代理技術與包過濾技術
A. 包過濾防火牆與代理型防火牆的區別
包過濾防火牆與代理型防火牆的區別為:工作原理不同、處理層不同、網關不同。
一、工版作原理不同權
1、包過濾防火牆:包過濾防火牆過濾系統是一台路由器或是一台主機,可以根據過濾規則阻塞內部主機和外部主機或另外一個網路之間的連接。
2、代理型防火牆:代理型防火牆當代理伺服器收到一個客戶的連接請求時,先核實該請求,然後將處理後的請求轉發給真實伺服器,在接受真實伺服器應答並做進一步處理後,再將回復交給發出請求的客戶。
二、處理層不同
1、包過濾防火牆:包過濾防火牆只檢查當前所在層數據包的目標地址,並選擇一個達到目的地址的最佳路徑。
2、代理型防火牆:代理型防火牆可對網路上任一層的數據包進行檢查並經過身份認證,讓符合安全規則的包通過,並丟棄其餘的包。
三、網關不同
1、包過濾防火牆:包過濾防火牆內部網路的主機,需要設置防火牆為網關,才可以獲取Internet資源。
2、代理型防火牆:代理型防火牆內部網路的主機,無需設置防火牆為網關,只需直接將需要服務的IP地址指向代理伺服器主機,就可以獲取Internet資源。
參考資料來源:
網路——包過濾防火牆
網路——代理服務型防火牆
B. 包過濾技術的優點
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
C. 防火牆的應用代理技術有哪些
①包過濾技術
其原理在於監視並過濾網路上流入流出的包,拒絕發送那些可疑的包。由於包過濾技術無法有效地區分相同IP地址的不同用戶,安全性相對較差。
②代理服務技術
其原理是在網關計算機上運行應用代理程序,運行時由兩部分連接構成:一部分是應用網關同內部網用戶計算機建立的連接,另一部分是代替原來的客戶程序與伺服器建立的連接。通過代理服務,內部網用戶可以通過應用網關安全地使用Internet服務,而對於非法用戶的請求將予拒絕。代理服務技術與包過濾技術不同之處,在於內部網和外部網之間不存在直接連接,同時提供審計和日誌服務
③網路地址轉換技術
其原理如同電話交換總機,當不同的內部網路用戶向外連接時,使用相同的IP地址(總機號碼);內部網路用戶互相通信時則使用內部IP地址(分機號碼)。內部網路對外部網路來說是不可見的,防火牆能詳盡記錄每一個內部網計算機的通信,確保每個數據包的正確傳送
④虛擬專用網VPN技術
虛擬專用網(VPN)是區域網在廣域網上的擴展,是專用計算機網路在Internet上的延伸。VPN通過專用隧道技術在公共網路上模擬一條點到點的專線,實現安全的信息傳輸。雖然VPN不是真正的專用網路,但卻能夠實現專用網路的功能。
⑤審計技術
通過對網路上發生的各種訪問過程進行記錄和產生日誌,並對日誌進行統計處理,從而對網路資源的使用情況進行分析,對異常現象進行追蹤監視。
⑥信息加密技術
D. 包過濾防火牆與代理伺服器防火牆區別和聯系
過濾防火牆工作在網路協議IP層,它只對IP包的源地址、目標地址及相應版埠進行處理,因此速度權比較快,能夠處理的並發連接比較多,缺點是對應用層的攻擊無能為力。
代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據,比如http連接信息,因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢,能夠處理的並發數比較少。代理伺服器是防火牆技術的發展方向,眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。
E. 什麼是包過濾技術其特點是什麼
一、定義:
包過濾(Packet Filtering)技術:是基於協議特定的標准,路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 :對小型的、不太復雜的站點包過濾較容易實現。
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性:
他們很少有或沒有日誌記錄能力,所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。
F. 防火牆技術有包過濾技術和什麼技術
包過濾和應用代理
G. 包過濾技術如何防禦黑客攻擊以及包過濾技術的優缺點(越詳細越好)
包過濾應復該是針對某一制個數據包來進行的過濾,這樣的話就可以防止某些有害的數據包進入你的網路內部,但是這樣的話它不能夠防止一些通過正常埠進行訪問的數據包 如DDOS裡面的CC攻擊就是通過一個正常的80埠來進行訪問從而產生了大量的數據流量使伺服器承受不住而宕機。
H. 代理伺服器型防火牆和包過濾型防火牆的主要區別在哪裡哪種用得更普遍些
包過濾防火牆工作在網路協議IP層,它只對IP包的源地址、目標地址及相應埠進行處理,內因此速度比較快,容能夠處理的並發連接比較多,缺點是對應用層的攻擊無能為力。
代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據,比如http連接信息,因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢,能夠處理的並發數比較少。
代理伺服器是防火牆技術的發展方向,眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。
但是現在總的來說還是包過濾的防火牆更普遍一些,因為很多代理功能的已經被伺服器取代叻!
I. 包過濾型、代理型、監測型和復合型技術防火牆的代表產品。要實際例子不要什麼工作原理,概念,謝謝了。
代表產品:
Online Armor Free 4.0.0.35-免費版本
Malware Defender 2.6.0-國產防火牆
Kaspersky Internet Security 2010 9.0.0.736
Privatefirewall 7.0.20.36-免費版本
Outpost Firewall Free 2009 6.5.1.2725.381.0687-免費版本
ZoneAlarm Extreme Security 9.1.008.000
Norton Internet Security 2010 17.5.0.127
Jetico Personal Firewall 2.1.0.7.2412
BitDefender Internet Security 2010 13.0.19.347
Trend Micro Internet Security Pro 2010 17.50.1647.0000
avast! Internet Security 5.0.418.0
McAfee Internet Security 2010 11.0.378
Panda Internet Security 2010 15.01.00
J. 什麼叫包過濾技術
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其專技術原理在於屬加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。