防火墙的分类
传统防火墙总体上分为包过滤、应用级网关和代理服务器几大类型
数据包过滤
数据包过滤(Packet Filtering
)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑 ,被称为访问控制表(Access Control Table
)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:
- 非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;
- 数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
过滤规则考虑的因素如下:
IP
源或目的地址- 在
IP
数据包中协议类型字段:TCP
、UDP
、ICMP
、OSPF
等 TCP
或UDP
的源和目的端口TCP
标识比特:SYN
、ACK
等ICMP
报文类型- 数据包离开和进入网络的不同规则
- 对不同路由器接口的不同规则
状态分组过滤器
状态分组过滤器会跟踪TCP
连接,并使用这种知识做出过滤决定。
状态分组过滤器通过一张连接表来跟踪所有进行中的TCP
连接来解决这个问题。
用于状态过滤器的连接表
源地址 | 目的地址 | 源端口 | 目的端口 |
---|---|---|---|
222.22.1.7 | 37.96.87.123 | 12699 | 80 |
222.22.93.2 | 199.1.205.23 | 37654 | 80 |
用于专题过滤器的访问控制列表
动作 | 源地址 | 目的地址 | 协议 | 源端口 | 目的端口 | 标识比特 | 核对连接 |
---|---|---|---|---|---|---|---|
允许 | 222.22、16 | 222.22/16的外部 | TCP | >1023 | 80 | 任意 | |
允许 | 222.22/16的外部 | 222.22/16 | TCP | 80 | >1023 | ACK | X |
允许 | 222.22/16 | 222.22/16的外部 | UDP | >1023 | 53 | - | |
允许 | 222.22/16的外部 | 222.22/16 | UDP | 53 | >1023 | - | X |
拒绝 | 全部 | 全部 | 全部 | 全部 | 全部 | 全部 |
应用级网关
应用级网关(Application Level Gateways
)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登i- 记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。
一旦满足逻辑,则防火墙内外计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部网络结构和运行状态,这有利于实施非法访问和攻击。
代理服务
代理服务(Proxy Service
)也称链路级网关或TCP
通道(Circuit Level Gateways or TCP Tunnels
), 也有人将它归于应用级网关一类。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接", 由两个终止代理服务器上的"链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。