三种常见新型防火墙技术 各自有优缺点

最新推荐文章于 2023-11-05 14:16:50 发布
最新推荐文章于 2023-11-05 14:16:50 发布
阅读量1.1w 收藏 18
点赞数 4
分类专栏: 网络安全 文章标签: 防火墙 路由器 工作 tcp 服务器 加密

转自:http://cso.ccw.com.cn/news/htm2009/20090711_1247309843644.shtml

常见防火墙的类型主要有三种:包过滤、电路层网关、应用层网关,每种都有各自的优缺点。

包过滤是第一代防火墙技术,它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于底层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。

包过滤的优缺点

优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。

缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。

代理是一种较新型的防火墙技术,这种防火墙有时也被称为应用层网关,这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。

电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应用程序。在电路层网关中,可能要安装特殊的客户机软件,用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。

代理技术的优缺点

优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。

缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。

新型防火墙技术

我们的目标是设计并实现一种新型防火墙。这种防火墙既有包过滤的功能,又能在应用层进行代理。较前面分析的防火墙来说,具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理。TCP/IP协议和代理的直接相互配合,使本系统的防欺骗能力和运行的健壮性都大大提高。

设计目标

我们设计新型防火墙的目标是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏;产生一个新的防火墙理论。

TCP/IP协议处理

TCP/IP协议处理是本系统的难点和重点之一,非常复杂与庞大。实现TCP/IP的第一步必须能正确地理解定义、实现TCP/IP各协议的数据包格式。

数据链路层是TCP/IP协议的最低层,它的常规功能是对上层数据(IP或ARP)进行物理帧的封装与拆封,当然还包括硬件寻址、管理等功能。在本系统中,数据链路层除了实现上述功能外,还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。

从一般的概念来说,ARP和ICMP都属于IP层,实际上,ICMP在IP层之上,利用IP层收、发数据包,而ARP/RARP则在IP层之下,它们本身并不使用IP层,而是直接在数据链路层上进行收发。

IP层的处理较复杂,且可做许多安全方面的工作。若在极端的情况下,我们可以修改IP报头,增加安全机制(如认证)。考虑到系统的性能及兼容性,我们没有选择这种方法,而是利用了包过滤技术和ICMP、ARP提供的功能,提供安全机制。当然,随着安全方面技术的发展,也许第一种方法会是一种好的选择,但前提是路由器的支持。目前,大部分路由器只能处理常规的IP包(即IPV4),对于新出台的IPV6(它提供了更多的选项,我们可在选项中增加安全机制),路由器还远未支持。

我们在ARP协议上所做的工作主要想达到以下几个目的:防止ARP欺骗(即MAC地址欺骗);有条件地禁止ARP工作;查询主机硬件地址;提供ARP服务;检测ARP报文。

利用上述几项功能,我们能确保内部ARP欺骗的无效,查出欺骗的主机并记录,尤其能防止ARP层的拒绝服务。我们通过主机级被动检测、主机级主动检测、服务器级检测、网络级检测、查询主机硬件地址、有条件地禁止ARP等机制实现以上功能。

ICMP是为了允许路由器向主机报告投递出错的原因和一些控制而设计的。但事实上,任何一台主机都可以向任何其他机器发送ICMP报文,如Ping。

ICMP在本系统中的作用主要是:隐藏子网内主机信息和施加一些控制。ICMP虽然有一定的作用,如差错报告,但也有更大的安全隐患。一般来讲,对外部,ICMP应禁止(很多过滤路由器有此项功能)。

我们主要是采用了三种策略隐藏子网内主机信息:

◆对内部主机的ICMP包,虽然转发,但改写了ICMP包中的源IP地址,使外部不能看到内部的IP地址。

◆外部ICMP请求包一律抛弃。

◆对内部有请求时,才动态地接收外部主机的响应, 且一些ICMP危胁安全的响应也抛弃,如改变路由的ICMP包。

另外,我们可以借助ICMP来获得一些参数和一些控制,如时钟同步、地址掩码,并可利用ICMP目的地不可达报文“优雅”地通知不受欢迎的主机。

IP是通信子网的最高层,它的主要任务是寻址和转发。IP层最大的安全问题是IP欺骗,且很多上层的安全隐患源于IP欺骗,如DNS欺骗。IP层常用的安全措施是根据源地址、目的地址进行过滤,这一点已在很多路由器中得到应用。在本系统的IP层主要完成以下几个功能:IP地址过滤;IP地址与MAC绑定,防止IP欺骗;为上层提供一种通道。

