不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) >

各類防火墻的優(yōu)缺點(diǎn)

時(shí)間: 若木620 分享

  1.包過濾防火墻

  使用包過濾防火墻的優(yōu)點(diǎn)包括:

  防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。

  每個(gè)IP包的字段都被檢查,例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

  防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。

  包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻,繞過是困難的。

  包過濾通常被包含在路由器數(shù)據(jù)包中,所以不必額外的系統(tǒng)來處理這個(gè)特征。

  使用包過濾防火墻的缺點(diǎn)包括:

  配置困難。因?yàn)榘^濾防火墻很復(fù)雜,人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則,或者錯(cuò)誤配置了已有的規(guī)則,在防火墻上留下漏洞。然而,在市場(chǎng)上,許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn),如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配置和更直接的規(guī)則定義。

  為特定服務(wù)開放的端口存在著危險(xiǎn),可能會(huì)被用于其他傳輸。例如,Web服務(wù)器默認(rèn)端口為80,而計(jì)算機(jī)上又安裝了RealPlayer,那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口,而不管這個(gè)端口是否被其他協(xié)議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務(wù)器的端口。

  可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò),例如撥入連接。但這個(gè)并不是防火墻自身的缺點(diǎn),而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火墻的原因。

  2.狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻

  狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)有:

  檢查IP包的每個(gè)字段的能力,并遵從基于包中信息的過濾規(guī)則。

  識(shí)別帶有欺騙性源IP地址包的能力。

  包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻,繞過是困難的。

  基于應(yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力, 例如基于一個(gè)已經(jīng)建立的FTP連接,允許返回的FTP包通過。

  基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力,例如允許一個(gè)先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。

  記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力?;旧?,防火墻用來確定包狀態(tài)的所有信息都可以被記錄,包括應(yīng)用程序?qū)Π恼?qǐng)求,連接的持續(xù)時(shí)間,內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。

  狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的缺點(diǎn):

  狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯,特別是在同時(shí)有許多連接激活的時(shí)候,或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)??墒?,硬件速度越快,這個(gè)問題就越不易察覺,而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。

  3.應(yīng)用程序代理防火墻

  使用應(yīng)用程序代理防火墻的優(yōu)點(diǎn)有:

  指定對(duì)連接的控制,例如允許或拒絕基于服務(wù)器IP地址的訪問,或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。

  通過限制某些協(xié)議的傳出請(qǐng)求,來減少網(wǎng)絡(luò)中不必要的服務(wù)。

  大多數(shù)代理防火墻能夠記錄所有的連接,包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。

  使用應(yīng)用程序代理防火墻的缺點(diǎn)有:

  必須在一定范圍內(nèi)定制用戶的系統(tǒng),這取決于所用的應(yīng)用程序。

  一些應(yīng)用程序可能根本不支持代理連接。

  4.NAT

  使用NAT的優(yōu)點(diǎn)有:

  所有內(nèi)部的IP地址對(duì)外面的人來說是隱蔽的。因?yàn)檫@個(gè)原因,網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。

  如果因?yàn)槟撤N原因公共IP地址資源比較短缺的話,NAT可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè)IP地址。

  可以啟用基本的包過濾防火墻安全機(jī)制,因?yàn)樗袀魅氲陌绻麤]有專門指定配置到NAT,那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)。

  使用NAT的缺點(diǎn):

  NAT的缺點(diǎn)和包過濾防火墻的缺點(diǎn)是一樣的。雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全,但它也是一些類似的局限。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT做外部連接,就像它可以穿過包過濾防火墻一樣的容易。

  注意:現(xiàn)在有很多廠商開發(fā)的防火墻,特別是狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻,除了它們應(yīng)該具有的功能之外也提供了NAT的功能。

  5.個(gè)人防火墻

  個(gè)人防火墻的優(yōu)點(diǎn)有:

  增加了保護(hù)級(jí)別,不需要額外的硬件資源。

  個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí),還可以抵擋內(nèi)部的攻擊。

  個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。例如一個(gè)家庭用戶使用的是Modem或ISDN/ADSL上網(wǎng),可能一個(gè)硬件防火墻對(duì)于他來說實(shí)在是太昂貴了,或者說是太麻煩了。而個(gè)人防火墻已經(jīng)能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息,比如IP地址之類的信息等。

  個(gè)人防火墻的缺點(diǎn):

  個(gè)人防火墻主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口。要記住,真正的防火墻應(yīng)當(dāng)監(jiān)視并控制兩

  個(gè)或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來的話,個(gè)人防火墻本身可能會(huì)容易受到威脅,或者說是具有這樣一個(gè)弱點(diǎn),網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。

53150