防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴 。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施 。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一 。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务 。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展 。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型 。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术 。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等 。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外 。系统管理员也可以根据实际情况灵活制订判断规则 。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全 。
但包过滤技术的缺陷也是明显的 。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒 。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙 。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准 。它允许具有私有IP地址的内部网络访问因特网 。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址 。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录 。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址 。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问 。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全 。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中 。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求 。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可 。
2.3.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展 。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流 。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机 。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机 。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统 。
推荐阅读
- 花粉得功效 练花粉的功效与作用
- 中兴网络机顶盒系统设置密码 中兴网络机顶盒的使用方法
- 白姜散的功效与作用 白姜散是什么药
- 药物稳定性试验方法用于新药申请需做 药物稳定性试验包括哪些内容
- 古代的丫鬟真的活得很惨吗?
- 汽车购置税优惠政策2023,汽车购置税怎么算?
- 梦见两只熊猫跑我家了 梦见两只熊猫
- 张豪百科 张钱豪个人资料
- 吃了秋葵呕吐怎么回事