防火墻技術(shù)主要包括（防火墻技術(shù)主要包括什么和什么兩種）

大家好！今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于防火墻技術(shù)主要包括的問(wèn)題，以下是小編對(duì)此問(wèn)題的歸納整理，讓我們一起來(lái)看看吧。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，相關(guān)業(yè)務(wù)請(qǐng)撥打電話：175-8598-2043，或添加微信：1454722008

本文目錄:

• 1、防火墻技術(shù)有哪些?

• 2、防火墻技術(shù)分為兩類？

• 3、防火墻基本技術(shù)

• 4、防火墻包括哪些類型?

一、防火墻技術(shù)有哪些?

1) 最小特權(quán)

最小特權(quán)原則是指一個(gè)對(duì)象應(yīng)該只擁有為執(zhí)行其分配的任務(wù)所必要的最小特權(quán)并且絕不超越此限。最小特權(quán)是最基本的保安原則。對(duì)任一對(duì)象指程序、人、路由器或者任何事物，應(yīng)該只給它需要履行某些特定任務(wù)的那些特權(quán)而不是更多。

2) 縱深防御

縱深防御的原則是另一重要原則。縱深防御是指不能只依賴單一安全機(jī)制，應(yīng)該建立多種機(jī)制，互相支撐以達(dá)到比較滿意的目的。

3) 阻塞點(diǎn)

阻塞點(diǎn)就是設(shè)置一個(gè)窄道，在那里可以對(duì)攻擊者進(jìn)行監(jiān)視和控制

4) 最薄弱鏈接

對(duì)于最薄弱鏈接，解決的方法在于那段鏈接盡量堅(jiān)固并在發(fā)生危險(xiǎn)前保持強(qiáng)度的均衡性。

5) 失效保護(hù)狀態(tài)

失效保護(hù)是說(shuō)如果系統(tǒng)運(yùn)行錯(cuò)誤，那么它們發(fā)生故障時(shí)會(huì)拒絕侵略者訪問(wèn)，更不用說(shuō)讓侵略者進(jìn)來(lái)了。除非糾錯(cuò)之后，這種故障可能也會(huì)導(dǎo)致合法用戶無(wú)法使用。

6) 普遍參與

為了安全機(jī)制更有效，絕大部分安全保護(hù)系統(tǒng)要求站點(diǎn)人員普遍參與（或至少?zèng)]有反對(duì)者）。一個(gè)站點(diǎn)的安全系統(tǒng)要靠全體人員的努力。

7) 防御多樣化

通過(guò)大量不同類型的系統(tǒng)得到額外的安全保護(hù)。

8) 簡(jiǎn)單化

讓事情簡(jiǎn)單使它們易于理解，復(fù)雜化會(huì)為所有類型的事情提供隱藏的角落和縫隙。

二、防火墻技術(shù)分為兩類？

分為“包過(guò)濾型”和“應(yīng)用代理型”兩大類包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò)。只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

三、防火墻基本技術(shù)

防火墻的基本技術(shù)

防火墻是在對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)詳細(xì)分析的基礎(chǔ)上，在被保護(hù)對(duì)象周圍通過(guò)的專用軟件、硬件以及

管理措施的綜合，對(duì)跨越網(wǎng)絡(luò)邊界的信息進(jìn)行監(jiān)測(cè)、控制甚至修改的設(shè)施。目前使用的防火墻技術(shù)主要有包過(guò)濾

和代理服務(wù)技術(shù)等，用這些技術(shù)可以分別做成具有不同功能的防火墻部件。

⒈包過(guò)濾技術(shù)

包過(guò)濾(Packet Filtering)技術(shù)就是在網(wǎng)絡(luò)的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行審查，審查的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾

邏輯——訪問(wèn)控制表(Access Control table)。包過(guò)濾器逐一審查每份數(shù)據(jù)包并判斷它是否與包過(guò)濾規(guī)則相匹配。

過(guò)濾規(guī)則以順行處理數(shù)據(jù)包頭信息為基礎(chǔ)，即通過(guò)對(duì)IP包頭和TCP包頭或UDP包頭的檢查而實(shí)現(xiàn)。包過(guò)濾工作在網(wǎng)

