hlj317
新新人类
帖子
25
精华
0
无忧币 135
积分 125
阅读权限 20
|
发表于:2008-5-16 11:31
标题:防火墙的现状
<上一帖 |
下一帖>
防火墙的现状
首先让我们来看,传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。
只不过,随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。
在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案了,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS(拒绝服务)、IP地址欺诈等黑客攻击。
但所幸的是现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案,它们在应用层检查数据包。
不过,我们也不能掉以轻心,对每一个应用都运行这样一个代理服务器,因为部分应用网关技术还要求客户端安装有特殊的软件。
这两种解决方案在性能上也有很大的不足之处或者说不够稳定,还应有相应的方案作为辅助。
动态包过滤是基于连接状态对数据包进行检查,由于动态包过滤解决了静态包过滤的安全限制,并且比代理技术在性能上有了很大的改善,因而目前大多数防火墙厂商都采用这种技术。
但是随着主动攻击的增多,状态包过滤技术也面临着巨大的挑战,更需要其它新技术的辅助,这点让我们拭目以待。
其他方面,除了访问控制功能外,现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT和VPN、病毒防护等。
|
网络虽虚拟,技术无边界,来看看大家“真面目”! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图