防火墙技术
防火墙是内网与外网的屏障,控制着进、出网络的通信。防火墙的核心是一系列的访问控制规则,根据规则来控制内网与外网的通信。目前有3种类型的防火墙产品:
1、包过滤防火墙
包过滤防火墙设置在网络层,以通过对数据包的包头信息进行过滤为基础,根据包头中的源IP、目的IP、源端口、目的端口、协议类型等进行过滤。这种防火墙速度最快。
2、代理防火墙
代理防火墙又称为应用层网关防火墙,它是基于软件的代理,代理防火墙作为内部网络客户端的服务器,拦截住所有要求,也向客户端转发响应。代理客户(Proxy Client)负责代表内部客户端向外部服务器发出请求,当然也向代理防火墙转发响应。代理防火墙起到中间转接的作用。
3、状态检测防火墙
它使用了一个在防火墙上执行网络安全策略的软件模块。称为监测引擎。
例如:向某个网站请求WEB页面,当数据包到达防火墙时,状态检测引擎会检测到这是一个发起连接的初始数据包(由SYN标志),然后它就会把这个数据包中的信息与防火墙规则作比较,如果没有相应规则允许,防火墙就会拒绝这次连接,当然在这里它会发现有一条规则允许我访问外部WEB服务,于是它允许数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息,对于TCP连接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这个数据包不含SYN标志,也就是说这个数据包不是发起一个新的连接时,状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较,如果信息匹配,就直接允许数据包通过,这样不再去接受规则的检查,提高了效率,如果信息不匹配,数据包就会被丢弃或连接被拒绝,并且每个会话还有一个超时值,过了这个时间,相应会话条目就会被从状态表中删除掉。就上面外部WEB网站对我的响应包来说,由于状态检测引擎会检测到返回的数据包属于WEB连接的那个会话,所以它会动态打开端口以允许返回包进入,传输完毕后又动态地关闭这个端口 。
责任编辑:刀刀
您现在的位置: 