絡(luò)層，故也稱網(wǎng)絡(luò)防火墻。

在Internet技術(shù)中還使用內(nèi)容過(guò)濾技術(shù)，擔(dān)任內(nèi)容過(guò)濾的軟件有“黑名單”軟件、“白名單”軟件和內(nèi)容選

擇平臺(tái)(Platform for Internet Content Selection，PICS)。

“黑名單”軟件是第一代Internet內(nèi)容過(guò)濾軟件，其工作原理是封鎖住不應(yīng)檢索的網(wǎng)址。其中最有名的是(Cyber

NOT，它記錄了大約7000個(gè)網(wǎng)址?！鞍酌麊巍避浖堑诙鶬nternet內(nèi)容過(guò)濾軟件，其工作原理是先封鎖全部網(wǎng)址，

然后只開(kāi)放應(yīng)檢索的網(wǎng)址。

PICS是由麻省理工學(xué)院計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的Jim Miller教授開(kāi)發(fā)的第三代Internet內(nèi)容過(guò)濾軟件。它的主要工

作是對(duì)每一個(gè)網(wǎng)頁(yè)的內(nèi)容進(jìn)行分類，并根據(jù)內(nèi)容加上標(biāo)簽，同時(shí)由計(jì)算機(jī)軟件對(duì)網(wǎng)頁(yè)的標(biāo)簽進(jìn)行檢測(cè)，以限制對(duì)特

定內(nèi)容網(wǎng)頁(yè)的檢索。

數(shù)據(jù)包過(guò)濾防火墻網(wǎng)絡(luò)邏輯簡(jiǎn)單、性能和透明性好，一般安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接

的必要設(shè)備是一種天然的防火墻，它可以決定對(duì)到來(lái)的數(shù)據(jù)包是否進(jìn)行轉(zhuǎn)發(fā)。這種防火墻實(shí)現(xiàn)方式相當(dāng)簡(jiǎn)捷，效率

較高，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)

法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，

騙過(guò)包過(guò)濾型防火墻，一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊。進(jìn)一步說(shuō)，由于數(shù)據(jù)包的源地址、

目標(biāo)地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒；并且它缺乏用戶日志(Log)和審計(jì) (Audit)信

息，不具備登錄和報(bào)告性能，不能進(jìn)行審核管理，因而過(guò)濾規(guī)則的完整性難以驗(yàn)證，所以安全性較差。

⒉代理服務(wù)技術(shù)

⑴代理服務(wù)概述

代理服務(wù)器(Proxy Server)是位于兩個(gè)網(wǎng)絡(luò)(如Internet和Intranet)之間的一種常見(jiàn)服務(wù)器，如果把網(wǎng)絡(luò)防火墻

比做門(mén)衛(wèi)，代理服務(wù)器就好比是接待室。門(mén)衛(wèi)只根據(jù)證件決定來(lái)訪者是否可以進(jìn)入，而接待室在內(nèi)部人員與來(lái)訪者之

間真正隔起一道屏障，它位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。其特別之處就在于它的雙重角色，

從客戶機(jī)來(lái)看，它相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，它又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)

器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)

器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企

業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理服務(wù)技術(shù)可以運(yùn)用于應(yīng)用層，也可以運(yùn)用于傳輸層。運(yùn)用于應(yīng)用層的代理服務(wù)與過(guò)濾路由器組合的防火墻，

被稱為應(yīng)用層網(wǎng)關(guān)，它們是面對(duì)不同的應(yīng)用的。運(yùn)用于傳輸層的代理服務(wù)防火墻，實(shí)際上是TCP/UDP連接中繼服務(wù)。

⑵代理服務(wù)器的工作原理

圖8-9所示表明了代理服務(wù)器(應(yīng)用網(wǎng)關(guān))的工作原理。

①代理服務(wù)器運(yùn)行后，它的核心部件——應(yīng)用代理程序啟動(dòng)，并開(kāi)始監(jiān)聽(tīng)某個(gè)應(yīng)用端口(這個(gè)應(yīng)用端口是由安全管

