WEB开发网
开发学院网络安全防火墙 防火墙的分类及优缺点综述 阅读

防火墙的分类及优缺点综述

 2008-01-20 12:11:22 来源:WEB开发网   
核心提示: 如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,防火墙的分类及优缺点综述(3),但状态包检查是很有力和适应性的技术,例如,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器

如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。

状态/动态检测防火墙可提供的其他一些额外的服务有:

将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发到SecutID服务器(用一次性口令来使用)。

拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。

跟踪连接状态的方式取决于包通过防火墙的类型:

TCP包。当建立起一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后再两个系统之间的包,直到连接结束为止。在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。

UDP包。UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。可是,如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包,情况和UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。

上一页  1 2 3 4 5 6 7  下一页

Tags:防火墙 分类 优缺点

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接