包过滤防火墙
-
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议)
-
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
-
包过滤防火墙的缺点主要表现以下几点:
-
随着ACL复杂度和长度的增加,其过滤性能呈指数下降趋势;
-
静态的ACL规则难以适应动态的安全要求;
-
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
-
代理防火墙
-
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
-
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:
-
软件实现限制了处理速度,易于遭受拒绝服务攻击;
-
需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
-
状态检测防火墙
-
基本原理简述如下:
-
状态检测防火墙使用各种会话表来追踪激活的TCP(TransmissionControl Protocol)会话和UDP(UserDatagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP连接过程进行状态监控的会话。
-
状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。
-
优点:
后续数据包处理性能优异
安全性较高