防火墙的基本准则和类型
#2 一、防火墙的基本准则
#3 1.一切未被允许的就是禁止的
基于这个准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许使用。它的不足是安全性高于用户使用的方便性,用户所能使用的服务范围受到限制。
#3 2.一切未被禁止的就是允许的
基于这个准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。它的不足是在日益增多的网络服务面前,网络管理员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
#2 二、防火墙的基本类型
#3 1.包过滤型
包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤功能,另外计算机上同样可以安装包过滤软件。包过滤规则以IP(Internet Protocol)包信息为基础,对IP源地址、IP目标地址、封装协议端口号等进行筛选。
用路由器实现包过滤和用PC机实现包过滤均在OSI(Open System Interconnection)协议网络层进行。
#3 2.代理服务型
代理服务型防火墙通常由两部分构成,一是服务器端程序,二是客户端程序。客户端程序与中间节点连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网络与外部网络之间不存在直接的连接,同时提供日志和审计服务。
#3 3.复合型
把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机,负责提供代理服务。
#3 4.双端主机型
堡垒主机充当网关,并在其上运行防火墙软件。内部网络与外部网络之间不能直接进行通信,必须经过堡垒主机。
#3 5.屏蔽主机型
一个包过滤路由器与外部网络相连,同时一个堡垒主机安装在内部网络上,使堡垒主机成为外部网络所能达到的唯一节点,确保内部网络不受非授权用户的攻击。
#3 6.加密路由器型
加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解包和解密。