信息安全中使用的防火墙技术有哪些功能
信息安全中使用的防火墙技术有以下功能:
静态包过滤:运行在网络层,根据IP包的源地址、目的地址、应用协议、源接口号、目的接口号来决定是否放行一个包。其优点是对网络性能基本上没有影响,成本很低,路由器和一般的操作系统都支持。缺点是工作在网络层,只检查IP和TCP的包头;不检查包的数据,提供的安全性不高;缺乏状态信息;IP易被假冒和欺骗;规则很好写,但很难写正确,规则测试困难;保护的等级低。
动态包过滤:是静态包过滤技术的发展和演化,它与静态包过滤技术的不同点在于,动态包过滤防火墙知道一个新的连接和一个已经建立的连接的不同点,而静态包过滤技术对此一无所知。对于已经建立的连接,动态包过滤防火墙将状态信息写进常驻内存的状态表,后来的包的信息与状态表中的信息进行比较,该动作是在操作系统的内核中完成的。因此,动态包过滤增加了很多的安全性,其速度和效率都较高,成本低,但仍具有与静态包过滤技术相同的缺点。
电路网关:电路网关工作在会话层。电路网关在执行包过滤功能的基础上,增加一个握手再证实及建立连接的序列号的合法性检查的过程。同时电路网关还要对客户端进行认证,使其安全性有所提高。认证程序决定用户是否是可信的,一旦认证通过,客户端便发起TCP握手标志,并确保相关的序列号是正确且连贯的,这样该会话才是合法的。一旦会话有效,便开始执行包过滤规则的检查。电路网关对网络性能的影响不是很大,中断了网络连接,其安全性要比包过滤高。
应用网关:应用网关截获所有进和出的包,运行代理机制,通过网关来复制和转发信息,其功能像一个代理服务器,防止任何直接连接出现。应用网关的代理是与具体应用相关的,每一种应用需要一个具体的代理,代理检查包的所有数据,包括包头和数据,以及工作在OSI的第七层。由于应用协议规定了所有的规程,因此较为容易设计过滤规则。应用代理要比包过滤更容易配置和管理。通过检查完整的包,应用网关是目前最安全的防火墙。
状态检测包过滤:状态检测综合了很多动态包过滤、电路网关和应用网关的功能。状态检测包过滤有一个最基本的功能,即检查所有开放系统互连(Open System Interconnect,OSI)七层的信息,但主要是工作在网络层,而且主要是采用动态包过滤的工作模式。状态检测包过滤也能像电路网关那样工作,决定在一个会话中的包是否是正常的。状态检测也能作为一个最小化的应用网关,对某些内容进行检查,但也与应用网关相同,一旦采用这些功能,防火墙的性能也是直线下降。
切换代理:切换代理是动态包过滤和电路网关的一种混合型防火墙。切换代理首先作为一个电路代理来执行RFC(Internet 标准)规定的三次握手和认证要求,然后切换到动态包过滤模式。因此,开始时,切换代理工作在网络的会话层,在认证完成并建立连接之后,转到网络层。因此,切换代理又称为自适应防火墙,在安全性和效率之间取得了一定程度的平衡。切换代理比传统的电路网关对网络性能的影响更小,三次握手检查机制减小了IP假冒和欺骗的可能性,但是切换代理并没有中断网络连接,因此安全性比电路网关更低,另外,切换代理防火墙的规则也不易设计。