防火墙常用的三种技术防火墙知识
关于防火墙常用的三种技术,你知道哪三种技术吗如果你不知道,让我们学习防火墙的三种常用技术。防火墙常用的三种技术:
1。包过滤技术
包过滤防火墙技术是一种最早使用它的第一代模型是静态包过滤(静态包过滤),使用包过滤防火墙技术的网络层通常工作在OSI模型的(网络层),后来更新(动态包过滤;动态数据包过滤(运输)运输层增加层),总之,包过滤技术工作的地方就是各种TCP / IP基于两层作为数据监测对象协议数据包的访问,在头上,地址,协议,端口,和其他类型的每个数据包的信息进行分析。与预先设定好的防火墙过滤规则(过滤规则)检查,一旦发现包的一个或多个部分和过滤规则,和条件在抵抗;,包将被丢弃。设置适当的防火墙过滤规则可以使工作更安全、有效的,但该技术只能根据的过滤规则,法官可设定,一旦没有有害的数据在设计人员期望包请求,保护防火墙是钟摆的等效的。也许你会认为它不能由用户自己做的。但别忘了,我们应该考虑普通计算机用户。并不是每个人都知道网络协议。如果防火墙工具进行过滤,他们只能等待被入侵。使用过滤规则从网络定期升级方法的一些公司,这是一个家庭的一部分可以促进创造性的用户,但对于比较专业的用户,但不一定是一件好事,因为他们可以设定自己的机器环境和变化的规律,如果冲突规则和刚刚升级到用户,郁闷,如果两个规则冲突,听谁的防火墙,不会为你死当场(崩溃)也许是因为考虑到这些因素,我没有看到产品数量将提供过滤规则更新功能,以及病毒库没有杀毒软件在软件升级的原理。为了解决这个问题,提高了包过滤技术,改进的技术称为动态包过滤(一个市场地位的基于状态的包过滤防火墙技术;包过滤,他们其实是同一类型),与它前辈相比,动态包过滤功能在原有的静态包过滤技术的基础上,过滤规则,就已经成功与计算机信息传输连接跟踪,并确定连接发送的数据包将给系统带来的威胁,一旦判断机制触发,防火墙会自动生成暂新的过滤规则日E过滤或修改现有的规则,以防止有害的数据传输,但由于额外的资源和时间动态数据包筛选消费提取数据包的内容需要处理,所以静态包过滤相比,它会降低工作效率,但静态包过滤几乎是不市场,我们可以选择最,只有动态包过滤防火墙。
基于包过滤技术的防火墙,其缺点是很明显的:它可以正常工作,所有的谎言的基础上在过滤规则的实施,但不能满足建立精细规则的要求(规则和防火墙的性能,它是成反比的)只能工作在网络层,传输层,并不能判断高层协议的数据是不好的,但因为它是廉价的,容易实现的,所以它仍然是服务于各个领域,技术人员经常为我们工作。
2。应用代理技术
包过滤技术方法的改进提供数据保护措施,以及一些特殊的消息攻击只使用过滤不消除危害(如SYN攻击、ICMP洪水等),因此人们需要一个更全面的防火墙保护技术,采用在这样的背景下,(应用;剂;应用代理防火墙技术)诞生了。我们的读者还记得概念;代理;代理服务器是广泛应用于网络数据转发通道为用户保密或突破访问限制。我们都知道,一个完整的代理设备包含一个服务器和客户端,服务器接收来自用户的请求,模拟自称是一个用户请求的客户端连接基于转发目标服务器的CTS向目标服务器返回数据给用户,完成了工作过程代理。这一思想创造了一个应用代理;防火墙,防火墙实际上是一个数据过滤功能的透明代理服务器的小测试(透明代理),但它不仅是一个代理设备嵌入在数据包过滤技术,它被称为应用协议分析(应用协议分析);新技术。
