT),可以屏蔽內部網絡的IP地址,使所

    有用戶對外只用一個IP地址,但這也給黑客留下了隱藏自己真實的IP地址,而逃避監(jiān)視的隱患。

    ⑤節(jié)省網絡資源。代理服務常常設置一個較大的硬盤存儲空間,用于存放通過的信息,當內部用戶再訪問相同的信

    息時,就可以直接從緩沖區(qū)中讀取。

    代理服務的隔離作用強,具有對過往的數據包進行分析監(jiān)控、注冊登記、過濾、記錄和報告等功能,可以針對

    應用層進行偵測和掃描,當發(fā)現被攻擊跡象時會向網絡管理員發(fā)出警報,并能保留攻擊痕跡,因此,具有比包過濾

    更強的防火墻功能。它的缺點是必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復

    雜性。

    ⒊堡壘主機

    運行防火墻軟件(例如運行應用代理程序)的主機稱為堡壘主機。堡壘主機是防火墻最關鍵的部件,也是入侵者

    最關注的部件,因此它必須健壯,必須不容易被攻破。

    四、防火墻包括哪些類型?

    目前防火墻產品非常之多,劃分的標準也比較雜。

    主要分類如下:

    1.

    從軟、硬件形式上分為

    軟件防火墻和硬件防火墻以及芯片級防火墻。

    2.從防火墻技術分為

    “包過濾型”和“應用代理型”兩大類。

    3.從防火墻結構分為

    <

    單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

    4.

    按防火墻的應用部署位置分為

    邊界防火墻、個人防火墻和混合防火墻三大類。

    5.

    按防火墻性能分為

    百兆級防火墻和千兆級防火墻兩類。

    以上就是關于防火墻技術主要包括相關問題的回答。希望能幫到你,如有更多相關問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內容。


    推薦閱讀:

    景觀設計如何考慮防火(景觀設計如何考慮防火問題)

    防火墻技術主要包括(防火墻技術主要包括什么和什么兩種)

    建立網絡防火墻的安全準則包括(建立網絡防火墻的安全準則包括什么)

    發(fā)布廣告的平臺免費

    陜西日式景觀設計報價(日式景觀設計公司)