防火墙原理与应用防火墙知识
防火墙知识对于一些非专业的朋友来说很难,看起来很复杂的东西,但是当你真正了解它并不是那么困难的时候,现在就从小的简单介绍防火墙的原理和应用。防火墙原理:
1、包过滤防火墙
包过滤技术是在网络层中对数据包通过选择制度的实施,根据预先设置的过滤逻辑,据流中的每个数据包检查数据,根据原始数据包的地址,目的地址和端口,数据包以确定是否允许数据包通过,在互联网上的数据包交换网络,所有的信息都是分成很多信息包,包括发送者的IP地址和收件人的IP地址。当这些包被发送到网络,路由器读取接收的IP和选择物理路径发送。数据包可以以不同的路径到达目的地。当所有的包到达时,他们会重新组合,在目的地恢复。一个包过滤防火墙检查所有IP地址在数据包过滤器,根据由系统管理员给定的过滤规则的数据包。如果防火墙是设置为一个IP是危险的,所有的信息从该地址是由防火墙堵塞。该防火墙使用很多,如国家相关部门通过包过滤防火墙禁止用户访问的在中国违反国家有关规定或有问题;国外网站,包过滤路由器的最佳优势是用户说他是透明的,不需要用户名和密码,防火墙是快速和易于维护,通常作为第一道防线,包过滤路由器的缺点是非常明显的,通常它没有用户的使用记录,所以我们没有发现黑客的攻击和攻击的记录,一个简单的包过滤防火墙的类型是比较容易为黑客,他们有很多这方面的经验。信息包冲击是黑客常用的攻击方法。黑客发送一系列的数据包的包过滤防火墙,但这些包中的IP地址已被替换,而不是一系列的IP地址。一旦一个数据包通过防火墙,黑客可以使用IP地址来伪装他们发送的信息。在其他情况下,黑客利用路由器的攻击程序编织自己,它使用一个路由器发送伪造的其他路由器的信息,因此,所有将被路由到指定的特殊抵制入侵者。对付这样一个路由器的另一种技术称为同步;淹没;这实际上是一个网络炸弹攻击者发送大量虚假的计算机的攻击同步请求,,当服务器对应的信号该消息将等待请求者的答复,攻击者不会做出任何相应的响应。如果服务器在45秒内没有收到响应信号,请求将被取消。但是当服务器处理数千个错误请求时,它就没有时间处理普通用户请求。在这种攻击下有两种服务器和死锁,这种防火墙的缺点是显而易见的。通常,它没有用户的使用记录,所以我们不能从访问记录发现黑客的攻击记录。此外,繁琐的配置也是一个缺点的包过滤防火墙,阻止人们进入内部网络,但不告诉你谁进入你的系统,或是进入互联网从里面,可以组织外部访问的专用网络,但它不能记录内部访问。包过滤的另一个主要的缺点是,它无法过滤再用户层面,即它不能识别不同的用户和防止IP地址盗用,包过滤防火墙在某种意义上是一种绝对安全系统。
2。应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将内容信息在决策过程中的决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户/服务器模式,每个客户/服务器通信需要两个环节:一是从客户端的防火墙,另一个是从防火墙到服务器。此外,每个代理需要一个不同的应用程序或后台运行的服务程序。对于每一个新的应用程序,都必须添加该应用程序的服务程序,否则就不能使用该服务,因此,应用网关防火墙存在可扩展性差的缺点。
三.状态监测防火墙
状态监控防火墙基本保持了简单包过滤防火墙的优点,性能良好,对应用透明。在此基础上,安全性得到了极大的提高。该防火墙丢弃简单的包过滤防火墙只对进出网络的数据包,数据包不关心弱势状态,在防火墙的核心部分建立连接状态表,保持联系,将进出网络的数据作为一个事件处理。它可以规范网络层与阳朔状态检测包过滤防火墙传输层行为,而应用代理防火墙是一个规范的具体应用协议的行为。
4、复合型防火墙
复合型防火墙是指新一代防火墙综合状态检测和透明代理,进一步基于ASIC架构,防病毒、内容过滤集成到防火墙,其中也包VPN、入侵检测功能、多单位的整合,是一个新的突破,传统的防火墙不能防止隐蔽的网络流量的攻击。在网络领域,我们应该对应用层进行扫描,将反病毒、内容过滤和防火墙结合起来。这体现了网络和信息安全的新思想,实现了网络边界上的OSI第七层内容扫描,实现了网络边缘的实时部署、病毒保护和内容过滤等应用层服务措施。
防火墙的典型应用:
1,防止网络入侵
2。防止消息文件泄漏
3,保护内部网络的安全
4。检查进入和退出网络的链接,以保护某些端口。
5。防止计算机接收非法包