防火墙技术研究与防火墙构建毕业论文(2)
2013-11-30 01:34
导读:优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术。 缺点
优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术。
缺点:在应用支持方面存在不足,执行速度较慢。
(3)状态监视技术
这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤
进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠
与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通
过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在
过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
3.防火墙的体系结构
目前,防火墙的体系结构有以几种:
(1)包过滤防火墙
也称作过滤过滤路由器,它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。配置图如下图所示:
包过滤防火墙
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
优点:1)易实现;2)不要求运行的应用程序做任何改动或安装特定的软件,也无需对用户进行特定的培训。
(科教范文网 fw.nseac.com编辑发布)
缺点:1)依赖一个单一的设备来保护系统,一旦该设备(过滤路由器)发生故障,则网络门户开放。2)很少或没有日志记录能力,当网络被入侵时,无法保留攻击者的踪迹。包防火墙适于小型简单的网络。
(2)双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双宿主主机防火墙。它不使用包过滤规则,而是在外部网络和被保护的内部网络之间设置一个网关,隔断IP层之间的直接传输。两个网络中的主机不能直接通信,两个网络之间的通信通过应用层数据共享或应用层代理服务来实现。如下图所示:
双宿主主机防火墙
