2024年5月12日发(作者:360应用商店下载安装)
防火墙技术的研究以及发展
防火墙技术的研究
一、防火墙简介
1.防火墙的概念
防火墙的本义是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候
蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。
2.防火墙的发展
1第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤Packet filter技术。
2第二、三代防火墙
,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层
防火墙,同时提出了第三代防火墙——应用层防火墙代理防火墙的初步结构。
3第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤Dynamic packet
filter技术的第四代防火墙,后来演变为目前所说的状态监视Stateful inspection技术。
4第五代防火墙
1998年,NAI公司推出了一种自适应代理Adaptive proxy技术,并在其产品
Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称
之为第五代防火墙。
二、防火墙的类型
从技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。
包过滤型防火墙Packet Filter Firewall通常建立在路由器上,在服务器或计算机
上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网
络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口
号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员
预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行
或丢弃。
代理服务器型防火墙Proxy Service Firewall通过在计算机或服务器上运行代理的
服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。代理服务器
型防火墙的核心,是运行于防火墙主机上的代理服务器进程,实质上是为特定网络应用连
接企业内部网与Internet的网关。
复合型防火墙Hybrid Firewall把包过滤、代理服务和许多其他的网络安全防护功能
结合起来,形成新的网络安全平台,以提高防火墙的灵活性和安全性。
三、防火墙技术原理
防火墙从原理上主要有三种技术:包过滤PackeFiltering技术、代理服务
ProxyService技术和状态检测StateInspection技术。
1.包过滤PacketFiltering技术
在基于TCP/IP协议的计算机网络上,所有网络上的计算机都是利用IP地址的唯一标
志来确定其在网络中的位置的,而所有来往于计算机之间的信息都是以一定格式的数据包
的形式来传输的,数据包中包含了标志发送者位置的IP地址、端口号和接受者位置的IP
地址、端口号等地址信息。当这些数据包被送上计算机网络时,路由器会读取数据包中接
受者的IP地址,并根据这一IP地址选择一条合适的物理线路把数据包发送出去,当所有
的数据包都到达目的主机之后再被重新组装还原。包过滤性防火墙就是根据数据在网络上
的这一传输原理来设计的,它可以实现网络中数据包的访问控制。首先包过滤防火墙会检
查所有通过它的数据流中每个数据包的IP包头信息,然后按照网络管理员所设定的过滤
规则进行过滤。
2.代理服务ProxyService技术
代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码,是在网管员允
许下或拒绝特定的应用程序或者特定服务,还可应用于实施数据流监控、过滤、记录和报
告等功能。在应用层,提供应用层服务的控制,起到内部网络向外部网络申请服务时中间
转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他接点的直接请求。代
理的工作原理比较简单。用户与代理服务器建立连接,将目的站点告知代理,对于合法的
请求,代理以自己的身份应用层网关与目的站点建立连接,然后代理在这两个连接中转发
数据。其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能
提供全部的审计和日志功能,能隐藏内部IP地址,能实现比包过滤路由器更严格的安全
策略。
3.状态检测StateInspection技术
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由Checkpoint提出。
状态检测作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软
件引擎,称为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据状
发布者:admin,转转请注明出处:http://www.yc00.com/num/1715450064a2620202.html
评论列表(0条)