TCP/UDP存在数据包伪装、SYN Flood攻击等安全隐患。为避免上述情况,必须要增加一定的验证措施,我们利用TCP的特征,设计了一种较有效的过滤手段,对TCP报文的有效性进行确认。

我们的产品不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使新型防火墙的安全性提升到又一高度。



00M
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一种新型的USB通信技术研究
11-05
通用串行总线(Universal Serial Bus,简称USB)是在1995年被提出来的,并由Compaq,Digital Equipment Corp(现属于Compaq),IBM,Intel,Microsoft,NEC和Northern Telecom等7家公司定义和推广。由于USB技术具有易于使用、热插拔、速度快、功耗低等特点,使得USB通信技术得到广泛应用。基于此,本文提出了一种基于CH372芯片的USB通信技术,可实现单片机与计算机之间的USB通讯。   1 CH372简介   USB接口芯片种类繁多,基本上可分为两类:一类是内带有CPU通用功能的USB接口芯片,另一类是内部
电源技术中的一种新型不间断电源
12-13
0 引言 在冶金、石化、制药等行业中,有一些重要的生产设备,如冶金企业的炼钢转炉和铜冶炼转炉的传动装置、炼钢转炉氧枪提升传动装置、连铸机大包转台传动装置、石化系统的重要泵类和制药厂的搅拌罐设备、化纤抽丝工艺等,当交流电网出现电压瞬变、停电等故障时,不允许设备中断运转,应当继续运行至完成当前的生产工艺或运转到安全位置再停车,否则会造成很大的经济损失。一般情况下这些设备都是由变频器驱动的,如果采用在线式工业UPS不仅造价昂贵、而且电源的利用效率会下降很多。多数企业因没有后备电源而不得不承受电网故障造成的损失。因此,对一种投资小、效率高的不间断电源系统需求非常旺盛。 1 系统工作原理 该新型不间断电
ZigBee:一种新型的移动无线技术
01-19
你可能有一个有蓝牙功能的移动电话,你可能有一个Wi- Fi网络。不久,你可能会在你的房子里使用第三种无线网络技术。   这就是所谓的ZigBee。一种可以连接更多设备的技术。   可能不需要太长的时间,ZigBee的应用技术就会普及开来,可能在你的电视遥控器中,在你的智能电表中,都会见到zigbee的身影。甚至可以设想一下,在不久的将来,当你正在路上走的时候,发现家里的电视没关,你不用着急赶回家,而是使用你的ZigBee网络来控制使其关闭。   “ZigBee是一个相当强大的,对于许多应用来说都非常好的技术,”Sam LuceroABI公司的行业分析师Sam Lucero表示。   Z
LED照明优缺点及其应用
08-27
2010 年我国全社会耗电总量超过4万亿度, 其中照明用电占12%, 约5 000 亿度,可见在照明领域的节能有着重要的效益。照明节能的重点在于提高光源的光效和降低灯具本身损耗, LED光源就是在这种背景下发展起来的。作为新一代绿色照明光源, LED光源有环保、节能、寿命长、体积小等特点, 必将是21世纪代表性的新型光源。
网络安全与新型防火墙技术.pdf
10-03
朱革媚,周传华,赵保华.网络安全与新型防火墙技术[J].计算机工程与设计.2001
【网络安全学习笔记1】防火墙分类以及各自优缺点
suancaiyufei的博客
11-12 3938
一、防火墙是什么? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。——搜狗百科 通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具
包过滤防火墙和代理防火墙各自的优缺点
网工小小威
07-02 1万+
