防火墙技术及其体系结构研究
(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。
本文链接地址:http://www.oyaya.net/fanwen/view/143678.html
例如,用于特定的因特网服务的服务器驻留在特定的端口号的事实(如
TCP端口23用于Telnet连接),使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。包过滤技术作为防火墙的应用有三类
: 一是路由设备在完成路由选择和数据转发之外, 同时进行包过滤, 这是目前较常用的方式; 二是在工作站上使用软件进行包过滤, 这种方式价格较贵; 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。 2.2应用网关技术应用网关
(Application Gateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。有些应用网关还存储
Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。 2.3代理服务器技术 代理服务器(Proxy Server)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求。具体地说,代理服务器是运行在防火墙主机上的专
《防火墙技术及其体系结构研究(第2页)》