超级会员免费看
防火墙技术与Cisco PIX防火墙深度解析
1. 防火墙技术基础
要理解不同的防火墙技术,首先需要对开放系统互连(OSI)参考模型有深入的认识。OSI参考模型的七层结构是网络通信的标准,也是每种防火墙技术的构建基础。通常认为,OSI参考模型的下四层主要处理网络相关事务,而上三层更多地涉及应用功能。
防火墙是实现网络边界安全的主要组件,其功能是根据预定义的规则,允许或拒绝试图通过它的流量。所有防火墙都会检查网络流量,并根据规则集引导流量,但不同防火墙使用的方法可能有所不同。主要有以下三种不同类型的防火墙技术:
- 数据包过滤
- 代理
- 状态检测
2. 数据包过滤
数据包过滤防火墙是最古老且最常用的防火墙技术。它仅检查传入流量中在OSI参考模型网络层和传输层出现的项目。数据包过滤防火墙分析IP数据包,并将其与一组称为访问控制列表(ACL)的既定规则进行比较。具体检查的元素如下:
- 源IP地址
- 源端口
- 目的IP地址
- 目的端口
- 协议(按名称或IP协议编号列出)
流量在网络层和传输层之间通过数据包过滤防火墙,检查网络层的源地址和目的地址以及传输层的传输协议(如TCP或UDP)。将上述元素与ACL(规则集)进行验证,以确定是否允许或拒绝数据包。
使用数据包过滤器的优点是速度快,因为它不关注上层数据。但也存在一些缺点:
- ACL可能非常复杂且难以管理。
- 数据包过滤防火墙可能会被欺骗,允许未经授权的用户使用ACL授权的IP地址进行访问(IP欺骗)。
- 许多新应用(如多媒体应用)会在随机端口上创
订阅专栏 解锁全文
扫一扫
14
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