理員設(shè)定的)；

②外部客戶需要訪問(wèn)內(nèi)部服務(wù)器時(shí)，發(fā)送請(qǐng)求到對(duì)應(yīng)的應(yīng)用端口；

③代理服務(wù)器將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部服務(wù)器；

④服務(wù)器的應(yīng)答也通過(guò)代理服務(wù)器發(fā)給外部客戶。

一旦應(yīng)用代理程序與服務(wù)器之間的連接建立，也就在客戶與服務(wù)器之間建立了一個(gè)虛連接，這個(gè)虛連接是由兩

條虛連接(客戶端到代理服務(wù)器的客戶連接和代理服務(wù)器到服務(wù)器的服務(wù)器連接)和代理服務(wù)器(應(yīng)用代理程序)的

中轉(zhuǎn)實(shí)現(xiàn)。

圖8-9代理服務(wù)器工作原理

⑶應(yīng)用代理程序

應(yīng)用代理程序是代理服務(wù)器的核心部件。對(duì)于應(yīng)用網(wǎng)關(guān)來(lái)說(shuō)，應(yīng)用代理程序是根據(jù)不同的應(yīng)用協(xié)議進(jìn)行設(shè)計(jì)的，

根據(jù)所代理的應(yīng)用協(xié)議，應(yīng)用網(wǎng)關(guān)可以分為FTP網(wǎng)關(guān)、Telnet網(wǎng)關(guān)、Web網(wǎng)關(guān)等，它們各有對(duì)應(yīng)的應(yīng)用代理程序。

⑷代理服務(wù)器的功能

①中轉(zhuǎn)數(shù)據(jù)。

②對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行預(yù)處理常見(jiàn)的有地址過(guò)濾、關(guān)鍵字過(guò)濾和協(xié)議過(guò)濾。

③對(duì)中轉(zhuǎn)數(shù)據(jù)提供詳細(xì)的日志和審計(jì)。

④節(jié)省IP地址。使用網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)(Network Address Translation，NAT)，可以屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，使所

有用戶對(duì)外只用一個(gè)IP地址，但這也給黑客留下了隱藏自己真實(shí)的IP地址，而逃避監(jiān)視的隱患。

⑤節(jié)省網(wǎng)絡(luò)資源。代理服務(wù)常常設(shè)置一個(gè)較大的硬盤(pán)存儲(chǔ)空間，用于存放通過(guò)的信息，當(dāng)內(nèi)部用戶再訪問(wèn)相同的信

息時(shí)，就可以直接從緩沖區(qū)中讀取。

代理服務(wù)的隔離作用強(qiáng)，具有對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析監(jiān)控、注冊(cè)登記、過(guò)濾、記錄和報(bào)告等功能，可以針對(duì)

應(yīng)用層進(jìn)行偵測(cè)和掃描，當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并能保留攻擊痕跡，因此，具有比包過(guò)濾

更強(qiáng)的防火墻功能。它的缺點(diǎn)是必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)

雜性。

⒊堡壘主機(jī)

運(yùn)行防火墻軟件(例如運(yùn)行應(yīng)用代理程序)的主機(jī)稱為堡壘主機(jī)。堡壘主機(jī)是防火墻最關(guān)鍵的部件，也是入侵者

最關(guān)注的部件，因此它必須健壯，必須不容易被攻破。

四、防火墻包括哪些類型?

目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。

主要分類如下：

1.

從軟、硬件形式上分為

軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

2.從防火墻技術(shù)分為

“包過(guò)濾型”和“應(yīng)用代理型”兩大類。

3.從防火墻結(jié)構(gòu)分為

<

單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

4.

按防火墻的應(yīng)用部署位置分為

邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

5.

按防火墻性能分為

百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

以上就是關(guān)于防火墻技術(shù)主要包括相關(guān)問(wèn)題的回答。希望能幫到你，如有更多相關(guān)問(wèn)題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。

推薦閱讀：

景觀設(shè)計(jì)如何考慮防火（景觀設(shè)計(jì)如何考慮防火問(wèn)題）

防火墻技術(shù)主要包括（防火墻技術(shù)主要包括什么和什么兩種）

建立網(wǎng)絡(luò)防火墻的安全準(zhǔn)則包括（建立網(wǎng)絡(luò)防火墻的安全準(zhǔn)則包括什么）

發(fā)布廣告的平臺(tái)免費(fèi)

陜西日式景觀設(shè)計(jì)報(bào)價(jià)（日式景觀設(shè)計(jì)公司）