包过滤防火墙 优点 ①利用路由器本身的包过滤功能,以ACL方式实现 ②处理速度较快 ③对于安全要求低的网络采用路由器自带防火墙功能时,不需要其他设备 ④对于用户来说是透明的,用户的应用层不受影响 缺点 ①无法阻止ip欺骗 ②路由器的过滤规则的设置和配置十分复杂 ③不支持应用层协议,无法发现基于应用层的攻击 ④实施的是静态的、固定的控制,不能跟踪TCP状态 ⑤不支持用户认证 ...
什么是防火墙?详解三种常见防火墙及各自的优缺点
最新发布
luming的博客
11-05 2385
本文旨在介绍防火墙的相关概念以及功能和特征,以及主流的三种类型的防火墙的原理和各自的优缺点
netfilter/iptables 简介
weixin_30924239的博客
07-19 243
netfilter 是 Linux 内置的一种防火墙机制,我们一般也称之为数据包过滤机制。iptables 则是一个命令行工具,用来配置 netfilter 防火墙。下图展示了一个带有防火墙的简单网络拓扑结构: 图中的 Linux 主机既充当了路由器的角色,同时又充当了防火墙的角色。本文我们将以该拓扑结构介绍 netfilter/iptables 防火墙中的基本概念和主要功能。说明:本文的演...
防火墙三种模式(路由/透明/混合模式)的特点
Grimm的博客
10-06 7407
路由模式:所有接口配置ip地址,可以进行包过滤,但是修改拓扑时费事 透明模式:顾名思义,用户感觉不到防火墙的存在,所有接口不需要配置ip地址, trust连接内网, untrust连接外网 混合模式:防火墙同时存在路由接口和透明接口, 一般使用在双机热备,启动vrrp功能接口需要配置ip地址,其他接口不需要配置ip地址 ...
模拟技术中的种新型微小爬壁机器人
12-06
引 言   近年来,机器人在国家安全、工业检测和反恐任务中越来越得到人们的重视,国际上许多成功的机器人平台已经建立,如Carnegie Mellon大学的Millibot机器人,Min-nesota大学的Scout机器人,iRobot公司的Urban机器人等。然而,这些机器人都不具有爬壁、在天花板行走和穿越管道的能力。目前,有许多专家对具有爬壁能力的机器人做了研究,Ali Sadegh运用旋涡回转装置设计的爬壁机器人,Kevin Rogers运用吸附技术设计的连续运动清扫爬壁机器人,Carlos Grieco运用磁性吸附技术设计的六足爬壁机器人,Shigeo HIROSE运用磁性吸附技术
一种新型混合动力汽车检测技术
01-18
汽车行业的快速发展促进了汽车电子行业的发展,混合动力车型(Hybrid Electric Vehicle,HEV)作为汽车行业的新发展方向,受到了国家的重视。从技术、节能减排效果、产业化能力等诸多方面考虑,混合动力具备了传统内燃机和电动机的优势,将在较长一段时间内占据优势。混合动力车辆技术避免了纯电动车辆在电池技术和能源基础设施上的不足,成为近期新型车辆研究开发的热点。经过国家“863计划”的支持与发展,我国的混合动力车辆技术正在迅速迈向产业化。 1 混合动力控制系统   实现混合动力车共有三个关键因素:能够对汽车运行状态详细监控的系统;分析监控系统所获取的信息,并发出相应的控制命令;相比
分析加工机床领域伺服电机技术的发展与优缺点
10-22
主要有传统的“旋转伺服电机和精密高速滚珠丝杠”和新型的“直线电机直接驱动”两种类型的高速高精加工机床的进给驱动。   滚珠丝杠由于工艺成熟而广泛应用,不仅精确度能达到比较高,且实现高速化的成本也相对比较低,所以现在仍被许多高速加工机床所采用。目前使用滚珠丝杠驱动的高速加工机床最大移动速度为90m/min,加速度为1.5g。但滚珠丝杠毕竟是机械传动,从伺服电机到移动部件间有一系列机械元件,就会存在弹性变形、摩擦与反向间隙,从而造成运动滞后以及其它非线性的误差,当前滚珠丝杠副的移动速度和加速度都已提高了比较多,进一步提高的余地非常有限。从1993 年,在机床进给上就开始应用直线电机直接驱动,它是
Linux新型防火墙技术NETFILTER及应用.pdf
09-07
Linux新型防火墙技术NETFILTER及应用.pdf
防火墙的三种工作模式介绍
10-01