协议分析技术应用在OSI模型;顶部mdash;mdash;应用层、访问本层的所有数据都是在最后的形式,也就是说,防火墙看到的数据和我们所看到的是一样的,但不是一个地址端口的协议原始数据包的内容,从而可以实现更高的数据检测过程。代理防火墙本身是映射到一个透明的线,在他们之间出现用户和外部线路连接,没有任何障碍,但实际上这是通过代理防火墙连接到收发数据,当外部数据到代理防火墙客户端、应用协议分析模块;;根据应用层数据的协议,通过处理预设的规则(是的,这是规矩,不能没有防火墙规则)查询这个数据是一种伤害,因为这一层面对的不再是通过组合协议的限制,甚至可以识别类似得到 / SQL Aspid = 1和1数据的内容。所以数据信息确定防火墙不仅能根据数据层,更像管理服务器日志分析为RdQuo;内容的歧视,因为在应用层的工作,防火墙也可以实现双向限制有害数据过滤的外部网络也监控内部网络的信息,管理员可以配置防火墙来实现认证和连接功能,进一步防止内部网络信息泄漏的风险。最后,由于代理防火墙是以代理的工作机制、内部网络和外部网络之间的通信都必须通过代理服务器通过审核,然后由代理服务器的连接,没有给分离的计算机直接会话的内部和外部网络的机会,双方可以避免使用数据驱动攻击入侵者;(一个可以数据包,数据包过滤防火墙规则,但是当它进入计算机处理后,成为了一个恶意代码修改系统设置和用户数据)网络内的渗透,可以说,应用代理比包过滤防火墙技术更完美。
然而,似乎没有什么能逃过ldquo 墨菲定律;规则,代理防火墙结构特点恰恰是它最大的缺点,因为它是基于代理技术,通过防火墙的每个连接过程中必须建立的生成过程,这一过程本身就是代理消费段时间,更别说代理过程和复杂的协议分析工作机制的同时,所以数据是必然的代理防火墙数据滞后,改变该方法的图像,每个数据连接的代理防火墙后会进入安全室喝杯茶。搜索,继续你的旅程,和安全的工作速度可以很快。代理防火墙安全性能高于包过滤防火墙是牺牲了速度、网络吞吐量不是很大,用户可能不知道,但频繁的数据交换时间,代理防火墙已成为整个网络的瓶颈,而一旦防火墙支持不住高强度和攻击数据流的硬件配置,整个网络可能因此瘫痪。所以,代理服务型防火墙的普及范围远远小于包过滤防火墙和防火墙软件,它几乎从未见过类似的产品mdash;mdash;单剂技术没有要求激励条件,如此巨大的市场软件防火墙,代理防火墙是很难有一个住的地方。
三.状态检测技术
这是第二包过滤技术和应用代理防火墙技术的发展,这是基于检查点技术;包过滤;原则;动态包过滤和科技的发展,与其他厂商联合开发的相似;深包检测(深度包检测)技术,防火墙技术,通过一种称为状态监测模块,在不影响使用的各种层次的网络通信监控系统实现相关数据的提取方法的网络安全正常工作的前提下,使安全决策根据各种过滤规则。
状态监测(状态检测)在固定的头、地址、协议、端口的分析基础上的技术,和其他类型的每个数据包的信息,会议的进一步发展;(会话过滤)滤波器;在每个连接功能的建立,防火墙将构造这种状态的会话连接,其中包含所有连接的数据包的信息,基于此的连接状态的信息后,天才是能够检测每一个数据包监测的内容,一旦一个会话状态数据然后将这个会话状态作为依据,例如一个连接的数据包的源端口是8000,所以今后防火墙的数据传输过程审计包的源端口或不8000otherwise,数据包将被拦截,和会话状态的保留是有时间限制的。如果数据未发送超时范围内再次,会话状态将被丢弃。状态监测可以分析数据包的内容,以便它可以摆脱传统防火墙局限于包头几部分信息的弱点,这个防火墙不需要开太多的端口,进一步消除了由开放的端口太多造成的安全隐患。
状态监测技术相当于包过滤技术和应用代理技术的结合,是目前最先进的技术,但由于复杂的技术在实际应用中可以使数据安全检测真正有效,而且在一般的计算机硬件系统中也是如此。基于技术的完善防御措施是非常困难的(市场上大多数软件防火墙的使用实际上是包过滤技术和其他一些新特性。)。