包过滤(Packet Filter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙。
如图8-5所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数据包通过。
3. 包过滤防火墙的应用特点
包过滤防火墙是一种技术非常成熟、应用非常广泛的防火墙技术,具有以下的主要特点:
(1) 过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定。
(2) 防火墙在进行检查时,首先从过滤规则表中的第1个条目开始逐条进行,所以过滤规则表中条目的先后顺序非常重要。
(3)由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。
代理防火墙的工作原理
代理防火墙具有传统的代理服务器和防火墙的双重功能。如图8-6所示,代理
服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器仅是一台客户机。
2. 代理防火墙的应用特点
代理防火墙具有以下的主要特点:
(1) 代理防火墙可以针对应用层进行检测和扫描,可有效地防止应用层的恶意入侵和病毒。
(2) 代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要通过代理服务器的介入和转换,而且在代理防火墙上会针对每一种网络应用(如HTTP)使用特定的应用程序来处理。
(3) 代理服务器通常拥有高速缓存,缓存中保存了用户最近访问过的站点内容。
(4) 代理防火墙的缺点是对系统的整体性能有较大的影响,系统的处理效率会有所下降,因为代理型防火墙对数据包进行内部结构的分析和处理,这会导致数据包的吞吐能力降低(低于包过滤防火墙)。
因篇幅问题不能全部显示,请点此查看更多更全内容