① 防火牆的優點,缺點,功能
一、防火牆的優點:
1、防火牆能強化安全策略。
2、防火牆能有效地記錄Internet上的活動,作為訪問的唯一點,防火牆能在被保護的網路和外部網路之間進行記錄。
3、防火牆限制暴露用戶點,能夠防止影響一個網段的問題通過整個網路傳播。
4、防火牆是一個安全策略的檢查站,使可疑的訪問被拒絕於門外。
二、缺點:
1、防火牆可以阻斷攻擊,但不能消滅攻擊源。
2、防火牆不能抵抗最新的未設置策略的攻擊漏洞。
3、防火牆的並發連接數限制容易導致擁塞或者溢出。
4、防火牆對伺服器合法開放的埠的攻擊大多無法阻止。
5、防火牆對待內部主動發起連接的攻擊一般無法阻止。
6、防火牆本身也會出現問題和受到攻擊,依然有著漏洞和Bug。
7、防火牆不處理病毒。
三、功能:
1、防火牆最基本的功能就是控制在計算機網路中,不同信任程度區域間傳送的數據流。
2、防火牆具有很好的保護作用:入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機;可以將防火牆配置成許多不同保護級別;高級別的保護可能會禁止一些服務,如視頻流等。
Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部
3、能強化安全策略:通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。
4、能有效記錄Internet上的活動。
5、可限制暴露用戶點,防止內部信息的外泄:通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。
6、它是安全策略的檢查點。
② 什麼是包過濾技術其特點是什麼
一、定義:
包過濾(Packet Filtering)技術:是基於協議特定的標准,路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 :對小型的、不太復雜的站點包過濾較容易實現。
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性:
他們很少有或沒有日誌記錄能力,所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。
③ 包過濾防火牆的特點是
包過濾防火牆是用一個軟體查看所流經的數據包的包頭(header),版由此決定整個包的命運。它權可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更復雜的動作。
特點如下:
1對於一個小型的、不太復雜的站點,包過濾比較容易實現。
2因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理伺服器快。
3過濾路由器為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為「包過濾網關」或「透明網關」,之所被稱為網關,是因為包過濾路由器和傳統路由器不同,它涉及到了傳輸層。
4過濾路由器在價格上一般比代理伺服器便宜。
④ 包過濾防火牆的基本原理分析屏蔽主機防火牆,屏蔽子網防火牆,多宿主主機防火牆的特點以及之間的區別
同學,你是湖南大學的吧,選修了計算機網路安全吧。。。其實。。。你去看老師的PPT,備注裡面基本都有的,都不用你上網去找了。
⑤ 包過濾型防火牆和代理伺服器防火牆的優缺點
包過濾防火牆工作在網路協議IP層,它只對IP包的源地址、目標地址及相應埠進行處理,因此速度比較快,能夠處理的並發連接比較多,缺點是對應用層的攻擊無能為力。
代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據,比如http連接信息,因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢,能夠處理的並發數比較少。
代理伺服器是防火牆技術的發展方向,眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。
⑥ 分析了各種防火牆技術尤其是包過濾技術的優缺點及實用特性,
第一類攻擊防火牆的方法是探測在目標網路上安裝的是何種防火牆系統並且找出此防火牆系統允許哪些服務。我們叫它為對防火牆的探測攻擊。
第二類攻擊防火牆的方法是採取地址欺騙、TCP序號攻擊等手法繞過防火牆的認證機制,從而 對防火牆和內部網路破壞。
第三類攻擊防火牆的方法是尋找、利用防火牆系統實現和設計上的安全漏洞,從而有針對性地發動攻擊。這種攻擊難度比較大,可是破壞性很大。
⑦ 過濾防火牆的優點
一些包過濾網關不支持有效的用戶認證。 →規則表很快會變得很大而且復雜,規則很難測試。隨著表的增大和復雜性的增加,規則結構出現漏洞的可能 性也會增加。 →這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題,會使得網路大門敞開,而用戶其至可能還不知道。 →在一般情況下,如果外部用戶被允許訪問內部主機,則它就可以訪問內部網上的任何主機。 →包過濾防火牆只能阻止一種類型的IP欺騙,即外部主機偽裝內部主機的IP,對於外部主機偽裝外部主機的IP欺騙卻不可能阻止,而且它不能防止DNS欺騙。 雖然,包過濾防火牆有如上所述的缺點,但是在管理良好的小規模網路上,它能夠正常的發揮其作用。一般情況下,人們不單獨使用包過濾網關,而是將它和其他設備(如堡壘主機等)聯合使用。 包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的,一般來說,它不保持前後連接信息,過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表,以及一個不可接受機和服務的列表。在主機和網路一級,利用數據包過濾很容易實現允許或禁止訪問。
⑧ 包過濾的基本特點和工作原理是什麼
包過濾
防火牆的一類。傳統的包過濾功能在路由器上常可看到,而專門回的防火牆系統答一般在此之上加了功能的擴展,如狀態檢測等。它通過檢查單個包的地址,協議,埠等信息來決定是否允許此數據包通過。
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則表,來檢測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。
⑨ 代理伺服器型防火牆和包過濾型防火牆的主要區別在哪裡哪種用得更普遍些
包過濾防火牆工作在網路協議IP層,它只對IP包的源地址、目標地址及內相應埠進行處理,因此容速度比較快,能夠處理的並發連接比較多,缺點是對應用層的攻擊無能為力。
代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據,比如http連接信息,因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢,能夠處理的並發數比較少。
代理伺服器是防火牆技術的發展方向,眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。
但是現在總的來說還是包過濾的防火牆更普遍一些,因為很多代理功能的已經被伺服器取代叻!
⑩ 簡述包過濾防火牆的工作原理
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則專表,來檢屬測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。