防火墙介绍
防火墙特征
- 逻辑区域过滤器
- 隐藏内网网络结构
- 自身安全保障
- 主动防御攻击
防火墙分类
按照访问控制方式分为:
- 包过滤防火墙
- 代理防火墙
- 状态检测防火墙
防火墙分类 - 包过滤防火墙
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。
主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
优点:
- 设计简单
- 非常易于实现
- 价格便宜
缺点:
- 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势
- 静态的ACL 规则难以适应动态的安全要求
- 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器