防火墙的原理及应用
防火墙的原理:
1、包过滤防火墙
包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑, 检查数据
据流中的每个数据包,根据数据包的原地址、目标地址、以及包所使用端口确定 是否允许该类数据
包通过。在互联网这样的信息包交换网络上,所有往来的信息都被分割 成许许多多一定长度的信息
报,包中包括发送者的 IP 地址和接受者的 IP 地址。当这些包 被送上互联网时,路由器会读取接受
者的 IP 并选择一条物理上的线路发送出去,信息包 可能以不同的路线抵达目的地,当所有的包抵达
后会在目的地重新组装还原。包过滤式的 防火墙会检查所有通过信息包里的 IP 地址,并按照系统管
理员所给定的过滤规则过滤信 息包。如果防火墙设定某一 IP 为危险的话,从这个地址而来的所有信
息都被会防火墙屏 蔽掉。这种防火墙的用法很多,比如国家有关部门可以通过包过滤防火墙来禁止
国家用户 去访问那些违反我国有关规定或者“有问题”的国外站点,包过滤路由器的最优优点就是 他
对于用户来说是透明的,也就是说不需要用户名和密码来登陆。这种防火墙速度快而且 易 F 维护,
通常作为第一道防线。包过滤路由器的弊端也是很明显的,通常它没有用户的 使用记录,这样我们
就不能从访问记录中发现黑客的攻击记录,而攻击一个单纯的包过滤 式的防火墙对于黑客来说是比
较容易的,他们在这一方面已经积了大量的经验。”信息包 冲击”是黑客比较常用的一种攻击手段,
黑客们对包过滤式防火墙发出一系列信息包,不 过这些包中的 IP 地址已经被替换掉了,取而代之的
是一串顺序的 IP 地址。一旦有一个包 通过了防火墙,黑客便可以用这个 IP 地址来伪装他们发出的
信息。在另一些情况下黑客 们使用一种他们自己编织的路由器攻击程序,这种程序使用路由器歇息
来发送伪造的路由 器信息,这样所有的都会被重新路由到一个入侵者所指定的特别抵制。对付这种
路由器的 另一种技术被称之为“同步淹没”,这实际上是一种网络炸弹。攻击者向被攻击的计算机 发
出许许多多个虚假的“同步请求”信号报,当服务器相应了这种信号报后会等待请求发 出者的回答,
而攻击者不做任何的相应。如果服务器在 45 秒钟里没有收到反应信号的话 就会取消掉这次的请求。
但是当服务器在处理成千上万各虚假请求时,它便没有时间来处 理正常的用户请求,处于这种攻击
下的服务器和死锁没什么两样。此种防火墙的缺点是很 明显的,通常它没有用户的使用记录,这样
我们就不能从访问记录中发现黑客的攻击记录。 此外,配置繁琐也是包过滤防火墙的一个缺点。它
阻挡别人进入内部网络,但也不告诉你 何人进入你的系统,或者何人从内部进入网际网路。它可以
组织外部对私有网络的访问, 却不能记录内部的访问。包过滤另一个关键的弱点就是不能再用户级
别上进行过滤,即不 能鉴别不同的用户和防止 IP 地址盗用。包过滤防火墙什么某种意义上的绝对安
全的系统。
2、应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而 提高网络
的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个 客户机/服务器通信
需要两个链接:一个是从客户端到防火墙,另一个是从防火墙到服务 器。另外,每个代理需要一个
不同的应用进程,或一个后台运行的服务程序,对每个新的 应用必须添加对此应用的服务程序,否
则不能使用该服务。所以,应用网关防火墙具有可 伸缩性差的缺点。