包過濾技術是壹種簡單、有效的安全控制技術,它工作在網絡層,通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則,對通過設備的數據包進行檢查,限制數據包進出內部網絡。
防火墻技術有哪些?防火墻的核心技術及最新防火墻技術
包過濾的最大優點是對用戶透明,傳輸性能高。但由於安全控制層次在網絡層、傳輸層,安全控制的力度也只限於源地址、目的地址和端口號,因而只能進行較為初步的安全控制,對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。
2.應用代理技術
應用代理防火墻工作在OSI的第七層,它通過檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。
應用網關防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:壹個是從客戶端到防火墻,另壹個是從防火墻到服務器。另外,每個代理需要壹個不同的應用進程,或壹個後臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火墻具有可伸縮性差的缺點。
3.狀態檢測技術
狀態檢測防火墻工作在OSI的第二至四層,采用狀態檢測包過濾的技術,是傳統包過濾功能擴展而來。狀態檢測防火墻在網絡層有壹個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息,並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案,同時具有較好的適應性和擴展性。狀態檢測防火墻壹般也包括壹些代理級的服務,它們提供附加的對特定應用程序數據內容的支持。
狀態檢測防火墻基本保持了簡單包過濾防火墻的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火墻的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成壹個個的事件來處理。主要特點是由於缺乏對應用層協議的深度檢測功能,無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。
4.完全內容檢測技術
完全內容檢測技術防火墻綜合狀態檢測與應用代理技術,並在此基礎上進壹步基於多層檢測架構,把防病毒、內容過濾、應用識別等功能整合到防火墻裏,其中還包括IPS功能,多單元融為壹體,在網絡界面對應用層掃描,把防病毒、內容過濾與防火墻結合起來,這體現了網絡與信息安全的新思路,(因此也被稱為“下壹代防火墻技術”)。它在網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火墻可以檢查整個數據包內容,根據需要建立連接狀態表,網絡層保護強,應用層控制細等優點,但由於功能集成度高,對產品硬件的要求比較高。