【软考】-防火墙

什么是防火墙？

作用

    防止不希望的、未经授权的数据包进出被保护的内部网络，通过边界控制强化内部网络的安全策略。

在网络层

    用来处理信息在内、外网络边界的流动，它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。

在传输层

    进程到进程的加密。

在应用层

    可以进行用户级的身份认证、日志记录和账户管理等。

    综上：防火墙技术就是一套身份认证、价目、数字签名和内容检查集成为一体的安全防护措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙，由防火墙进行分析，以确认它们符合站点设定的安全策略，以提供一种内部站点或网络与Internet的安全屏障。

 

防火墙的分类

1) 包过滤防火墙

    数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内的访问控制表（又叫规则表），规则表指定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所有端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。

 

工作范围：一般直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，

          也看可以由一台单独的计算机来完成数据包的过滤。

优点：

l 对用户完全透明，速度快。

l 成本低，易于配置

缺点

l 不能防范黑客攻击

l 不支持应用层协议

l 不能处理新的安全威胁

 

2) 应用代理网关防火墙

    彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信必须经应用层代理软件转发。

    通过服务建立连接的，可以有更强的身份验证和注册功能。

 

优点

l 可以检查应用层、传输层和网络层的协议特征

l 对数据包的检测能力比较强。

缺点

l 速度非常慢。

l 适用范围难以配置

适用范围

    不支持大规模的并发连接，对速度要求高的行业不能使用这类防火墙。要求预先内置一些已知应用程序的代理。

 

3）状态检测防火墙（又称动态包过滤防火墙）

    在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话的状态。状态检测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

    结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10倍。

 

优点：提高防范能力，改进了流量处理速度

适用范围：能应用在各类网络环境中，一些规则复杂的大型网络上。