記錄有關通過的每個包的詳細資訊的能力。基本上,防火牆用來確定包狀態的所有資訊都可以被記錄,包括應用程式對包的請求,連線的持續時間,內部和外部系統所做的連線請求等。
狀態/動態檢測防火牆的缺點:
狀態/動態檢測防火牆唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網路連線的某種遲滯,特別是在同時有許多連線啟用的時候,或者是有大量的過濾網路通訊的規則存在時。可是,硬體速度越快,這個問題就越不易察覺,而且防火牆的製造商一直致力於提高他們產品的速度。
3.應用程式**防火牆
使用應用程式**防火牆的優點有:
指定對連線的控制,例如允許或拒絕基於伺服器ip位址的訪問,或者是允許或拒絕基於使用者所請求連線的ip位址的訪問。
通過限制某些協議的傳出請求,來減少網路中不必要的服務。
大多數**防火牆能夠記錄所有的連線,包括位址和持續時間。這些資訊對追蹤攻擊和發生的未授權訪問的事件事很有用的。
使用應用程式**防火牆的缺點有:
必須在一定範圍內定製使用者的系統,這取決於所用的應用程式。
一些應用程式可能根本不支援**連線。
使用nat的優點有:
所有內部的ip位址對外面的人來說是隱蔽的。因為這個原因,網路之外沒有人可以通過指定ip位址的方式直接對網路內的任何一台特定的計算機發起攻擊。
如果因為某種原因公共ip位址資源比較短缺的話,nat可以使整個內部網路共享乙個ip位址。
可以啟用基本的包過濾防火牆安全機制,因為所有傳入的包如果沒有專門指定配置到nat,那麼就會被丟棄。內部網路的計算機就不可能直接訪問外部網路。
使用nat的缺點:
nat的缺點和包過濾防火牆的缺點是一樣的。雖然可以保障內部網路的安全,但它也是一些類似的侷限。而且內網可以利用現流傳比較廣泛的木馬程式可以通過nat做外部連線,就像它可以穿過包過濾防火牆一樣的容易。
注意:現在有很多廠商開發的防火牆,特別是狀態/動態檢測防火牆,除了它們應該具有的功能之外也提供了nat的功能。
5.個人防火牆
個人防火牆的優點有:
增加了保護級別,不需要額外的硬體資源。
個人防火牆除了可以抵擋外來攻擊的同時,還可以抵擋內部的攻擊。
個人防火牆是對公共網路中的單個系統提供了保護。例如乙個家庭使用者使用的是modem或isdn/adsl上網,可能乙個硬體防火牆對於他來說實在是太昂貴了,或者說是太麻煩了。而個人防火牆已經能夠為使用者隱蔽暴露在網路上的資訊,比如ip位址之類的資訊等。
個人防火牆的缺點:
個人防火牆主要的缺點就是對公共網路只有乙個物理介面。要記住,真正的防火牆應當監視並控制兩個或更多的網路介面之間的通訊。這樣一來的話,個人防火牆本身可能會容易受到威脅,或者說是具有這樣乙個弱點,網路通訊可以繞過防火牆的規則。
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
走進防火牆
前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...
防火牆規則功能
實驗名稱 實驗目的 通過防火牆實現網路訪問規則的控制,包括對資料流量的限制 背景描述 你是公司的網路管理員,為了保護公司網路系統及資訊資源的安全,需要在防火牆上設定網路訪問規則。本實驗以配置基於時間的網路訪問控制為例,對其它規則的設定與此類似。實現功能 在允許必要的網路訪問的同時加強網路的安全防護。...