|
|
|
|
|
|
|
|
2 防火墙的实现
2.1防火墙的分类
一般把防火墙分为两类:网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址、目的端口等或者直接获取包头的一段数据。应用层的防火墙对于整个信息流进行分析。
实现防火墙时,共有以下几种:
① 应用网关(application gateway):检验通过此网关的所有数据包中的应用层的数据;经常是由经过修改的应用程序组成运行在防火墙上。如FTP应用网关,对于连接的client端来说是一个FTP server,对于server端来说是一个FTP client。连接中传输的所有ftp数据包都必须经过此FTP应用网关。
② 电路级网关(circuit-level gateway):此电路指虚电路。在TCP或UDP发起(open)一个连接或电路之前,验证该会话的可靠性。只有在握手被验证为合法且握手完成之后,才允许数据包的传输。一个会话建立后,此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口(entry)时,才被允许通过。会话结束时,该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过,在该连接上可以运行任何一个应用程序。以FTP为例,电路层网关只在一个FTP会话开始时,在tcp层对此会话进行验证。如果验证通过,则所有的数据都可以通过此连接进行传输,直至会话结束。
③ 包过滤(packet filter):对每个数据包按照用户所定义的进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态,也不分析数据。如用户规定允许端口是21或者大于等页码:[1] [2] [3] [4] [5] [6] [7] 第1页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
