防火墙之巍工控工业通讯技术之匙渗透技艺之探防御壁垒之挡
传统防火墙之理:包过滤与应用层的对立
包过滤防火墙之机制
在网络的IP层运行,仅需路由器即可完成。通过源IP地址、目的IP地址、端口号和数据包方向来判断是否放行。内容如IP地址可进行过滤,其工作原理在网络层检查数据包,与应用无关,广泛应用且CPU负荷忽略不计。用户体验透明,但缺乏安全性,因为无法理解通信内容,不识别不同用户及保护IP地址。
应用网关之探究
应用代理服务器(Application Gateway Proxy)
提供授权检查及代理服务,当外部主机访问受保护网络时,需先身份认证后运行专为该网络设计的程序,将外部主机与内部连接,可限制用户访问方式同样适用于内部用户访问外部网。
优点是隐藏内部IP且给予单个用户授权,即使盗用合法IP也难以通行。但不透明,每次连接需认证,对于每个应用需要写专门程序。
回路级代理服务器(Circuit-Level Proxy Servers)
适用于多协议但不能解释应用协议,因此通常要求修改用户程序,如套接字服务器,检查User ID、源与目的地址后建立连接,对于受保护网与外部交互信息透明感。
代管服务器技术
将不安全服务如FTP等放到防火墙上,使其同时充当服务器,对外请求作答,同时隐藏内部地址提高安全性,无需为每种服务编程,但登录过程繁琐。
IP通道(NAT Network Address Translate)
在Internet上形成虚拟企业网,以解决合法Internet IP有限的问题,并允许内部分配非正式IP规划,同时分配合法地址给特定服务器或客户端使用,从而缓解少量合法数大批主机矛盾,加强隐蔽性和安全性。
隔离域名服务器(Split Domain Name Server )
隔离受保护网络域名服务器与外部网,使得只能看到防火墙的IP,而无法了解具体情况,为收集内部信息提供障碍。
邮件技术(Mail Forwarding)
邮件只送达防火墙,上述技术确认后转发至内邮件系统,由其继续发送,这样可以控制来自未知来源邮件进入内局邮箱的事项。
7.,,
8.,, (,) ,,, .