防火墙的原理及应用.docx资源-CSDN文库

版权申诉

68 浏览量 2022-02-04 11:21:30 上传评论收藏 66KB DOCX 举报

资源推荐

资源详情

资源评论

防火墙的原理及应用

防火墙的原理：

1、包过滤防火墙

包过滤是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据

据流中的每个数据包，根据数据包的原地址、目标地址、以及包所使用端口确定是否允许该类数据

包通过。在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息

报，包中包括发送者的 IP 地址和接受者的 IP 地址。当这些包被送上互联网时，路由器会读取接受

者的 IP 并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达

后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的 IP 地址，并按照系统管

理员所给定的过滤规则过滤信息包。如果防火墙设定某一 IP 为危险的话，从这个地址而来的所有信

息都被会防火墙屏蔽掉。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止

国家用户去访问那些违反我国有关规定或者“有问题”的国外站点，包过滤路由器的最优优点就是他

对于用户来说是透明的，也就是说不需要用户名和密码来登陆。这种防火墙速度快而且易 F 维护，

通常作为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样我们

就不能从访问记录中发现黑客的攻击记录，而攻击一个单纯的包过滤式的防火墙对于黑客来说是比

较容易的，他们在这一方面已经积了大量的经验。”信息包冲击”是黑客比较常用的一种攻击手段，

黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的 IP 地址已经被替换掉了，取而代之的

是一串顺序的 IP 地址。一旦有一个包通过了防火墙，黑客便可以用这个 IP 地址来伪装他们发出的

信息。在另一些情况下黑客们使用一种他们自己编织的路由器攻击程序，这种程序使用路由器歇息

来发送伪造的路由器信息，这样所有的都会被重新路由到一个入侵者所指定的特别抵制。对付这种

路由器的另一种技术被称之为“同步淹没”，这实际上是一种网络炸弹。攻击者向被攻击的计算机发

出许许多多个虚假的“同步请求”信号报，当服务器相应了这种信号报后会等待请求发出者的回答，

而攻击者不做任何的相应。如果服务器在 45 秒钟里没有收到反应信号的话就会取消掉这次的请求。

但是当服务器在处理成千上万各虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击

下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的，通常它没有用户的使用记录，这样

我们就不能从访问记录中发现黑客的攻击记录。此外，配置繁琐也是包过滤防火墙的一个缺点。它

阻挡别人进入内部网络，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路。它可以

组织外部对私有网络的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能再用户级

别上进行过滤，即不能鉴别不同的用户和防止 IP 地址盗用。包过滤防火墙什么某种意义上的绝对安

全的系统。

2、应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络

的安全性。然而，应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信

需要两个链接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个

不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加对此应用的服务程序，否

则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余1页未读，立即下载

内容反馈

版权申诉

weixin_50556117

粉丝: 0
资源: 10万+

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈

feedback-tip