防火墻的種類分幾種?都有哪些作用?
數據包過濾、應用級網關、代理服務。
第壹
、數據包過濾:數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯,被稱為訪問控制表(Access
Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。
數據包過濾防火墻邏輯簡單,價格便宜,易於安裝和使用,網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備,因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。
數據包過濾防火墻的缺點有二:壹是非法訪問壹旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部,很有可能假冒。
第二
、應用級網關 :應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火墻有壹個***同的特點,就是它們僅僅依*特定的邏輯判定是否允許數據包通過。壹旦滿足邏輯,則防火墻內外的計算機系統建立直接聯系,防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態,這有利於實施非法訪問和攻擊。
第三、
代理服務 :代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP
Tunnels),也有人將它歸於應用級網關壹類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的"
鏈接",由兩個終止代理服務器上的"
鏈接"來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、註冊登記,形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,並保留攻擊痕跡。