分析防火墻技術(shù)的類型

在選擇高防護(hù)服務(wù)器租賃時(shí)，了解防火墻的相關(guān)知識(shí)可以幫助我們做出更好的選擇。防火墻又稱防護(hù)墻，是內(nèi)外網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，允許或限制數(shù)據(jù)傳輸?shù)耐ㄟ^(guò)。

防火墻技術(shù)主要分為四類：

網(wǎng)絡(luò)級(jí)防火墻

網(wǎng)絡(luò)級(jí)防火墻一般以源地址和目的地址、應(yīng)用、協(xié)議為基礎(chǔ)IP包的端口可以判斷是否通過(guò)。路由器是傳統(tǒng)的網(wǎng)絡(luò)防火墻。大多數(shù)路由器可以通過(guò)檢查這些信息來(lái)決定是否轉(zhuǎn)發(fā)收到的包，但它無(wú)法判斷一個(gè)IP包從哪里來(lái)，去哪里。檢查防火墻的每一條規(guī)則，直到發(fā)現(xiàn)包中的信息與某一規(guī)則一致。如果沒(méi)有規(guī)則可以滿足，防火墻將使用默認(rèn)規(guī)則。一般來(lái)說(shuō)，默認(rèn)規(guī)則要求防火墻丟棄包。其次，基于定義TCP或UDP防火墻可以判斷數(shù)據(jù)包的端口號(hào)是否允許建立特定的連接，如Telnet、FTP連接。

應(yīng)用級(jí)網(wǎng)關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)可以檢查進(jìn)出數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳輸數(shù)據(jù)，防止信任服務(wù)器與客戶機(jī)與不信任主機(jī)之間的直接聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)可以理解應(yīng)用層上的協(xié)議，進(jìn)行復(fù)雜的訪問(wèn)控制，并進(jìn)行精細(xì)的注冊(cè)和審計(jì)。它可以分析和形成特殊的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，即數(shù)據(jù)過(guò)濾協(xié)議，并可以分析數(shù)據(jù)包并形成相關(guān)報(bào)告。應(yīng)用網(wǎng)關(guān)嚴(yán)格控制一些易于登錄和控制所有輸出輸入的通信環(huán)境，以防止有價(jià)值的程序和數(shù)據(jù)被盜。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)完成。但每個(gè)協(xié)議都需要相應(yīng)的代理軟件，工作量大，效率低于網(wǎng)絡(luò)級(jí)防火墻。應(yīng)用級(jí)網(wǎng)關(guān)具有良好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但難以實(shí)現(xiàn)，部分應(yīng)用級(jí)網(wǎng)關(guān)缺乏透明度。在實(shí)際使用中，用戶可以通過(guò)防火墻訪問(wèn)網(wǎng)絡(luò)Internet經(jīng)常會(huì)發(fā)現(xiàn)延遲，必須多次登錄(Login)才能訪問(wèn)Internet或Intranet。

電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)用于監(jiān)控可信客戶或服務(wù)器與不可信主機(jī)之間的監(jiān)控TCP握手信息決定會(huì)話(Session)電路級(jí)網(wǎng)關(guān)是否合法OSI模型中的會(huì)話層過(guò)濾數(shù)據(jù)包，比過(guò)濾防火墻高二層。電路級(jí)網(wǎng)關(guān)還提供了一個(gè)重要的安全功能：代理服務(wù)器(Proxy Server)。設(shè)置代理服務(wù)器Internet防火墻網(wǎng)關(guān)的特殊應(yīng)用級(jí)代碼。該代理服務(wù)允許網(wǎng)絡(luò)管理員允許或拒絕特定的應(yīng)用程序或應(yīng)用程序的特定功能。包裝過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數(shù)據(jù)包，一旦滿足判斷條件，防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)將暴露在外部用戶面前，這引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接通過(guò)兩個(gè)鏈接終止代理服務(wù)，成功實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)，代理服務(wù)也可用于實(shí)施強(qiáng)大的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告功能。代理服務(wù)技術(shù)主要由特殊的計(jì)算機(jī)硬件（如工作站）承擔(dān)。

檢查防火墻的規(guī)則

防火墻結(jié)合了包裝過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它和包裝過(guò)濾防火墻一樣，規(guī)則檢查防火墻OSI通過(guò)網(wǎng)絡(luò)層IP地址和端口號(hào)，過(guò)濾進(jìn)出的數(shù)據(jù)包。它也象電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否合乎邏輯有序。當(dāng)然，它也可以像應(yīng)用級(jí)網(wǎng)關(guān)一樣OSI檢查應(yīng)用層數(shù)據(jù)包的內(nèi)容，檢查這些內(nèi)容是否符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。雖然規(guī)則檢查防火墻集成了前三個(gè)特點(diǎn)，但與應(yīng)用級(jí)網(wǎng)關(guān)不同的是，它不打破客戶機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層的數(shù)據(jù)。它允許信任的客戶機(jī)與不信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依賴于與應(yīng)用層相關(guān)的代理，而是依賴于某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)。這些算法通過(guò)已知的合法數(shù)據(jù)包模式比較進(jìn)出數(shù)據(jù)包，理論上比應(yīng)用級(jí)代理更有效。

四類防火墻技術(shù)各有優(yōu)勢(shì)。在使用中，需要根據(jù)具體需要確定選擇哪一種或是否混合。