計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施第二部分銳捷防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施第二部分目錄

防火墻的分類1地址轉(zhuǎn)換防火墻536狀態(tài)防火墻14應(yīng)用網(wǎng)關(guān)防火墻包過(guò)濾防火墻26透明防火墻目錄 防火墻的分類1地址轉(zhuǎn)換防火墻536狀態(tài)防火墻14應(yīng)防火墻的分類防火墻分類按照操作對(duì)象主機(jī)防火墻網(wǎng)絡(luò)防火墻按照實(shí)現(xiàn)方式軟件防火墻硬件防火墻按照過(guò)濾和檢測(cè)方式包過(guò)濾防火墻狀態(tài)防火墻應(yīng)用網(wǎng)關(guān)防火墻地址轉(zhuǎn)換防火墻透明防火墻混合防火墻防火墻的分類防火墻分類主機(jī)防火墻與網(wǎng)絡(luò)防火墻主機(jī)防火墻位置優(yōu)勢(shì)低成本難于部署、維護(hù)缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall網(wǎng)絡(luò)防火墻功能強(qiáng)大性能高透明度強(qiáng)成本高內(nèi)部攻擊保護(hù)性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard主機(jī)防火墻與網(wǎng)絡(luò)防火墻主機(jī)防火墻網(wǎng)絡(luò)防火墻軟件防火墻與硬件防火墻軟件防火墻應(yīng)用層控制和檢測(cè)功能豐富性能低自身安全性問(wèn)題示例MicrosoftISASunScreenCheckPointFirewall硬件防火墻性能高自身安全性高易于維護(hù)缺乏高級(jí)功能示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard軟件防火墻與硬件防火墻軟件防火墻硬件防火墻包過(guò)濾防火墻無(wú)狀態(tài)包過(guò)濾防火墻技術(shù)最基本的防火墻過(guò)濾方式根據(jù)L3/L4信息進(jìn)行過(guò)濾源和目的IP協(xié)議ICMP消息和類型TCP/UDP源和目的端口處理速度快無(wú)法阻止應(yīng)用層攻擊部署復(fù)雜，維護(hù)量大部署方式作為Internet邊界的第一層防線隱式拒絕，顯示允許示例使用ACL過(guò)濾的路由器包過(guò)濾防火墻無(wú)狀態(tài)包過(guò)濾防火墻技術(shù)包過(guò)濾防火墻（續(xù)）無(wú)狀態(tài)包過(guò)濾防火墻示例包過(guò)濾防火墻（續(xù)）無(wú)狀態(tài)包過(guò)濾防火墻示例狀態(tài)防火墻有狀態(tài)包過(guò)濾防火墻技術(shù)與無(wú)狀態(tài)包過(guò)濾防火墻執(zhí)行相似的操作保持對(duì)連接狀態(tài)的跟蹤，狀態(tài)表無(wú)需開放高端口訪問(wèn)權(quán)限不屬于現(xiàn)有會(huì)話的訪問(wèn)將被拒絕檢查更高級(jí)的信息TCPFlag、TCPSeq.更多的DoS防護(hù)特定應(yīng)用層協(xié)議檢測(cè)不能阻止應(yīng)用層攻擊狀態(tài)表導(dǎo)致的系統(tǒng)開銷部署方式作為主要的防御措施需要更加嚴(yán)格的控制狀態(tài)防火墻有狀態(tài)包過(guò)濾防火墻技術(shù)狀態(tài)防火墻（續(xù)）無(wú)狀態(tài)包過(guò)濾的問(wèn)題有狀態(tài)包過(guò)濾防火墻的實(shí)現(xiàn)跟蹤連接的狀態(tài)狀態(tài)防火墻（續(xù)）無(wú)狀態(tài)包過(guò)濾的問(wèn)題狀態(tài)防火墻（續(xù)）無(wú)應(yīng)用層檢測(cè)的狀態(tài)防火墻狀態(tài)防火墻（續(xù)）無(wú)應(yīng)用層檢測(cè)的狀態(tài)防火墻狀態(tài)防火墻（續(xù)）支持應(yīng)用層檢測(cè)的狀態(tài)防火墻動(dòng)態(tài)協(xié)議檢測(cè)（FTP、NetBIOS、SQLNET、SIP…..)檢測(cè)應(yīng)用層報(bào)頭中的信息（應(yīng)用層命令）狀態(tài)防火墻（續(xù)）支持應(yīng)用層檢測(cè)的狀態(tài)防火墻應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻技術(shù)通常稱為代理防火墻（ProxyFirewall）操作在L3/L4/L5/L7支持身份認(rèn)證監(jiān)控和過(guò)濾應(yīng)用層信息通過(guò)軟件處理支持的應(yīng)用有限可能需要部署客戶端軟件部署方式作為主要的的防御措施需要更嚴(yán)格的身份及會(huì)話驗(yàn)證應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻（續(xù)）連接網(wǎng)關(guān)防火墻執(zhí)行傳統(tǒng)的應(yīng)用網(wǎng)關(guān)防火墻檢測(cè)方式直通代理防火墻（Cut-Through）簡(jiǎn)化的應(yīng)用網(wǎng)關(guān)防火墻對(duì)于初始連接請(qǐng)求進(jìn)行身份驗(yàn)證會(huì)話的后續(xù)信息執(zhí)行L3/L4過(guò)濾更好的性能應(yīng)用網(wǎng)關(guān)防火墻（續(xù)）地址轉(zhuǎn)換防火墻NAT防火墻技術(shù)解決了公有IP地址匱乏的問(wèn)題在L3/L4操作隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)引入了延時(shí)破壞了IP的端到端模型對(duì)應(yīng)用的支持限制一些應(yīng)用將連接信息嵌入到應(yīng)用層報(bào)文中NATALG（ApplicationLayerGateway）地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換防火墻（續(xù)）NATALG（SQLNET）地址轉(zhuǎn)換防火墻（續(xù)）NATALG（SQLNET）地址轉(zhuǎn)換防火墻（續(xù)）NATALG（DNS）地址轉(zhuǎn)換防火墻（續(xù)）NATALG（DNS）透明防火墻透明防火墻充當(dāng)網(wǎng)橋的角色可操作于L2/L3/L4/L5/L7易于部署即插即用零配置無(wú)需更改編制結(jié)構(gòu)無(wú)需更改路由拓?fù)潆[蔽性高透明設(shè)備，0跳無(wú)IP，無(wú)連接可達(dá)到透明防