B:防火墙的发展 若以产品为对象,防火墙技术的发展可以分为四个阶段: 第一阶段:基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制功能可通 过路由控制来实现,从而使具有分组过滤功能的路由器称为第一代防火墙 产品。 第一代防火墙产品的特点是: ●利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过 滤 ●过滤判决的依据可以是:地址、端口号、ICMP报文类型等。 ●只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网 络采用路由器附带防火墙的功能的方法,对安全性要求较高的网络则可
B: 防火墙的发展 若以产品为对象,防火墙技术的发展可以分为四个阶段: 第一阶段:基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制功能可通 过路由控制来实现,从而使具有分组过滤功能的路由器称为第一代防火墙 产品。 第一代防火墙产品的特点是: ⚫ 利用路由器本身的对分组的解析,以访问控制表方式实现对分组的过 滤。 ⚫ 过滤判决的依据可以是:地址、端口号、ICMP 报文类型等。 ⚫ 只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网 络采用路由器附带防火墙的功能的方法,对安全性要求较高的网络则可
单独利用一台路由器组防火墙。 第一代防火墙产品的不足之处在于 ●路由协议十分灵活,本身具有安全漏洞,外部网络要探询内部网络十分 容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内 部网相连,即使在路由器设置了过滤规则,内部网络的20端口仍可由 外部探寻 ●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤 规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的 有效性和规则集的正确性,一般的网络系统管理员难以胜任,加之一旦 出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多 错误 ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址,由于信息在网 络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火
单独利用一台路由器组防火墙。 第一代防火墙产品的不足之处在于: ⚫ 路由协议十分灵活,本身具有安全漏洞,外部网络要探询内部网络十分 容易。例如:在使用 FTP 协议时,外部服务器容易从 20 号端口上与内 部网相连,即使在路由器设置了过滤规则,内部网络的 20 端口仍可由 外部探寻。 ⚫ 路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤 规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的 有效性和规则集的正确性,一般的网络系统管理员难以胜任,加之一旦 出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多 错误。 ⚫ 路由器防火墙的最大隐患是:攻击者可以“假冒”地址,由于信息在网 络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火