机连接方式,每台主机的任务)之后,下一步就是确定这些主机实现的防火墙功能。最基本的两种防火墙功能类型是包过滤和应用代理。这些功能可以单独或者结合使用,并且可以在同一台或者不同的防火墙主机上实现。现在,包过滤防火墙产品已经融入了一些应用代理的特点,并且通常被称作状态验证包过滤(Stateful Inspection Packet Filter)。如果希望了解更多的关于防火墙功能的细节,请参见《Building Internet Firewalls》[Chapman 95]和《Firewalls Complete》[Goncalves 98]以及《Firewalls fend off invasions from the Net》[Lodin 98]。
关于同时使用包过滤和应用代理,这里有一个很好的理由。某些服务(例如SMTP,HTTP,NTP)通常是十分容易通过包过滤控制的,而其他一些服务(例如DNS,FTP)则可能需要一些只有应用代理才有的更复杂的特性。包过滤的速度很快,应用代理的速度要慢一些。在一些要求高访问量控制并且对代理性能要求很高的情况下,状态验证包过滤或许是一个比较折衷的方案。在任何情况下我们都需要尽量使用这些不同的功能(比如包过滤,代理和状态验证),并且将它们应用于合适的地方。
理论上,防火墙结构的设计应该在防火墙硬件和软件选页码:[1] [2] [3] [4] [5] [6] [7] [8] 第3页、共8页 |
