随着防火墙的发展,根据具体的情况不同,目前主要有下面的几种技术:
包过滤技术
包过滤技术的原理在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。在互联网的信息包交换网络上,所有往来的信息都被分割成一定长度的信息包,包头信息中包括IP源地址、IP目标地址、内装协议、TCP/UDP目标端口、ICMP消息类型、包的进出接口。当这些包被送上互联网时,防火墙会读取接收者的IP并选择一条物理上的线路发送出去,信息包可能从不同的线路抵达目的地,当所有的包抵达后会在目的地重新组装还原。在图1中,我们可以看到防火墙处于网络层(Network Layer)与数据链路层(Data-Link Layer)之间,由于所处的位置较低,仅能对当前正在通过的单一数据包的内容进行分析和判断,而不具备应用层保护能力。现在包过滤技术逐渐由“傻瓜型”向“智能型”转化,从一种被动的规则检查方式变为多级并行或串行或串并行混合的复杂检查方式,例如入侵检测(IDS)与防火墙互动(如图2),就是一种简单的复变包过滤技术。
应用代理技术
代理技术与包过滤不同,它直接和应用服务程序打交道。它不会让数据包直接通过,而是自己接收了数据包,并对其进行分析(如图3)。从图1中可以看到代理是处在Application Layer的地位,通过一种代理技术参与到一个TCP连接的全过程,所以它能够理解应用层上的协议,做一些复杂的访问控制,并做精细的注册和稽查。但是当工作量大时,它的效率是不如包过滤技术的。针对这个问题,自适应代理技术应运而生。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器与动态包过滤器。
|