93防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏 蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火 墙和通过混合组合而衍生的其他结构的防火墙。 9.3.1包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计 即包过滤算法的设计。 人民邮电出版社
9.3 防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏 蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火 墙和通过混合组合而衍生的其他结构的防火墙。 9.3.1 包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计 即包过滤算法的设计
Internet 根据站点的安全 策略来决定是否 过滤路由器 转发数据包 Router 内部网络 图9.5包过滤型防火墙 人民邮电出版补
图9.5 包过滤型防火墙
包过滤型防火墙具有以下优点。 (1)处理包的速度比代理服务器快,过滤路 由器为用户提供了一种透明的服务,用户不用改 变客户端程序或改变自己的行为。 (2)实现包过滤几乎不再需要费用(或极少 的费用),因为这些特点都包含在标准的路由器 软件中。 (3)包过滤路由器对用户和应用来讲是透明 的 人民邮电出版社
包过滤型防火墙具有以下优点。 (1)处理包的速度比代理服务器快,过滤路 由器为用户提供了一种透明的服务,用户不用改 变客户端程序或改变自己的行为。 (2)实现包过滤几乎不再需要费用(或极少 的费用),因为这些特点都包含在标准的路由器 软件中。 (3)包过滤路由器对用户和应用来讲是透明 的
包过滤型防火墙存在以下的缺点。 (1)防火墙的维护比较困难,定义数据包过滤器 会比较复杂,因为网络管理员需要对各种 Internet 服务、包头格式以及每个域的意义有非常深入的理 解,才能将过滤规则集尽量定义得完善。 (2)只能阻止一种类型的IP欺骗,即外部主机伪 装内部主机的IP,对于外部主机伪装其他可信任的 外部主机的IP却不可阻止。 (3)任何直接经过路由器的数据包都有被用做数 据驱动攻击的潜在危险 人民邮电出版社
包过滤型防火墙存在以下的缺点。 (1)防火墙的维护比较困难,定义数据包过滤器 会比较复杂,因为网络管理员需要对各种Internet 服务、包头格式以及每个域的意义有非常深入的理 解,才能将过滤规则集尽量定义得完善。 (2)只能阻止一种类型的IP欺骗,即外部主机伪 装内部主机的IP,对于外部主机伪装其他可信任的 外部主机的IP却不可阻止。 (3)任何直接经过路由器的数据包都有被用做数 据驱动攻击的潜在危险
(4)一些包过滤网关不支持有效的用户认证。 (5)不可能提供有用的日志,或根本就不提供, 这使用户发觉网络受攻击的难度加大,也就谈不 上根据日志来进行网络的优化、完善以及追查责 任。 (6)随着过滤器数目的增加,路由器的吞吐量 会下降。 (7)IP包过滤器无法对网络上流动的信息提供 全面的控制。 (8)允许外部网络直接连接到内部网络的主机 上,易造成敏感数据的泄漏。 人民邮电出版社
(4)一些包过滤网关不支持有效的用户认证。 (5)不可能提供有用的日志,或根本就不提供, 这使用户发觉网络受攻击的难度加大,也就谈不 上根据日志来进行网络的优化、完善以及追查责 任。 (6)随着过滤器数目的增加,路由器的吞吐量 会下降。 (7)IP包过滤器无法对网络上流动的信息提供 全面的控制。 (8)允许外部网络直接连接到内部网络的主机 上,易造成敏感数据的泄漏