1.包過濾技術
包過濾技術是一種簡單有效的安全控制技術,工作在網絡層。通過在網絡之間相互連接的設備上加載允許和禁止某些源地址、目的地址和TCP端口號等規則,可以檢查通過設備的數據包,并限制數據包進出內部網絡。包過濾最大的優點是對用戶透明,傳輸性能高。但由于安全控制級別在網絡層和傳輸層,安全控制強度僅限于源地址、目的地址和端口號,只能進行相對初步的安全控制,對于惡意擁塞攻擊、內存覆蓋攻擊或病毒等高級攻擊手段無能為力。
應用代理服務器防火墻工作在OSI的第七層,通過檢查所有應用層數據包,并將檢查的內容信息放入決策過程,提高了網絡的安全性。應用網關服務器防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接:一個從客戶機到服務器防火墻,另一個從防火墻到服務器。此外,每個代理需要一個不同的應用程序進程或一個在后臺運行的服務程序,并且必須將該應用程序的服務程序添加到每個新的應用程序中,否則無法使用該服務。因此,應用網關服務器防火墻具有可擴展性差的缺點。
3.狀態檢測技術
狀態檢測服務器防火墻工作在OSI的第二至第四層,采用狀態檢測包過濾技術,是傳統包過濾功能的擴展。狀態檢測服務器防火墻在網絡層有一個檢測引擎,用于攔截數據包,提取與應用層狀態相關的信息,然后根據這些信息決定是接受還是拒絕連接。這項技術提供了一個高度安全的解決方案,具有良好的適應性和可擴展性。通常,狀態檢測服務器防火墻還包括一些代理級服務,它們為特定的應用程序數據內容提供額外的支持。狀態檢測服務器防火墻基本保留了簡單包過濾防火墻的優點,性能更好,對應用透明,并在此基礎上大大提高了安全性。這種防火墻摒棄了簡單包過濾防火墻的缺點,只檢查進出網絡的數據包,不關心數據包狀態。它在防火墻核心部分建立狀態連接表,維護連接,將進出網絡的數據作為事件處理。主要特點是由于缺乏對應用層協議的深入檢測,無法徹底識別數據包中的大量垃圾郵件、廣告和木馬。
完整的內容檢測技術服務器防火墻集成了狀態檢測和應用代理技術,在多層檢測架構的基礎上進一步將防病毒、內容過濾、應用識別等功能集成到防火墻中,包括IPS功能,集成多個單元,在網絡接口掃描應用層,將防病毒、內容過濾和服務器防火墻結合起來,體現了網絡和信息安全的新理念(因此也被稱為“下一代防火墻技術”)。在網絡邊界實現OSI第7層內容掃描,在網絡邊緣實現病毒防護、內容過濾等應用層服務措施的實時部署。完整的內容檢測技術服務器防火墻可以檢查整個數據包內容,根據需要建立連接狀態表,具有網絡層保護強、應用層控制精細等優點。但是由于功能集成度高,對產品硬件的要求也比較高。有不懂的請咨詢夢飛云idc了解。