主要介绍了防火墙的三种工作模式介绍,需要的朋友可以参考下
【转】防火墙技术详细说明及技术发展趋势
学习........
09-14 1250
防火墙技术详细说明及技术发展趋势2007-09-07 来自:lizhe1985  [收藏到我的网摘]来源:赛迪网一、防火墙技术发展概述   传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别
防火墙的类型分类
qq_41666619的博客
08-09 4359
现在的web应用防火墙主要分为以下三种类型:包过滤、应用代理、状态监测。     包过滤防火墙:现在静态包过滤防火墙市面上已经看不到了,取而代之的是动态包过滤技术防火墙。     代理防火墙:因为一些特使的报文可以轻松突破包过滤防火墙的保护,比如SYN攻击、ICMP 洪水攻击,所以一代理服务器作为专门卫用户保密或者突破访问限制的数据转发通道的应用防火墙出现了。其实用了一种应用协议分析的新技术...
防火墙的类型有哪些
qq537013906的博客
09-09 3134
防火墙的类型有哪些
防火墙的安全策略及其三种工作模式
热门推荐
ghost
05-23 2万+
安全策略(缺省情况下,域内安全策略缺省动作为允许):1、域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、Web过滤、应用控制等进一步的应用层检测的作用。      域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。2.应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于IP、MAC地址等...
常见网络安全产品技术优缺点分析
06-12
常见的网络安全产品技术包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、反病毒软件、数据加密技术等,它们各自有其优缺点: 1. 防火墙 优点:防火墙是一种基础的网络安全产品,可以通过限制网络流量的进出口来保护网络免遭攻击。防火墙的安装和配置相对简单,使用普及度高,可以通过规则集来实现对网络流量的过滤和管理。 缺点:防火墙的过滤规则集需要不断更新,否则会出现漏洞,导致网络安全被攻破。此外,防火墙只能对特定的网络流量进行过滤,对于一些高级攻击和安全威胁无法有效防范。 2. 入侵检测系统(IDS) 优点:IDS可以对网络流量进行实时监控和分析,可以检测到各种网络攻击行为,包括端口扫描、漏洞利用、拒绝服务攻击等。 缺点:IDS只能对攻击行为进行检测,但无法对攻击进行阻止,需要配合入侵防御系统(IPS)一起使用。此外,IDS在检测过程中可能会影响网络性能,需要合理配置和使用。 3. 入侵防御系统(IPS) 优点:IPS可以对网络攻击进行实时响应和阻止,可以有效保护网络免遭攻击。与IDS相比,IPS具有更高的安全性。 缺点:IPS需要对网络流量进行深度分析和处理,对网络性能的影响较大,需要合理配置和使用。此外,IPS需要不断更新规则集,否则会出现漏洞,导致网络安全被攻破。 4. 反病毒软件 优点:反病毒软件可以对恶意软件进行检测、清除和隔离,有效保护计算机系统和数据安全。 缺点:针对新型恶意软件的检测和清除需要不断更新病毒库和算法,否则会出现漏洞,导致系统被攻破。此外,反病毒软件只能对已知的恶意软件进行检测和清除,对于未知的恶意软件无法有效防范。 5. 数据加密技术 优点:数据加密技术可以对敏感数据进行加密,保护数据的安全性和隐私性。加密算法越复杂,被破解的难度也越大。 缺点:数据加密技术需要密钥进行解密,如果密钥被泄露或者被黑客攻击获取,数据安全就会面临威胁。此外,加密和解密过程需要消耗大量的计算资源,可能会影响系统性能。 总体来说,网络安全产品技术各有优缺点,需要根据实际需求和情况进行选择和配置,以达到最佳的网络安全保护效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值