從實現(xiàn)原理上分,防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級防火墻、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。
1、網(wǎng)絡(luò)級防火墻
一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。
如果沒有一條規(guī)則能符合,防火墻就會使用默認規(guī)則,一般情況下,默認規(guī)則就是要求防火墻丟棄該包。通過定義基于TCP或UDP數(shù)據(jù)包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2、應(yīng)用級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細的注冊和稽核。
它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取。
3、電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。
電路級網(wǎng)關(guān)代理服務(wù)器功能,代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級代碼。這種代理服務(wù)準許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。
4、規(guī)則檢查防火墻
該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點。能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號,過濾進出的數(shù)據(jù)包,也能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級網(wǎng)關(guān)一樣,可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。
規(guī)則檢查防火墻雖然集成前三者的特點,但是不同于一個應(yīng)用級網(wǎng)關(guān)的是,它并不打破客戶機/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識別進出的應(yīng)用層數(shù)據(jù)。
