圖1����、包過濾防火墻
多個復雜規(guī)則的組合也是可行的����。如果允許Web連接��,但只針對特定的服務器����,目的端口和目的地址二者必須與規(guī)則相匹配����,才可以讓該包通過。
主要優(yōu)勢:
包過濾防火墻相對比較簡單����,成本較低����,部署簡單快速���。
現(xiàn)在單純的硬件包過濾防火墻已經(jīng)比較少,不過多數(shù)防火墻中都具有包過濾功能�。而一般家用和小企業(yè)用的軟件防火墻多數(shù)屬于此類防火墻,Windows早期內(nèi)置的防火墻就屬于包過濾防火墻���。另外�����,對于使用Linux操作系統(tǒng)的朋友來說��,也可以配置其自帶防火墻實現(xiàn)包過濾功能�����。
三��、鏈路級防火墻
這類防火墻不是簡單的接受或拒絕數(shù)據(jù)包��,它還根據(jù)一系列預定義規(guī)則來決定一個連接是否合法�。如果一切通過驗證,防火墻會打開一個會話��,并允許指定源地址的數(shù)據(jù)通過防火墻進入網(wǎng)絡(luò)內(nèi)部����。這個通信只被允許在限定時間內(nèi)進行。
圖2����、鏈路級防火墻
另外,這個防火墻還可以根據(jù)以下對象來執(zhí)行連接驗證����,例如源IP地址或源端口,目的IP地址或目的端口��,使用的協(xié)議����,用戶ID,密碼和時間等等����,多數(shù)情況下要根據(jù)幾種條件的組合來進行驗證。我們可以看出,包級別的過濾在這種防火墻中也可能發(fā)生����。
主要優(yōu)點:
·鏈路級防火墻通常比應用層防火墻更快,因為它們執(zhí)行更少的操作;
·通過禁用特定互聯(lián)網(wǎng)源地址與內(nèi)部計算機的連接�����,鏈路級防火墻可以幫助保護整個網(wǎng)絡(luò);
·通過與網(wǎng)絡(luò)地址解析聯(lián)合使用�,你可以使用鏈路級防火墻來阻止外部用戶訪問內(nèi)部網(wǎng)絡(luò)IP地址����。
主要缺點:
·運行在傳輸層,因此必須要對傳輸函數(shù)編程進行比較大的修改���。這可能影響到網(wǎng)絡(luò)的性能和運行��。
·鏈路級防火墻需要安裝人員和維護人員具有一定的專業(yè)知識����。
四���、應用級防火墻
在這種防火墻實現(xiàn)方式中���,防火墻的角色是一個應用程序代理���,與遠端系統(tǒng)實現(xiàn)所有數(shù)據(jù)交換。這種防火墻背后的設(shè)計思想是讓所有服務器藏在防火墻后面��,對遠端系統(tǒng)不可見����。
一個應用層防火墻可以根據(jù)特定規(guī)則來接受或拒絕通信。舉個例子來說����,這種防火墻可以允許某些命令被傳送到一個服務器上,而拒絕其它命令��。這個技術(shù)還可以被用來限制訪問特定的文件類型��,同樣也可以為授權(quán)和未授權(quán)用戶提供不同級別的訪問級別�����。
圖3�、應用級防火墻
對于那些喜歡對網(wǎng)絡(luò)流量進行詳細監(jiān)控和記錄日志的用戶來說,可能會比較喜歡應用層防火墻�����,因為使用應用防火墻實現(xiàn)這些功能非常簡單,而且不會進一步影響性能�。IT管理員可以設(shè)定一個應用層防火墻來實現(xiàn)在預定義事件發(fā)生的時候觸發(fā)報警器和發(fā)出提示。應用程序網(wǎng)關(guān)一般被部署在一臺單獨的聯(lián)網(wǎng)計算機上�����,人們通常稱之為代理服務器����。
除了上述三種類型的防火墻外��,還有一種狀態(tài)檢查多級防火墻��,這類防火墻通常由廠商作為“最佳品牌”解決方案來提供�,目的是將前面幾種防火墻的優(yōu)點組合起來。狀態(tài)防火墻可以執(zhí)行網(wǎng)絡(luò)包過濾����,同時還可以識別和處理應用層的數(shù)據(jù)。這類防火墻通??梢蕴峁┏瑥娋W(wǎng)絡(luò)保護,但是價格可能比較昂貴��。
另外值得注意的是,多數(shù)防火墻廠商提供了一系列的輔助功能��,來提供那些基本防火墻服務之外的功能��。此類的功能包括反病毒保護��,內(nèi)容過濾��,入侵防護和網(wǎng)絡(luò)行為和使用報表��。隨著網(wǎng)絡(luò)安全的迅速發(fā)展����,對于企業(yè)來說,購買一個可以輕松升級到更高性能和更多新功能的產(chǎn)品�����,這是一個不錯的觀點�。
