防火墙的基本准则:
1、一切未被允许的就是禁止的,
防火墙的基本准则
。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的环境,因为只有经
过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用
的服务范围受到限制。
2、一切未被禁止的就是允许的。基于该准则,防火墙就转发所有信息流,然后逐项屏
蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。
其弊端是,在日益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范围增大
时,很难提供可靠的安全防护。 防火墙的基本类型有:
(1)包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路
由器都提供了包过滤的功能。另外,PC机上同样可以安装包过滤软件。包过滤规则以IP包信
息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等
进行筛选。包过滤在OSI协议网络层进行。
(2)、代理服务型(Proxy Sservice):代理服务型防火墙通常由两部分构成,服务
器端程序和客户端程序,
电脑资料
《防火墙的基本准则》(https://www.unjs.com)。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤防火墙不同的是,内部网与外部网之间不存在直接的连
接,同时提供日志(Log)及审计(Audit)服务 。
(3)、复合型(Hybrid)防火墙:把包过滤和代理服用两种方法结合起来,可以形成
新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
(4)、 其他防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。
双宿主主机防火墙(Dual-Homed Host Firewall)。堡垒主机充当网关,并在其上运
行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。
主机过滤防火墙(Screened Host Firewall)。一个包过滤路由器与外部网相连,同时,
一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不
受外部非授权用户的攻击。
加密路由器(Encrypting Router)。加密路由器对通过路由器的信息流进行加密和压
缩,然后通过外部网络传输到目的端进行解压缩和解密。