|
|
|
|
|
|
|
|
16/200805/2008052321432192.jpg >
图3 代理的工作方式
* 正常的数据包过滤路由器无法执行某些安全策略
数据包过滤路由器上的信息不能完全满足我们对安全策略的需求。例如,数据包说它们来自什么主机(这点还有隐患),而不是什么用户,因此,我们不能强行限制特殊的用户。同样地,数据包说它到什么端口,而不是到什么应用程序;当我们通过端口号对高级协议强行限制时,不希望在端口上有别的指定协议之外的协议,恶意的知情者能够很容易地破坏这种控制。
* 数据包工具存在很多局限性
除了各种各样的硬件和软件包普遍具有数据包过滤能力外,数据包过滤仍然算不上是一个完美的工具。许多这样的产品都或多或少地存在局限性,如数据包过滤规则难以配置。
从以上分析可以看出,包过滤防火墙技术虽然能确保一定的安全保护,且也有许多优点,但是包过滤毕竟是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。在实际应用中,现在很少把包过滤技术当作单独的安全解决方案,而是把它与其它防火墙技术揉合在一起使用。
代理防火墙(Proxy)
代理防火墙是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
应用层网关
这种防火墙的工作方式和过滤数据包的防火页码:[1] [2] [3] [4] [5] [6] [7] [8] 第3页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
