防火墙按照访问控制方式分类 |
您所在的位置:网站首页 › 代理成本分为哪几类 › 防火墙按照访问控制方式分类 |
包过滤防火墙
优点:设计简单,易于实现,价格便宜。 缺点: 随着ACL复杂度和长度的增加,其过滤性能呈指数下降趋势静态的ACL规则难以适应动态的安全要求包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器 代理防火墙
优点:能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。 缺点: 软件实现限制了处理速度,易于遭受拒绝服务攻击需要针对每一种协议开发应用层代理,开发周期长,而且升级困难 状态检测防火墙
基本原理: 状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。优点: 后续数据包处理性能优异:状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的数据包。连接会话表里的记录可以随意排列,与记录固定排列的ACL 不同,于是状态检测防火墙可采用诸如二叉树或哈希(Hash)等算法进行快速搜索,提高了系统的传输效率。安全性较高:连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭,保障了内部网络的实时安全。同时,状态检测防火墙采用实时连接状态监控技术,通过在会话表中识别诸如应答响应等连接状态因素,增强了系统的安全性。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |